Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Linux Debian Disztribúció
Radius Szerver Linux Debian Disztribúció
2
Debian telepítése
3
Régió választás
4
Billentyűzet kiválasztása
5
települünk…….
6
Szerver nevének megadása
7
Domain név megadása
8
Partition tábla megadása
Figyelem az adatok törlődnek !!!
9
Boot Loader
10
Telepítés kész !
11
Időzóna és felhasználók
12
Csomagok forrásának kiválasztása
13
Web és Sql
14
Alap Rendszer kész
15
Szükséges csomagok telepítése
Mysql-Server Phpmyadmin Ssl Freeradius Freeradius-mysql Dialup-admin
16
Radius konfigurációs fájlok !
Radiusd.conf Clients.conf Sql.conf Dictionary
17
működést vagy a log fájlok hibáját okozhatja
Radiusd.conf prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = ${exec_prefix}/sbin logdir = /var/log/freeradius raddbdir = /etc/freeradius radacctdir = ${logdir}/radacct confdir = ${raddbdir} run_dir = ${localstatedir}/run/freeradius log_file = ${logdir}/radius.log libdir = /usr/lib/freeradius pidfile = ${run_dir}/freeradius.pid user = freerad group = freerad Rendszer specifikus beállítások. Ezeket nem módosítjuk mert nem megfelelő működést vagy a log fájlok hibáját okozhatja
18
max_request_time = 30 delete_blocked_requests = no cleanup_delay = 5 max_requests = 1024 bind_address = * Ezek a beállítások vezérlik a szervert . A max_request paramétert ne állítsuk nagyon magas vagy nagyon alacsony értékre, mert túlterhelés esetén megállhat a kérések kiszolgálása. RouterOs esetén a szervert használó routerek darabszámától függően és a szervereken generálódó kérések számának megfelelően módosítsuk port = 0 hostname_lookups = no allow_core_dumps = no regular_expressions = yes extended_expressions = yes Ezeket a paramétereket ne módosítsuk.
19
log_stripped_names = yes
log_auth = no log_auth_badpass = no log_auth_goodpass = no Log szabályok beállítása lower_user = before lower_pass = before A felhasználó nevekben és jelszavakban csak kis betű szerepelhet. Minden egyéb esetben a szerver visszautasítja a kérést nospace_user = before nospace_pass = before Levágja a név és jelszó előtti szóközöket checkrad = ${sbindir}/checkrad Ez alapján authentikálunk
20
security { max_attributes = 200 reject_delay = 1 status_server = no } Maximális atribútumok száma a bejövő illetve kimenő rádiusz csomagokban proxy_requests = no Nem használunk rádiusz proxy-t $INCLUDE ${confdir}/clients.conf $INCLUDE ${confdir}/sql.conf Beolvassa a clients.conf és az sql.conf tartalmát snmp = no SNMP protokolt engedélyezzük e a rádiusz szerveren thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } Ezekkel lehet tuningolni a szerver beálításait
21
modules { pap { encryption_scheme = crypt } chap { authtype = CHAP mschap { authtype = MS-CHAP use_mppe = no A szerver authentikációs metódusai. acct_unique { key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port" } Ez csinál egy egyedi acount id-t az acountok számára. A mikrotik sajnos NEM CSINÁLJA meg autómatikusan és így nem működik biztonságosan.
22
counter daily { filename = ${raddbdir}/db. daily key = User-Name count-attribute = Acct-Session-Time reset = daily counter-name = Daily-Session-Time check-name = Max-Daily-Session allowed-servicetype = Framed-User cache-size = 5000 } Néhyány felhasználó aki több mint 24 órán keresztül folyamatos kapcsolatban van „meghülyítheti” a napi számlálókat. Ezzel ezt küszöböljük ki. always fail { rcode = fail } always reject { rcode = reject } always ok { rcode = ok simulcount = 0 mpp = no } } Hibakeresési értékek.
23
SQL szerverre állítjuk a dolgokat.
instantiate { } authorize { chap mschap sql } authenticate { Auth-Type PAP { pap Auth-Type CHAP { Auth-Type MS-CHAP { preacct { acct_unique accounting { sql session { post-auth { SQL szerverre állítjuk a dolgokat.
24
Clients.conf Osztott Kulcs A kliens routerek elérhetőségét szabályozza
secret = somepassword shortname = localhost nastype = other } client /24 { Osztott Kulcs A kliens routerek elérhetőségét szabályozza
25
Sql.conf driver = "rlm_sql_mysql" server = "192.168.0.5"
login = „root" password = „root" radius_db = "radius" SQL szerver elérhetősége acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_table = "radgroupreply" usergroup_table = "usergroup" SQL táblák megnevezése
26
deletestalesessions = yes
sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 SQL log és hibakezelés
27
Dictionary A Mikrotik Dictionary file elérhető a Mikrotik honlapon.
A rádiusz szerverre a file letöltése a következő módon tehető meg: cd /etc/freeradius rm dictionary wget chmod 640 dictionary chown root dictionary
28
SQL adattáblák létrehozása
A táblák letölthetők a linkről A letöltött táblákat a Mysql –uroot radius </utvonal/freeradius.sql parancsal lehet létrehozni
29
A telepítés tesztelése
Vegyünk fel egy felhasználót A radchek táblába tegyük a következőket: username : név attribute : user-password op: = value: password Ezt megtehetjük a phpmyadmin vagy parancssor segítségével Parancssor: INSERT INTO `radcheck` ( `id` , `UserName` , `Attribute` , `op` , `Value` ) VALUES ( NULL , 'test-user', 'user-password', '==', 'test-pass'); A radreply táblába tegyük username: név attribute: Framed-Ip-Address Value INSERT INTO `radreply` ( `id` , `UserName` , `Attribute` , `op` , `Value` ) VALUES (NULL , 'test-user', 'Framed-IP-Address', '=', ' ');
30
Tesztelés Teszteléshez használt program
31
Egyszerű User managment
32
Új felhasználó létrehozása
33
Acounting
34
Státuszok
35
Sikeres beállítást követően…
A mikrotik megfelelő moduljainak konfigurálása következik.
36
A felhasznált szkriptek letölthetők
37
Elérhetőségeink Kőműves Krisztián Szabados György
Szabados György
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.