Shunze 學園 - 《分享》Enterasys Wifi搭配Radius驗證

Shunze 學園 >資訊設備專區 >Extreme & Enterasys > 《分享》Enterasys Wifi搭配Radius驗證

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線

《分享》Enterasys Wifi搭配Radius驗證

Enterasys Thin AP架構可透過Controller本身的Captive Portal搭配外部Radius Server來進行身份驗證，
本文將分為 Radius Server架設 與 Enterasys Controller設定 兩個部分，逐步說明如何建置環境。

示範環境
Radius Server 192.168.33.40 Ubuntu 14.04
Enterasys Controller 192.168.33.37 Version:8.32.10

架設Radius Server
以Ubuntu 14.04為建置Radius Server環境，安裝Radius Server指令如下。

apt-get install freeradius freeradius-utils

安裝好FreeRadius後，需要設定允許驗證的前端NAS裝置與帳號驗證方式兩個部份。

允許驗證的前端NAS裝置 設定檔是 /etc/freeradius/clients.conf。
於設定檔中加入允許的前端NAS裝置的IP及Shared Secret Key，以示範環境來說就是要加入Controller的IP 192.168.33.37。

client 192.168.33.37 {
secret = testing123
shortname = Wireless-Controller
}

接著就可以進行 帳號驗證方式這個部分的設定。
以FreeRadius來說，它除了支援Ubuntu本身的帳/密驗證(System)，
也可以編輯Radius自己的帳號/密碼來提供驗證(Local)，
另外還可以透過LDAP的帳/密資訊來驗證(LDAP)。
本文將以 System 及 Local 這兩種方式來做示範。
1. 以Ubuntu本身的帳/密驗證(System)來驗證
  要以Ubuntu本身系統的帳號密碼來做驗證，我們需要去編輯 /etc/freeradius/users 檔案，然後加入以下設定。
  
  DEFAULT Auth-Type = System
  
  由於FreeRadius的執行帳號是 freerad，而此帳號為一般權限帳號，
  所以沒有權限讀取系統密碼檔 /etc/shadow，無法進行密碼的確認工作，
  因此要賦予 freerad 可以讀取 /etc/shadow 的權限，指令如下。
  
  chgrp freerad /etc/shadow
  chmod g+r /etc/shadow
  
  修改權限後，可透過指令來檢視 /etc/shadow 的權限。
  
  ls -l /etc/shadow
  -rw-r----- 1 root freerad 1145 Apr 23 13:42 /etc/shadow
  
  然後重啟 freeradius 的服務，讓設定生效。
  
  service freeradius restart
  
  在Ubuntu本機的帳號管理上，請使用 adduser/deluser 而不是 useradd/userdel 來進行。
  這兩組指令間的不同，在於 useradd 是比較底層的帳號管理。
  透過 useradd 建立的帳號雖然一樣可以登入系統，
  但是不會建立家目錄，也不會在 /etc/shadow 中產生編碼過的密碼，
  所以無法讓FreeRadius來進行帳密的驗證。
  
  而 adduser 的帳號建立方式，會產生Ubunut環境下使用者完整的環境設定，
  包含全名、家目錄路徑與預設資料及密碼等。
  以這種方式所建立的user帳號就能提供FreeRadius來進行帳密驗證。
  
  ↑useradd 與 adduser 在建立帳號時的差異。
  
  ↑/etc/shadow中，用 useradd 與 adduser 所建立帳號的差異。
  
  在測試本機System認證時，順子在這邊吃了點苦頭，卡了不少時間。
  分享給大家，希望大家不要再遇到相同的困擾。
  
  useradd 與 adduser 的差異，請參考以下連結
  What is the difference between adduser and useradd?
2. 以Radius自己的帳號/密碼來提供驗證(Local)
  以Radius自己的帳號做驗證是一樣是透過編輯 /etc/freeradius/users 的設定來達成。
  我們可在 /etc/freeradius/users 檔案中依需要來建立使用者的帳號及密碼。(密碼是明文的，非加密)
  例如加入test與shunze兩個帳號，密碼分別是testing與password，其設定如下。
  
  test Cleartext-Password := "testing"
  shunze Cleartext-Password := "password"
  
  設定好後，重啟FreeRadius就可以讓Radius本身的帳密驗證生效。
  
  service freeradius restart
  
  要重啟FreeRadius服務？
  是的，沒錯，由於設定檔在載入後就不再讀取，
  因此透過這種Local帳號的方式，每新增或刪除帳號，就需要重啟FreeRadius服務。
3. System加Local複合認證
  既然FreeRadius支援System與Local兩種驗證方式，
  能否兩種併用，於System找不到對應帳號時，再去Local認證？
  
  可以的，一樣編輯 /etc/freeradius/users 檔案，
  然後加入 Fall-Through = Yes 於 DEFAULT Auth-Type := System 後並縮排，即可達成。
  
  DEFAULT Auth-Type := System
  Fall-Through = Yes
  test Auth-Type:=Local, Cleartext-Password := "password"
  shunze Auth-Type:=Local, Cleartext-Password := "password"
FreeRadius測試
FreeRadius的帳號驗證方式設定好後，可以著手進行本機測試了。
因為在 clients.conf 設定檔中，預設有client localhost區段，所以在本機上可以做驗證測試。

於Ubuntu本機中下達 radtest 指令及參數即可進行測試，指令與參數如下。

radtest 帳號帳號的密碼 localhost port secret-key

測試成功，會得到 Access-Accept 的訊息；
測試失敗，則是 Access-Reject 的訊息，然後開始去除錯吧。

以test帳號與密碼password去測試，正確的話會是如下訊息。

radtest test password localhost 0 testing123
Sending Access-Request of id 172 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "password"
NAS-IP-Address = 192.168.33.40
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=172, length=20

FreeRadius Debug
萬一測試失敗，除了可於 /var/log/freeradius/radius.log 中找線索外，
還可以停止FreeRadius服務，然後開啟Debug模式，以全訊息的方式偵錯。

service freeradius stop
freeradius -X
Enterasys Controller設定
後端Radius Server的部分設定好了，接著就來看看前端NAS要如何設定。
以Enterasys Wifi架構來說，除了一般的無線設定外，建構Radius驗證有兩個重點要特別注意，
分別是 VNS必需L3的Topology架構、針對驗證及未驗證的Role設定不同Policy(讓未驗證的Role能強迫導向驗證頁面)。

既然是Radius驗證，首先我們先到Controller中的 VNS Configuration / Global / Authentication 中新增一筆Radius Server記錄吧。

Radius IP就打示範環境中的FreeRadius IP 192.168.33.40，
Shared Secret就打FreeRadius中設定的 testing123，其餘設定採預設值即可。

在使用者的驗證機制上，是透過HTTP的強迫導向，把尚未證證的使用者導向認證頁面。
由於此認證工作必需在Controller上進行，未認證的使用者流量必需經過Controller，
所以在Topology的選擇上，搭配Radius驗證機制時，只能選用L3的Topolgoy。
至於要用Bridge@Controller(L3)或Routed Mode，兩者都可以；
而已經驗證過的使用者則無此限制，要用Bridge@AP(L2)、Bridge@Controller(L2/L3)或Routed Mode都行，隨你高興。

在本範例中，順子配置了兩個Topology，
一個是Guest_Vlan18，使用了Bridge@Controller(L3)，給尚未驗證的Role用；
另一個則是GuestTopology，使用了Bridge@AP(L2) ，提供給已經驗證過的Role來使用，
驗證過的使用者流量不再經過Controller，提升效率。

Topolgoy建好後，接把驗證與未驗證角色分別套用到L2與L3的Topology。

↑驗證過的Role搭配L2的GuestTopology。

↑未驗證過的Role搭配L3的Guest_Vlan18。

已驗過的Role其policy可以全開，或依實際需求來調整；
但未驗證過的Role除了DNS，DHCP服務必需開放外，我們必需把其它對外連線封阻，
這樣才能強迫使用者導向Controller的認證頁面Captive Portal，
這是整個驗證機制中很重要的一環，
少了這部分，HTTP的強迫導向認證就不會進行，Radius的驗證機制也就失敗了。

↑少了這一筆 dest -> none 0.0.0.0/0 deny 可是沒有強迫認證的效果喔！

接著新增一個WLAN - GuestNew，設定Topology為Bridge@Controller(L3) - Guest_Vlan18。

然後在 Auth & Acct 中啟用驗證，將Mode選為Internal (透過Controller本身的Captive Portal來認證)，
加入剛才的Radius Server記錄。

加入Radius Server記錄後，也可以在 Auth & Acct 功能頁面中對Radius驗證進行測試，
發佈之前最好先確認Radius的驗證機制正確無誤。

VNS元件都設定好了，接著就建立一個VNS，把WLANh與Role關聯起來吧～

設定到此，基本上就完成了，我們來連線做個測試吧。
透過SSID連線後，隨便開一個網頁，都會被導到Controller的Captive Portal。

輸入Radius中的帳號/密碼進行登入，成功後會有驗證成功的訊息畫面。

已驗證過的使用者就可以正常上網囉～

什麼？覺得Captive Portal很陽春？
Captive Portal的頁面是可以自行調整的，在WLAN的Authentication裏，按下去Configure的按鈕就可以客製頁面風格。
有興趣的可以研究看看，這部分就不列入本文的內容囉～

參考資料
Freeradius 架設心得記要
架設RADIUS伺服器實務
Getting Started with FreeRADIUS

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-04-23, 17:46

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線

《分享》FreeRadius整合OpenLDAP認證

上文說到FreeRadius支援了System、Local以及LDAP三種方式的帳號來源認證，
這一篇就來看看如何在FreeRadius上整合LDAP來提供client端裝置進行認證。

安裝OpenLDAP
於Ubuntu 14上安裝OpenLDAP指令如下。

apt-get install slapd ldap-utils

安裝時會要求輸入administrator的密碼，這部分不用太在意；因為裝好後，還是要重新設定LDAP組態。

重新設定LDAP組態指令下。

dpkg-reconfigure slapd

重設組態時，會採詢問式的方式來設定組態，可參考以下的項目設定值來進行。
1. Omit OpenLDAP server configuration? No
2. DNS domain name: 輸入您的LDAP domain，例如 demo.com
3. Organization name: 輸入您的組織名稱，例如 test
4. Administrator password: 輸入管理帳號的密碼。
5. Confirm password: 再輸入一次管理帳號的密碼，進行確認。
6. Database backend to use: HDB
7. Do you want the database to be removed when slapd is purged? No
8. Move old database? Yed
9. Allow LDAPv2 protocol? No
設定完後就可以用你熟悉的工具來建置LDAP上的OU、Group以及User Account了。

若不熟悉LDAP，順子推薦一款Windows下免費、免安裝的管理工具 - LdapAdmin
FreeRadius整合OpenLDAP認證
OpenLDAP裝好後，接著就來看看如何在FreeRadius上整合OpenLDAP吧～

首先安裝FreeRadius的LDAP套件，指令如下。

apt-get install freeradius-ldap

然後逐步設定LDAP的相關設定。
1. 修改FreeRadius的LDAP模組內容 /etc/freeradius/modules/ldap，
  
  #於以下ldap區段中，修改以下內容
  ldap {
      server = "127.0.0.1"
      identity = "cn=admin,dc=demo,dc=com"
      password = admin的密碼
      basedn = "dc=demo,dc=com"
      filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
      ...
      ...
      set_auth_type = yes
      ...
  }
2. 修改 /etc/freeradius/sites-available/default 與 /etc/freeradius/sites-available/inner-tunnel 的內容，
  兩者要修改的內容相同，就放在一起看吧～
  
  #於authorize區段中，把ldap的部分取消註解。
  authorize {
      ...
      ldap
      ...
  }
  
  #於authenticate區段中，把ldap的部分取消註解。
  authenticate {
      ...
      Auth-Type LDAP {
          ldap
      }
      ...
  }
3. 修改 /etc/freeradius/users，讓FreeRadius的認證指向OpenLDAP的domain。
  
  DEFAULT Ldap-Group == "cn=admin,dc=demo,dc=com"
LDAP的相關設定加入後，接著就可以進行Radius的測試。

radtest 帳號帳號的密碼 localhost port secret-key

測試成功，會得到 Access-Accept 的訊息；
測試失敗，則是 Access-Reject 的訊息，這些跟上文的測試是相同。
Client端要配合的修改
在FreeRadius搭配OpenLDAP的架構中，在 /etc/freeradius/modules/ldap 的設定檔有提到，
透過LDAP的認證，只能接受明碼的傳輸。

所以在Client端的設定上，驗證的方式也要選擇為PAP的方式。

若是選擇了CHAP的認證方式，會導致存取被拒ACCESS_REJECTED。

參考資料
Configure ISC DHCP Server with OpenLDAP
Configure Radius with LDAP for network authentication
CONFIGURING FREERADIUS FOR LDAP OVER SSL AUTHENTICATION

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-04-28, 18:29