Linux Debian Disztribúció Radius Szerver Linux Debian Disztribúció
Debian telepítése
Régió választás
Billentyűzet kiválasztása
települünk…….
Szerver nevének megadása
Domain név megadása
Partition tábla megadása Figyelem az adatok törlődnek !!!
Boot Loader
Telepítés kész !
Időzóna és felhasználók
Csomagok forrásának kiválasztása
Web és Sql
Alap Rendszer kész
Szükséges csomagok telepítése Mysql-Server Phpmyadmin Ssl Freeradius Freeradius-mysql Dialup-admin
Radius konfigurációs fájlok ! Radiusd.conf Clients.conf Sql.conf Dictionary
működést vagy a log fájlok hibáját okozhatja Radiusd.conf prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = ${exec_prefix}/sbin logdir = /var/log/freeradius raddbdir = /etc/freeradius radacctdir = ${logdir}/radacct confdir = ${raddbdir} run_dir = ${localstatedir}/run/freeradius log_file = ${logdir}/radius.log libdir = /usr/lib/freeradius pidfile = ${run_dir}/freeradius.pid user = freerad group = freerad Rendszer specifikus beállítások. Ezeket nem módosítjuk mert nem megfelelő működést vagy a log fájlok hibáját okozhatja
max_request_time = 30 delete_blocked_requests = no cleanup_delay = 5 max_requests = 1024 bind_address = * Ezek a beállítások vezérlik a szervert . A max_request paramétert ne állítsuk nagyon magas vagy nagyon alacsony értékre, mert túlterhelés esetén megállhat a kérések kiszolgálása. RouterOs esetén a szervert használó routerek darabszámától függően és a szervereken generálódó kérések számának megfelelően módosítsuk port = 0 hostname_lookups = no allow_core_dumps = no regular_expressions = yes extended_expressions = yes Ezeket a paramétereket ne módosítsuk.
log_stripped_names = yes log_auth = no log_auth_badpass = no log_auth_goodpass = no Log szabályok beállítása lower_user = before lower_pass = before A felhasználó nevekben és jelszavakban csak kis betű szerepelhet. Minden egyéb esetben a szerver visszautasítja a kérést nospace_user = before nospace_pass = before Levágja a név és jelszó előtti szóközöket checkrad = ${sbindir}/checkrad Ez alapján authentikálunk
security { max_attributes = 200 reject_delay = 1 status_server = no } Maximális atribútumok száma a bejövő illetve kimenő rádiusz csomagokban proxy_requests = no Nem használunk rádiusz proxy-t $INCLUDE ${confdir}/clients.conf $INCLUDE ${confdir}/sql.conf Beolvassa a clients.conf és az sql.conf tartalmát snmp = no SNMP protokolt engedélyezzük e a rádiusz szerveren thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } Ezekkel lehet tuningolni a szerver beálításait
modules { pap { encryption_scheme = crypt } chap { authtype = CHAP mschap { authtype = MS-CHAP use_mppe = no A szerver authentikációs metódusai. acct_unique { key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port" } Ez csinál egy egyedi acount id-t az acountok számára. A mikrotik sajnos NEM CSINÁLJA meg autómatikusan és így nem működik biztonságosan.
counter daily { filename = ${raddbdir}/db. daily key = User-Name count-attribute = Acct-Session-Time reset = daily counter-name = Daily-Session-Time check-name = Max-Daily-Session allowed-servicetype = Framed-User cache-size = 5000 } Néhyány felhasználó aki több mint 24 órán keresztül folyamatos kapcsolatban van „meghülyítheti” a napi számlálókat. Ezzel ezt küszöböljük ki. always fail { rcode = fail } always reject { rcode = reject } always ok { rcode = ok simulcount = 0 mpp = no } } Hibakeresési értékek.
SQL szerverre állítjuk a dolgokat. instantiate { } authorize { chap mschap sql } authenticate { Auth-Type PAP { pap Auth-Type CHAP { Auth-Type MS-CHAP { preacct { acct_unique accounting { sql session { post-auth { SQL szerverre állítjuk a dolgokat.
Clients.conf Osztott Kulcs A kliens routerek elérhetőségét szabályozza secret = somepassword shortname = localhost nastype = other } client 192.168.2.0/24 { Osztott Kulcs A kliens routerek elérhetőségét szabályozza
Sql.conf driver = "rlm_sql_mysql" server = "192.168.0.5" login = „root" password = „root" radius_db = "radius" SQL szerver elérhetősége acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_table = "radgroupreply" usergroup_table = "usergroup" SQL táblák megnevezése
deletestalesessions = yes sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 SQL log és hibakezelés
Dictionary A Mikrotik Dictionary file elérhető a Mikrotik honlapon. A rádiusz szerverre a file letöltése a következő módon tehető meg: cd /etc/freeradius rm dictionary wget http://www.mikrotik.com/Documentation/manual_2.9/dictionary chmod 640 dictionary chown root dictionary
SQL adattáblák létrehozása A táblák letölthetők a www.eszaknet.net/mikrotik/freeradius.sql linkről A letöltött táblákat a Mysql –uroot radius </utvonal/freeradius.sql parancsal lehet létrehozni
A telepítés tesztelése Vegyünk fel egy felhasználót A radchek táblába tegyük a következőket: username : név attribute : user-password op: = value: password Ezt megtehetjük a phpmyadmin vagy parancssor segítségével Parancssor: INSERT INTO `radcheck` ( `id` , `UserName` , `Attribute` , `op` , `Value` ) VALUES ( NULL , 'test-user', 'user-password', '==', 'test-pass'); A radreply táblába tegyük username: név attribute: Framed-Ip-Address Value 192.168.0.100 INSERT INTO `radreply` ( `id` , `UserName` , `Attribute` , `op` , `Value` ) VALUES (NULL , 'test-user', 'Framed-IP-Address', '=', '192.168.0.100');
Tesztelés Teszteléshez használt program http://www.mastersoft-group.com/download/
Egyszerű User managment
Új felhasználó létrehozása
Acounting
Státuszok
Sikeres beállítást követően… A mikrotik megfelelő moduljainak konfigurálása következik.
A felhasznált szkriptek letölthetők www.eszaknet.net/mikrotik/radiusd.conf www.eszaknet.net/mikrotik/clients.conf www.eszaknet.net/mikrotik/sql.conf www.eszaknet.net/mikrotik/freeradius.sql www.eszaknet.net/mikrotik/dictionary
Elérhetőségeink Kőműves Krisztián Szabados György krisztian@eszaknet.net Szabados György gyuri@lhcom.hu