2008-09-08

Fedora上的RADIUS over LDAP

久久玩弄的fedora,今日剛完就有新進展…
沒錯,回花蓮前的RADIUS over LDAP,因為苦無頭緒,所以在回家前就先放棄了…

然而,本狐狸靠著努力不shit的精神,而且又恰好碰到這個網站在今年八月的資料提供,對本狐狸更是有如虎添翼的效用…

ok,接下來就是這RADIUS over LDAP的實錄筆記
----------------------------------------------------
1.把freeradius抓下來安裝,我是直接用yum去install,不過,該網站是建議利用檔案來make config來勾選ldap的方式安裝的,我的感覺是一樣啦,所以,yum比較方便

2.裝完之後,可以到/etc/raddb底下,將radius.conf、client.conf、user、proxy.conf四個檔案先cp個backup起來…


3.首先,編輯radius.conf,找到ldap這一個block,以我目前的狀況,會如下表來設定
ldap{
server = "your ldap server address"
basedn = "ldap上的起始位置(ou=People,dc=.....)"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
# 查詢過瀘
base_filter = "objectclass=posixAccount"
# 這一個比較好玩,可以在ldap新增成員時,在objectclass來當作分類
access_attr = "uid"
# 存取的屬性,也就是sql語法中的select
password_attirbute = userPassword
# 密碼的屬性,可以當作sql語法中的where
password_header = "{crypt}"
# 密碼加密的標頭
}
其他預設值就好
再來,在同一個檔案(radius.conf)中,找到authorize的block,然後把ldap的註解#拿掉
最後,同一檔案中,找到authenticate的block,一樣把ldap的註解#拿掉,這就完成了radius.conf

4.編輯users

DEFAULT Auth-Type = System
Fail-Through =1
底下多加入
DEFAULT Auth-Type := LDAP
Fail-Through = 1
不過,我是把system的註解掉了…
users的修改到此

5.編輯clients.conf,這個檔案是設定來源端的權限跟登入的密碼的
像,若是本機(127.0.0.1)使用的話
client 127.0.0.1{
serect 設定密碼(預設是testing123)
shortname = localhost(radtest時用的簡短名稱)
nastype = other(其實我也不是很曉得這是啥,感覺上跟nas使用有關吧)
}
若是其他(10.0.0.0~10.0.255.0)使用的話,大至上的設定同上,只不過,127.0.0.1就要改成10.0.0.0/16,就是一個class b

6.proxy.conf,其實,這是給多台認証伺服器用的…在我的看法叫作安全機制上的分流,基本上設定看那個檔案中的範例就很好了解

7.啟動radius,執行service radius restart

8.最後的總關鍵…就是測試radius是否會叫ldap要求
radtest username userpassword host-(short)name port host-password
這是在radius那台上的測試指令…port若是使用radius的預設port-1812的話,port可以輸入0,1813就是1…

若是啟動radius服務沒失敗的話,在radtest下大約只有三種結果…
1.可能你的user帳號、密碼錯了
rad_recv : Access-Reject packet from host........

2.可能你的伺服器帳號、密碼錯了
rad_recv : Access-Reject packet from host........
rad_verify: Received Access-Reject packet from client......

3.測試成功
rad_recv : Access-Accept.................
-----以上RADIUS over LDAP was end-----

再來,在wireless上的新增radius的認証介紹
在認証方法與優先權上我是使用預設值…認証方式就是pap,優先權是0(反正只有一台radius)
重點是在密碼的設定…這密碼的設定當然就是指這一台wireless要去向radius要求認証的行為嘛…
就跟radtest一樣…所以,這一邊的重點就是在,你在clients.conf上是否有把這台wireless的ip來源新增出來,有沒有設定他所使用的secret…有的話,那這所為的共有密碼當然就是你設定wireless這一台ip範圍的secret囉…

18 則留言:

wbuffe 提到...

你中秋節會回花蓮嗎
還是待在台南..

死狐狸 提到...

台南吧…中秋又沒多放…
這樣來回花蓮太趕又花錢…

小胖他不是說他要上台北烤

wbuffe 提到...

我國中同學找我回去耶... 再想要不要回去....

愛*薇兒 提到...

幹的咧...(恕我在這罵髒話) 高中同學找就不回來 國中同學找就要考慮 看清原住民了

死狐狸 提到...

喵的咧(用替代字我看得懂)…
他又不是第一次這樣了…暑假不也是他大學同學突然說不玩了,他才回花蓮的…

原住民…哼…看清清了啦

wbuffe 提到...

看樣子你們還蠻容易看輕我的嘛XD
我國中同學只剩2個耶....而且這不是同學會呀
同學會在前2週 我就沒回去了....

死狐狸 提到...

一 一…
我能叫同學的,大學以前就只有你們耶…
而且我叫你們都是叫死黨、兄弟的,還沒用過同學這名號的說…

總之,颱風來啦,你還要回去嗎…

我是一定不會回去的啦,因為再請假很累

wbuffe 提到...

↑已經沒回去了 而且颱風走超慢的.....

死狐狸 提到...

7km/hr....時速…
這是我們經常預測失準的氣象局說的颱風時速…
不過,早上台南應該就有九、十級的風在吹了…現在是還沒下雨,不過看電視說台中地方在下雨了

wbuffe 提到...

其實感覺沒什麼雨XD沒感覺..
只要沒停水停電 又覺得沒什麼

突然想到 不要平時沒事住上山 停電機率比較高xd

死狐狸 提到...

平時沒事會上山的人,是那一些死腦袋又看不懂氣象雲圖去爬山的人

愛*薇兒 提到...

宅宅夜訪貓空啃瓜泡茶賞景團
時間:9/20(六)晚上八點以後
成員暫定:
我、阿糾、阿筆、阿呆、我表弟
阿狸要不要上來呀?
住的地方沒問題

死狐狸 提到...

應該不會吧…
身上的錢差不多排好到月底了…

沒多的錢…唉…

我何時才能決心找新的工作…月入三萬的基本工作

wbuffe 提到...

小胖是晚上呀-口-
那什麼時候回來 我隔天還要做禮拜呀....

死狐狸 提到...

一 一
玩樂比較大啦

wbuffe 提到...

可能不行...因為禮拜是一定要去的
下午的打壘球更要去...........不能玩晚的..

愛*薇兒 提到...

阿呆晚上八點就可以從狗籠被放出來了
所以...抓緊時間就趕快上山了
你極限是到幾點?


我blog應該不傷眼了 再傷你就去看醫生吧!

死狐狸 提到...

收到…馬上去就看看