У меня есть общий взлом...
Согласно отчету об ошибках, простое восстанавливает FreeRADIUS, должен устранить проблему поддержки OpenSSH. Это только должно быть сделано однажды.
Я не уверен, какая простота администрирования имеет отношение к установке. Часто, чем более включенный и подробный установка, тем легче администрировать, потому что установка покрыла все основания. Вы подразумеваете, что конфигурация должна быть отброшена на других серверах легко также? Сколько беспроводной LAN Вы настраиваете?
Однажды configuired, администрация должна быть ограничена пользователем LDAP, добавляет, удаляет и изменяет. Они должны быть достаточно легки или сценарий с ldapmodify (и др.) или найти достойный графический фронтэнд LDAP и зарегистрировать процессы со снимками экрана.
Я столкнулся с той же проблемой. Я должен был загрузить источники RADIUS и скомпилировать их сам.
Я попытаюсь ответить на вопрос LDAP здесь.
Вот короткий ответ: удостоверьтесь ldap
модуль удален из authenticate
раздел, и удостоверяется mschap
модуль присутствует в обоих authorize
и authenticate
раздел. И просто не проигнорируйте '"известный хороший" пароль'.
И теперь вот (очень) длинный ответ.
Как ldap модуль работает?
Когда Вы активируетесь ldap
модуль в authorize
раздел, это - то, что он делает, когда пакет RADIUS получен FreeRADIUS:
ldap.conf
)ldap.conf
).ldap.attrmap
, и преобразовывает их в Атрибуты RADIUS.Когда Вы активируетесь ldap
модуль в authenticate
раздел, это - то, что делает FreeRADIUS:
Radius-Accept
пакет передадут обратно клиенту, или иначе, это - отказ, ведя к a Radius-Reject
пакет.Таким образом, как я могу настроить FreeRADIUS для создания PEAP/MS-CHAP-v2 работы с LDAP?
Важный момент здесь - то, что, связывая, поскольку пользователь будет только работать, если сервер FreeRADIUS может получить пароль в виде открытого текста пользователя от пакета RADIUS, он получил. Это только имеет место, когда КАША или методы аутентификации TTLS/PAP используются (и возможно также EAP/GTC). Только метод TTLS/PAP действительно безопасен, и это не доступно по умолчанию в Windows. Если Вы хотите, чтобы Ваши пользователи соединились с TTLS/PAP, Вы должны сделать, чтобы они установили программное обеспечение суппликанта TTLS, которое редко является опцией. Большую часть времени, при развертывании WiFi с безопасностью WPA Enterprise, PEAP/MS-CHAP-v2 единственная разумная опция.
Таким образом, нижняя строка: если Вы не используете КАШУ или TTLS/PAP, можно безопасно удалить ldap
модуль от authenticate
раздел, и на самом деле, Вы должны: привязка как пользователь не будет работать.
Если Ваш тест работает, когда Вы используете radtest
, это, вероятно, означает что ldap
модуль активируется в authenticate
раздел: это попытается связать как пользователь, и так как radtest использует Аутентификацию PAP, это успешно выполнится. Но это перестанет работать, при попытке соединиться через точку доступа, так как Вы используете PEAP/MS-CHAP-v2.
То, что необходимо сделать, удаляют ldap
модуль от authenticate
раздел, и удостоверяется, что Вы активируетесь mschap
модуль в обоих authorize
и authenticate
раздел. Что произойдет, который является mschap
модуль будет заботиться об аутентификации с помощью NT-Password
атрибут, который получен с сервера LDAP во время authorize
фаза.
Вот что Ваш sites-enabled/default
файл должен быть похожим (без всех комментариев):
...
authorize {
preprocess
suffix
eap {
ok = return
}
expiration
logintime
}
authenticate {
eap
}
...
И вот что Ваш sites-enabled/inner-tunnel
файл должен быть похожим:
...
authorize {
mschap
suffix
update control {
Proxy-To-Realm := LOCAL
}
eap {
ok = return
}
ldap
expiration
logintime
}
authenticate {
Auth-Type MS-CHAP {
mschap
}
eap
}
...
Что относительно 'Никакого "известного хорошего" пароля' предупреждение?
Ну, можно безопасно проигнорировать его. Это просто там потому что ldap
модуль не мог найти a UserPassword
припишите, когда это выбрало пользовательские детали с сервера LDAP во время authorize
фаза. В Вашем случае Вы имеете NT-Password
атрибут, и это прекрасно подходит PEAP/MS-CHAP-v2
аутентификация.
Я предполагаю, что предупреждение существует потому что когда ldap
модуль был разработан, PEAP/MS-CHAP-v2
еще не существовал, таким образом, единственная вещь, которая, казалось, имела смысл в то время, состояла в том, чтобы получить атрибут UserPassword с сервера LDAP, для использования КАШИ, CHAP, EAP/MD5 или таких методов аутентификации.
Я попытаюсь ответить на вопрос OpenSSL здесь: короткий ответ должен использовать FreeRADIUS 2.1.8 или выше, который включает OpenSSL. Это доступно в Ясной Ubuntu и бэкпорты Debian Lenny (и вероятно закончится в Ubuntu Кармические бэкпорты также).
Вот длинный ответ:
К сожалению, лицензия OpenSSL раньше была (несколько) несовместимой с лицензией FreeRADIUS. Поэтому люди Ubuntu приняли решение обеспечить двоичный файл FreeRADIUS, не связанный с OpenSSL. Если бы Вы хотели EAP/TLS, PEAP или TTLS, то необходимо было получить источники и скомпилировать их с --with-openssl
опция (поскольку рецепт, который Вы использовали, объясняет).
Но недавно, проблема лицензирования была решена. Версии FreeRADIUS 2.1.8 или выше могут быть скомпилированы и распределены с OpenSSL. Плохие новости - то, что новое стабильное распределение Ubuntu (Кармическая Коала) включает только FreeRADIUS 2.1.0, без OpenSSL (то же идет для Debian, так как Lenny только содержит FreeRADIUS 2.0.4). Я проверил Кармические бэкпорты, но кажется, что FreeRADIUS 2.1.8 или выше не был загружен там, еще (но это может быть скоро добавлено, проверить его здесь). Таким образом, на данный момент необходимо или переключиться на Ясную Ubuntu (который включает FreeRADIUS 2.1.8), или придерживайтесь компиляции. Для пользователей Debian вещи немного более ярки: бэкпорты Lenny включают FreeRADIUS 2.1.8. Таким образом, если Вы хотите что-то очень стабильное, и легкий установить и поддержать, я предлагаю, чтобы Вы развернули сервер с Debian Lenny и установили бэкпортированный пакет FreeRADIUS (это также дает Вам возможность записать модули Python бесплатно, не имея необходимость перекомпилировать со всеми экспериментальными модулями).
Я получил сертификат из http://CACert.org (необходимо, вероятно, получить "реальный" сертификат если возможный),
Существует один "глюк" с "реальными" сертификатами (в противоположность самоподписанным сертификатам).
Я использовал тот, подписанный Thawte. Это хорошо работает, и пользователи видят, что красивый "действительный" сертификат назвал что-то как www.my-web-site.com
. Когда пользователь принимает сертификат, его компьютер на самом деле понимает, что всем сертификатам, выпущенным тем же центром сертификации, нужно доверять (я протестировал это с Windows Vista и Snow Leopard MacOSX)! Таким образом в моем случае, если у хакера есть сертификат для, скажем, www.some-other-web-site.com
, также подписанный Thawte, затем он может выполнить Атаку "человек посередине" легко без любого предупреждения, отображаемого на компьютере пользователя!
Решение этого находится глубоко в конфигурации сети компьютера пользователя, чтобы конкретно указать, что только "www.my-web-site.com" нужно доверять. Просто требуется минута, но большинство пользователей не будет знать, где настроить это, если Вы не даете им четкую процедуру и удостоверяетесь, что каждый пользователь следует за ним. Я все еще использую "действительные" сертификаты, но откровенно неутешительно видеть, что и Windows и MacOSX совместно используют эту "ошибку": доверие Центру сертификации вместо определенного сертификата. Ай...
Вы можете использовать FreeRADIUS2 (с OpenSSL) + EAP-TLS + WPA2-Enterprise. Вот Wery подробное КАК . Windows XP SP3 имеет встроенную поддержку, а также Windows 7, Android 2.3, iPhone, Symbian. Но я не знаю о совместимости с SLDAP в такой схеме.