Ako nastaviť Radius server na pfSense pomocou balíka FreeRadius2

Obsah

• Prečo používať pfSense ako server Radius?
• Inštalácia balíka
• Konfigurácia rozhrania
• Pridávanie klientov
• Vytváranie používateľských účtov
• Pridávanie zariadení
• Riešenie problémov
• Kontrola stavu služby
• Skontrolujte protokoly
• Správy polomeru Syslog
• Testovanie služby pomocou aplikácie Radtest
• Kroky na vykonanie testu
• Skvelé spôsoby, ako používať nový server Radius

Sam pracuje ako sieťový analytik pre algoritmickú obchodnú spoločnosť. Bakalársky titul v odbore informačné technológie získal na UMKC.

V tomto článku sa chystám prejsť procesom nastavenia polomerového servera na pfSense.

Radius poskytuje centrálny zdroj autentifikácie pre rôzne sieťové zariadenia a služby. Niektoré bežné použitia na autentizáciu v okruhu sú VPN, portály na prihlásenie do siete, prepínače, smerovače a brány firewall.

Centrálne overovanie je oveľa jednoduchšie spravovať ako sledovanie rôznych miestnych účtov naprieč samostatnými zariadeniami v sieti.

Prečo používať pfSense ako server Radius?

PfSense je skvelým hostiteľom pre radius server, pretože služba nevyžaduje veľa systémových prostriedkov. Služba môže ľahko zvládnuť autentizáciu pre niekoľko stoviek klientov bez toho, aby to malo vplyv na výkon.

Vďaka vhodnému hardvéru sa dá ľahko rozšíriť tak, aby podporoval tisíce klientov. V skutočnosti pfSense dokonca umožňuje spustenie okruhu na vyhradenom sieťovom rozhraní.

Ak už vo svojej sieti používate program pfSense, nie je naozaj potrebné vytvárať samostatný server iba pre server Radius.

Inštalácia balíka

Správca balíkov pfSense 2.X obsahuje ako možnosti inštalácie FreeRadius aj FreeRadius2. V tomto príklade budem používať FreeRadius2, pretože má niektoré ďalšie funkcie, ktoré sa v predchádzajúcej verzii nenašli.

Na server pfSense je možné naraz nainštalovať iba jednu verziu polomeru. Ak ste predtým nainštalovali ľubovoľné balíky rádiusu, najskôr ich odstráňte.

Inštalácia balíka nakrátko preruší prenos prechádzajúci smerovačom pri spustení služby, preto buďte pri spustení inštalácie na produkčnom systéme opatrní.

1. Otvorte správcu balíkov v systémovej ponuke webového rozhrania.
2. Inštaláciu spustíte kliknutím na symbol plus vedľa položky FreeRadius2.
3. Inštaláciu balíka potvrďte kliknutím na „OK“.

Proces nastavenia automaticky stiahne a nainštaluje radius balík spolu so všetkými jeho závislosťami. Inštalácia zvyčajne trvá pár minút.

Po dokončení bude v ponuke služieb pre balíček nová položka ponuky.

Konfigurácia rozhrania

Prvá vec, ktorú musíte urobiť, je určiť jedno alebo viac rozhraní pre radius server, na ktorých sa má počúvať. Konfiguračné nastavenia pre FreeRadius nájdete v ponuke služieb.

Vo väčšine prípadov budete chcieť službu viazať na rozhranie LAN.

1. Kliknite na kartu rozhrania na stránke nastavení.
2. Kliknutím na ikonu so symbolom plus pridáte nové rozhranie.
3. Do poľa IP adresa rozhrania zadajte LAN IP adresu LAN.
4. Kliknite na tlačidlo Uložiť

Zvyšok nastavení môže zostať v predvolenom nastavení.

Pridávanie klientov

Ďalším krokom v konfigurácii autentifikačného servera je pridanie položiek klienta. Každé zariadenie, ktoré bude na autentifikáciu používať radius server, bude musieť mať v nastaveniach nakonfigurovanú položku klienta.

1. Kliknite na kartu NAS / Klienti.
2. Do poľa IP klienta zadajte IP adresu zariadenia, z ktorého budú prichádzať žiadosti o autentifikáciu.
3. Do poľa zdieľaného tajného kľúča klienta zadajte bezpečné heslo. Toto bude potrebné zadať aj na klientskom zariadení.

V sekcii rôzne konfigurácie by ste mali z rozbaľovacieho poľa zvoliť typ klienta. Ak žiadny z uvedených typov nie je vhodný, môžete zvoliť iný.

Vytváranie používateľských účtov

Posledným krokom je vytvorenie používateľských účtov. Účty vytvoríte tak, že v nastaveniach balíka prejdete na kartu používatelia a kliknutím na symbol plus otvoríte stránku na vytváranie nových používateľov.

Na tejto stránke sú iba dve povinné polia, používateľské meno a heslo. Všetky ďalšie nastavenia sú voliteľné a vzťahujú sa väčšinou na používateľov portálu v zajatí.

Pridávanie zariadení

V tomto okamihu by mal byť radius server teraz funkčný a pripravený prijímať prichádzajúce žiadosti o autentifikáciu. Teraz môžete začať smerovať zariadenia na server.

Zariadenia bude potrebné nakonfigurovať pomocou nasledujúcich položiek.

1. LAN IP adresa systému pfSense alebo ktorékoľvek rozhranie, ktoré ste vybrali, aby sa naviazal na radius server.
2. Kľúč polomeru, ktorý ste priradili na karte klientov.
3. Autentifikačný port by mal byť nastavený na 1812 alebo port, ktorý ste priradili na karte rozhrania.

Riešenie problémov

Kontrola stavu služby

Prvá vec, ktorú by ste mali urobiť, ak máte problémy, je zabezpečiť, aby bola spustená služba okruhu.

Ak nefunguje, skúste ho spustiť kliknutím na ikonu prehrávania vedľa položky radiusd.

Ak sa zdá, že sa služba nespustí, pokračujte a preinštalujte balík na vyriešenie problému.

Pri opätovnej inštalácii by ste nemali stratiť žiadnu konfiguráciu, ale po obnovení sa uistite, že všetko vyzerá dobre.

Všimol som si, že niekedy klientske konfigurácie zmizli, keď som vykonal preinštalovanie.

Skontrolujte protokoly

Systémové protokoly môžu poskytnúť informácie o tom, prečo nastáva problém. Ak chcete zobraziť protokoly, kliknite na systémové protokoly v stavovej ponuke.

Na karte systém zadajte „root: freeRADIUS“ bez úvodzoviek v poli dole a potom kliknite na filter. Zobrazí sa správy o spustení a vypnutí služby.

Správy o úspechu a zlyhaní autentifikácie nie sú viditeľné v systémových denníkoch, aby ste ich mohli zobraziť, musíte nakonfigurovať a vzdialený server syslog.

Správy polomeru Syslog

Testovanie služby pomocou aplikácie Radtest

Balík rádiusov obsahuje obslužný program s názvom Radtest, ktorý je možné použiť na otestovanie služby a zistenie, či funguje správne.

Radtest je užitočný, pretože vám umožňuje pred opätovnou konfiguráciou všetkých zariadení v sieti zistiť, či autentifikácia funguje.

Kroky na vykonanie testu

1. Pridajte rozhranie s IP adresou 127.0.0.1.
2. Nastavte typ rozhrania na „Auth“, použite predvolený port (1812).
3. Pridajte klienta / NAS s IP 127.0.0.1 a zdieľaným tajným „testom“.
4. Vytvorte testovací používateľský účet na karte Používatelia.
5. Prihláste sa do pfSense cez SSH alebo použite funkciu príkazového riadku v diagnostickej ponuke.
6. Spustite príkaz uvedený nižšie a nahraďte používateľské meno> a heslo> povereniami, ktoré ste priradili.

radtest username> heslo> 127.0.0.1:1812 0 test

Ak je test úspešný, mala by sa zobraziť správa „rad_recv: Access-Accept“.

Skvelé spôsoby, ako používať nový server Radius

Keď začnete používať autentifikáciu v centrálnom okruhu, už sa nikdy nebudete chcieť vrátiť k miestnym používateľským účtom. Ďalej som vytvoril zoznam skvelých spôsobov, ako využiť výhody vášho nového servera rádius.

• Overenie totožnosti portálu: Nastavte bezdrôtový hotspot pre svoju domácnosť alebo podnik a použite okruh ako zdroj autentifikácie captive portálu.
• Vzdialený prístup VPN: Nakonfigurujte pfSense tak, aby fungoval ako server VPN a používal centralizované overovanie používateľských účtov.
• Sieťové prepínače: Namiesto použitia miestnych používateľských účtov nasmerujte spravované prepínače na pfSense.

Tento článok je presný a pravdivý podľa najlepšieho vedomia autora. Obsah slúži iba na informačné alebo zábavné účely a nenahrádza osobné rady ani odborné rady v obchodných, finančných, právnych alebo technických záležitostiach.