====== David Beneš ======

**Zadání**: Na domaci wifi siti rozjet overovani proti RADIUS serveru.

__Vstup:__ 
Na Windows rozbehnout radius server
Wifi klienti se budou autentifikovat na radius serveru pomoci MS-CHAP-v2

__Vystup:__ 
Klient se bude moci prihlasit k siti a dostane se na internet
Dale vytvorim postup instalace zverejnim zde na wiki

**Schválení**: ANO (Michal Medvecký)

====== Vypracování ======

__Vyber sotwaru:__
  * TekRADIUS jsem vybral z toho, duvodu, ze na Windows neni prilis siroky vyber bezplatnych RADIUS serveru a RADIUS (Internet Authentication Serice) od Microsoftu ma neprilis siroke moznosti konfigurace. Vyber databaze je dan pozadavky TekRADIUSu.
  * Ze to bude na Windows jsem mel jiz v zadani, ale btw v ubuntu jsem vyzkousel freeRADIUS a tam jsem mel problem s knihovnou, ktera je potreba pro PEAP. Neni u freeRADIUS pribalena kvuli licencnim podminkam...

__Vysledek:__
  * RADIUS byl uspesne nakonfigurovan. Pouzil jsem ho k overovani pocitacu pripojujicich se pres Wi-Fi k AP Ovislink WMM-3000R.
  * RADIUS jsem primarne vybral z toho duvodu, ze nemusim na kazdem klientu nastavovat stejne heslo jako v pripade WPA-PSK.
  * Overeni jsem provedl pripojenim se k takto nastavene wifi siti. To je dolozeno odchycenou komunikaci z WireShark.
  * Dalsi vylepseni by jeste mohlo byt napriklad jeste obsahovat LDAP, kde by se uzivatele overovali a meli dalsi upresnujici atributy. RADIUS tedy nema svoji databazi uzivatelu, ale k tomuto pouziva LDAP. Napriklad pote muzeme mit spravu uzivatelu opravdu na jedinem miste.

__Vystupy:__
  * {{vyuka:cviceni:y36sps:semestralky:radius.zip|Odchycena komunikace pomoci programu Wireshark}}
  * {{vyuka:cviceni:y36sps:semestralky:benesd1.pdf|Prezentace}}

__Použitý software:__
  * Microsoft SQL Server 2005 Express [[http://www.microsoft.com/sql/downloads/trial-software.mspx#EZC|microsoft.com]]
  * Microsoft SQL Management Studio Express [[http://www.microsoft.com/downloads/details.aspx?FamilyID=c243a5ae-4bd1-4e3d-94b8-5a0f62bf7796&displaylang=en|microsoft.com]]
  * TekRADIUS [[http://tekradius.com|tekradius.com]]
  * TekCERT [[http://tekradius.com/release/tekcert.zip|tekradius.com]]
  * SelfSSL [[http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&displaylang=en|microsoft.com]]

__Postup instalace:__
  * nasinatlovat SQL Server
    * Start -> Programs -> Microsoft SQL Server 2005 -> Configuration Tools -> SQL Server COnfiguration Manager
      * SQL Server 2005 Network Configuration -> Protocols for SQLEXPRESS -> TCP/IP
        * Protocols -> General -> Enabled: **Yes**
        * IP Addresses -> IP1 (IP Address: 127.0.0.1) -> Active: **Yes**
        * IP Addresses -> IPAll -> TCP Port: **1433**
  * nainstalovat SQL Management Studio
    * Start -> Programs -> Microsoft SQL Server 2005 -> SQL Server Management Studio Express
      * <jmeno_stroje>\SQLEXPRESS -> Properties -> Security
        * vybrat **SQL Server and Windows Authentication mode**
  * nainstalovat TekRadius
    * Start -> Programs -> TekRADIUS -> TekRADIUS Manager
      * Settings
        * SQL Connection
          * SQL Server: IP adresa stroje s SQL databazi vyuzivanou pro RADIUS server
          * Use Default Authentication Key: pokud budeme pouzivat k vybirani uzivatelu jejich username, muzeme nechat zaskrtnute
        * Database Tables: vytvorit databazi a nasledne potrebne tabulky
        * Accounting Table: pokud budeme pouzivat accounting, definujeme ktere parametry budeme uchovavat.
        * Service Parameters
          * Listen IP Address: IP adresa, na ktere bude radius server cekat na pozadavky
        * Registration
          * vyplnime jmeno a to spolecne s klicem odesleme na adresu registration@tekradius.com, zpet se nam vrati registracni kod po jehoz zadani stiskneme register (registracni kod muzeme pozadovat mnohokrat, vyzkouseno)
      * Clients: Zde pridame klienty (ke kterym bude pripojeni vyzadovano, napr.: Access Point), od kterych budou pozadavky prijimany. A k nim take sdilene tajemstvi, ktere je pouze mezi RADIUS serverem a timto klientem.
      * Users, Groups
         * u uzivatele staci atribut User-Password, ktery budeme kontrolovat.
         * pokud budeme vyuzivat napr autentikaci PEAP, je potreba kotrolovat dalsi atribut, a to TLS-Certificate.
         * zde dale nastavujeme napriklad dalsi omezeni odkud se klient muze pripojit, jakou dostane IP adresu a podobne.
  * vygenerovat certifikat
    * Pomoci utility TekCERT, nebo SelfSSL vygenerujeme certifikat (samozrejme muzeme pouzit nejaky od certifikacni autority)
    * Pokud budeme u klientu pozadovat overeni serveroveho cerifikatu, musime vygenerovat take korenovy certifikat, pote exportovat jeho verejnou cast a tuto cast naimportovat na klientech.

{{vyuka:cviceni:y36sps:semestralky:radius.gif|Prubeh komunikace s RADIUS serverem}}

__Zdroje:__
  * TekRADIUS manual [[http://tekradius.com/Manual.pdf]]


{{vyuka:cviceni:y36sps:semestralky:benesd1.pdf|Prezentace}}

~~DISCUSSION~~