Установка RADIUS + LDAP для WPA2 на Ubuntu

Согласно отчету об ошибках, простое восстанавливает FreeRADIUS, должен устранить проблему поддержки OpenSSH. Это только должно быть сделано однажды.

Я не уверен, какая простота администрирования имеет отношение к установке. Часто, чем более включенный и подробный установка, тем легче администрировать, потому что установка покрыла все основания. Вы подразумеваете, что конфигурация должна быть отброшена на других серверах легко также? Сколько беспроводной LAN Вы настраиваете?

Однажды configuired, администрация должна быть ограничена пользователем LDAP, добавляет, удаляет и изменяет. Они должны быть достаточно легки или сценарий с ldapmodify (и др.) или найти достойный графический фронтэнд LDAP и зарегистрировать процессы со снимками экрана.

Я столкнулся с той же проблемой. Я должен был загрузить источники RADIUS и скомпилировать их сам.

Я попытаюсь ответить на вопрос LDAP здесь.

Вот короткий ответ: удостоверьтесь ldap модуль удален из authenticate раздел, и удостоверяется mschap модуль присутствует в обоих authorize и authenticate раздел. И просто не проигнорируйте '"известный хороший" пароль'.

И теперь вот (очень) длинный ответ.

Как ldap модуль работает?

Когда Вы активируетесь ldap модуль в authorize раздел, это - то, что он делает, когда пакет RADIUS получен FreeRADIUS:

1. это пытается связать с сервером LDAP (как гостевой пользователь или использование данных идентификационных данных, если Вы настроены в ldap.conf)
2. это ищет запись пользователя DN с помощью фильтра под основным DN (настроенный в ldap.conf).
3. это выбирает все атрибуты LDAP, в которых это может добраться среди настроенных ldap.attrmap, и преобразовывает их в Атрибуты RADIUS.
4. это добавляет те атрибуты к списку объектов проверки пакета RADIUS.

Когда Вы активируетесь ldap модуль в authenticate раздел, это - то, что делает FreeRADIUS:

1. это пытается связать с сервером LDAP как пользователь.
2. если это может связать, то это - успешная аутентификация и a Radius-Accept пакет передадут обратно клиенту, или иначе, это - отказ, ведя к a Radius-Reject пакет.

Таким образом, как я могу настроить FreeRADIUS для создания PEAP/MS-CHAP-v2 работы с LDAP?

Важный момент здесь - то, что, связывая, поскольку пользователь будет только работать, если сервер FreeRADIUS может получить пароль в виде открытого текста пользователя от пакета RADIUS, он получил. Это только имеет место, когда КАША или методы аутентификации TTLS/PAP используются (и возможно также EAP/GTC). Только метод TTLS/PAP действительно безопасен, и это не доступно по умолчанию в Windows. Если Вы хотите, чтобы Ваши пользователи соединились с TTLS/PAP, Вы должны сделать, чтобы они установили программное обеспечение суппликанта TTLS, которое редко является опцией. Большую часть времени, при развертывании WiFi с безопасностью WPA Enterprise, PEAP/MS-CHAP-v2 единственная разумная опция.

Таким образом, нижняя строка: если Вы не используете КАШУ или TTLS/PAP, можно безопасно удалить ldap модуль от authenticate раздел, и на самом деле, Вы должны: привязка как пользователь не будет работать.

Если Ваш тест работает, когда Вы используете radtest, это, вероятно, означает что ldap модуль активируется в authenticate раздел: это попытается связать как пользователь, и так как radtest использует Аутентификацию PAP, это успешно выполнится. Но это перестанет работать, при попытке соединиться через точку доступа, так как Вы используете PEAP/MS-CHAP-v2.

То, что необходимо сделать, удаляют ldap модуль от authenticate раздел, и удостоверяется, что Вы активируетесь mschap модуль в обоих authorize и authenticate раздел. Что произойдет, который является mschap модуль будет заботиться об аутентификации с помощью NT-Password атрибут, который получен с сервера LDAP во время authorize фаза.

Вот что Ваш sites-enabled/default файл должен быть похожим (без всех комментариев):

    ...
    authorize {
        preprocess
        suffix
        eap {
            ok = return
        }
        expiration
        logintime
    }
    authenticate {
        eap
    }
    ...

И вот что Ваш sites-enabled/inner-tunnel файл должен быть похожим:

    ...
    authorize {
        mschap
        suffix
        update control {
               Proxy-To-Realm := LOCAL
        }
        eap {
            ok = return
        }
        ldap
        expiration
        logintime
    }
    authenticate {
        Auth-Type MS-CHAP {
            mschap
        }
        eap
    }
    ...

Что относительно 'Никакого "известного хорошего" пароля' предупреждение?

Ну, можно безопасно проигнорировать его. Это просто там потому что ldap модуль не мог найти a UserPassword припишите, когда это выбрало пользовательские детали с сервера LDAP во время authorize фаза. В Вашем случае Вы имеете NT-Password атрибут, и это прекрасно подходит PEAP/MS-CHAP-v2 аутентификация.

Я предполагаю, что предупреждение существует потому что когда ldap модуль был разработан, PEAP/MS-CHAP-v2 еще не существовал, таким образом, единственная вещь, которая, казалось, имела смысл в то время, состояла в том, чтобы получить атрибут UserPassword с сервера LDAP, для использования КАШИ, CHAP, EAP/MD5 или таких методов аутентификации.

Я попытаюсь ответить на вопрос OpenSSL здесь: короткий ответ должен использовать FreeRADIUS 2.1.8 или выше, который включает OpenSSL. Это доступно в Ясной Ubuntu и бэкпорты Debian Lenny (и вероятно закончится в Ubuntu Кармические бэкпорты также).

Вот длинный ответ:

К сожалению, лицензия OpenSSL раньше была (несколько) несовместимой с лицензией FreeRADIUS. Поэтому люди Ubuntu приняли решение обеспечить двоичный файл FreeRADIUS, не связанный с OpenSSL. Если бы Вы хотели EAP/TLS, PEAP или TTLS, то необходимо было получить источники и скомпилировать их с --with-openssl опция (поскольку рецепт, который Вы использовали, объясняет).

Но недавно, проблема лицензирования была решена. Версии FreeRADIUS 2.1.8 или выше могут быть скомпилированы и распределены с OpenSSL. Плохие новости - то, что новое стабильное распределение Ubuntu (Кармическая Коала) включает только FreeRADIUS 2.1.0, без OpenSSL (то же идет для Debian, так как Lenny только содержит FreeRADIUS 2.0.4). Я проверил Кармические бэкпорты, но кажется, что FreeRADIUS 2.1.8 или выше не был загружен там, еще (но это может быть скоро добавлено, проверить его здесь). Таким образом, на данный момент необходимо или переключиться на Ясную Ubuntu (который включает FreeRADIUS 2.1.8), или придерживайтесь компиляции. Для пользователей Debian вещи немного более ярки: бэкпорты Lenny включают FreeRADIUS 2.1.8. Таким образом, если Вы хотите что-то очень стабильное, и легкий установить и поддержать, я предлагаю, чтобы Вы развернули сервер с Debian Lenny и установили бэкпортированный пакет FreeRADIUS (это также дает Вам возможность записать модули Python бесплатно, не имея необходимость перекомпилировать со всеми экспериментальными модулями).

Я получил сертификат из http://CACert.org (необходимо, вероятно, получить "реальный" сертификат если возможный),

Существует один "глюк" с "реальными" сертификатами (в противоположность самоподписанным сертификатам).

Я использовал тот, подписанный Thawte. Это хорошо работает, и пользователи видят, что красивый "действительный" сертификат назвал что-то как www.my-web-site.com. Когда пользователь принимает сертификат, его компьютер на самом деле понимает, что всем сертификатам, выпущенным тем же центром сертификации, нужно доверять (я протестировал это с Windows Vista и Snow Leopard MacOSX)! Таким образом в моем случае, если у хакера есть сертификат для, скажем, www.some-other-web-site.com, также подписанный Thawte, затем он может выполнить Атаку "человек посередине" легко без любого предупреждения, отображаемого на компьютере пользователя!

Решение этого находится глубоко в конфигурации сети компьютера пользователя, чтобы конкретно указать, что только "www.my-web-site.com" нужно доверять. Просто требуется минута, но большинство пользователей не будет знать, где настроить это, если Вы не даете им четкую процедуру и удостоверяетесь, что каждый пользователь следует за ним. Я все еще использую "действительные" сертификаты, но откровенно неутешительно видеть, что и Windows и MacOSX совместно используют эту "ошибку": доверие Центру сертификации вместо определенного сертификата. Ай...

Вы можете использовать FreeRADIUS2 (с OpenSSL) + EAP-TLS + WPA2-Enterprise. Вот Wery подробное КАК . Windows XP SP3 имеет встроенную поддержку, а также Windows 7, Android 2.3, iPhone, Symbian. Но я не знаю о совместимости с SLDAP в такой схеме.