Lataa esitys
Esittely latautuu. Ole hyvä ja odota
1
Ti5316800 Lähiverkot -erikoistyökurssi RADIUS ja PAM RADIUS ja PAM Pasi Aittoniemi Pasi Aittoniemi 2007 2007
2
Sisältö AAA AAA RADIUS RADIUS RADIUS-protokollan toiminta RADIUS-protokollan toiminta RADIUS-palvelimen asennus RADIUS-palvelimen asennus RADIUS-palvelimen konfigurointi RADIUS-palvelimen konfigurointi PAM-moduulin asennus ja konfigurointi PAM-moduulin asennus ja konfigurointi Testaus Testaus
3
AAA AAA (Authentication, Authorization, Accounting) AAA (Authentication, Authorization, Accounting) RFC 2903 ja RFC 2904 RFC 2903 ja RFC 2904 Käyttäjäntunnistus Käyttäjäntunnistus Käyttäjän henkilöllisyyden varmistus Käyttäjän henkilöllisyyden varmistus Pääsynvalvonta Pääsynvalvonta Pääsy verkon resursseihin Pääsy verkon resursseihin Käytönseuranta Käytönseuranta batch accounting ja real-time accounting batch accounting ja real-time accounting
4
RADIUS (Remote Authentication Dial In User Service) Kehitetty alun perin sisäänsoittopalveluissa tapahtuvaan käyttäjien tunnistukseen Kehitetty alun perin sisäänsoittopalveluissa tapahtuvaan käyttäjien tunnistukseen RFC 2865 ja RFC 2866 RFC 2865 ja RFC 2866 Asiakas-/palvelin-pohjainen käytäntö Asiakas-/palvelin-pohjainen käytäntö Kolme komponenttia Kolme komponenttia käyttäjä käyttäjä asiakas eli NAS (Network Access Server) asiakas eli NAS (Network Access Server) RADIUS-palvelin RADIUS-palvelin
5
RADIUS - pääominaisuudet Pääominaisuudet Pääominaisuudet NAS toimii asiakkaana RADIUS-palvelimelle NAS toimii asiakkaana RADIUS-palvelimelle Jaettu salaisuus Jaettu salaisuus RADIUS-palvelin tukee monia autentikoimismenetelmiä RADIUS-palvelin tukee monia autentikoimismenetelmiä RADIUS-protokolla helposti laajennettavissa RADIUS-protokolla helposti laajennettavissa
6
RADIUS-protokollan toiminta
7
Kommunikointiin käytetään UDP-protokollaa Kommunikointiin käytetään UDP-protokollaa Ei uudelleenlähetystä Ei uudelleenlähetystä Käyttäjä odottaa autentikoinnin päättymistä Käyttäjä odottaa autentikoinnin päättymistä Vaihtoehtoinen palvelin Vaihtoehtoinen palvelin Käytössä portit 1812, 1813 (tilastointi) ja 1814 (proxy) Käytössä portit 1812, 1813 (tilastointi) ja 1814 (proxy)
8
RADIUS-protokollan portit Autentikointi ja pääsynvalvonta Portti 1812 UNIX, paikallinen tietokanta, LDAP Käyttäjän todennus ja käytettävissä olevat resurssit Käytönseuranta Portti 1813 Tilastointi Loki-tiedostot
9
RADIUS-protokollan viesti 16 bittiä8 bittiä KoodiTunnistePituus Tunnistetieto (16 tavua) Ominaisuudet ja arvot (pituus vaihtelee)
10
RADIUS-protokollan viesti Koodi Koodi Viestiliikenteen koodit Viestiliikenteen koodit Tunniste Tunniste Lähetettyjen ja vastaanotettujen viestien yhdistäminen Lähetettyjen ja vastaanotettujen viestien yhdistäminen Pituus Pituus RADIUS-paketin kokonaispituus RADIUS-paketin kokonaispituus
11
RADIUS-protokollan viesti Tunnistetieto Tunnistetieto Vastauksien autentikointi Vastauksien autentikointi Salasanan salaus Salasanan salaus Request Authenticator Request Authenticator Response Authenticator Response Authenticator Ominaisuudet Ominaisuudet Palveluun liittyvät tiedot Palveluun liittyvät tiedot
12
RADIUS-palvelimen asennus FreeRADIUS FreeRADIUS Asennus Asennus # apt-get install freeradius # apt-get install freeradius RADIUS-palvelimen käynnistys ja sammutus RADIUS-palvelimen käynnistys ja sammutus # /etc/init.d/freeradius start # /etc/init.d/freeradius start # /etc/init.d/freeradius stop # /etc/init.d/freeradius stop
13
RADIUS-palvelimen konfigurointi clients.conf clients.conf client 127.0.0.1{ client 127.0.0.1{ secret = testi shortname = localhost } client 192.168.1.0/24{ client 192.168.1.0/24{ secret = lahiverkot2006 shortname = dmz }
14
RADIUS-palvelimen konfigurointi clients.conf clients.conf client 192.168.10.0/24{ client 192.168.10.0/24{ secret = lahiverkot2006 shortname = office } NAS192.168.10.6{ NAS192.168.10.6{ secret = lahiverkot2006 shortname = office6 nastype = other }
15
RADIUS-palvelimen konfigurointi Users Users ”test”Auth-Type == Local, User- Password == ”test123” ”test”Auth-Type == Local, User- Password == ”test123” Reply-Message = “Hello, %u”
16
RADIUS-palvelimen konfigurointi Radiusd.conf Radiusd.conf passwd = /etc/passwd passwd = /etc/passwd shadow = /etc/shadow shadow = /etc/shadow group = /etc/group group = /etc/group
17
PAM-moduulin asennus PAM (Pluggable Authentication Module) PAM (Pluggable Authentication Module) Käyttäjien autentikointi Käyttäjien autentikointi pam_radius_auth-moduuli pam_radius_auth-moduuli asennettiin office6-koneelle asennettiin office6-koneelle # apt-get install libpam-radius-auth # apt-get install libpam-radius-auth
18
PAM - konfigurointi /etc/pam_radius_auth.conf /etc/pam_radius_auth.conf 192.168.1.3lahiverkot20063 192.168.1.3lahiverkot20063 Radiusd.conf Radiusd.conf pam{ pam{ pam_auth = radiusd }
19
PAM - konfigurointi Radiusd.conf Radiusd.conf authenticate{ authenticate{pamunix #ldap #mschap #eap }
20
PAM - konfigurointi /etc/pam.d/radiusd /etc/pam.d/radiusd #%PAM-1.0 #%PAM-1.0 authrequired/lib/security/pam_unix_auth.so shadow md5 nullok authrequired/lib/security/pam_unix_auth.so shadow md5 nullok authrequired/lib/security/pam_nologin.so authrequired/lib/security/pam_nologin.so accountrequired/lib/security/pam_unix_acct.so accountrequired/lib/security/pam_unix_acct.so password required/lib/security/pam_cracklib.so password required/lib/security/pam_cracklib.so passwordrequired/lib/security/pam_unix_passwd.so shadow md5 nullok use_authok passwordrequired/lib/security/pam_unix_passwd.so shadow md5 nullok use_authok sessionrequired/lib/security/pam_unix_session.so sessionrequired/lib/security/pam_unix_session.so
21
Testaus Varmistetaan, että palvelin on ylhäällä Varmistetaan, että palvelin on ylhäällä # netstat –lnp |grep radius # netstat –lnp |grep radius Debug-tila Debug-tila # usr/sbin/freeradius -X # usr/sbin/freeradius -X Radtest Radtest # radtest test test123 127.0.0.1 0 testi # radtest test test123 127.0.0.1 0 testi
Samankaltaiset esitykset
