David Beneš
Zadání: Na domaci wifi siti rozjet overovani proti RADIUS serveru.
Vstup: Na Windows rozbehnout radius server Wifi klienti se budou autentifikovat na radius serveru pomoci MS-CHAP-v2
Vystup: Klient se bude moci prihlasit k siti a dostane se na internet Dale vytvorim postup instalace zverejnim zde na wiki
Schválení: ANO (Michal Medvecký)
Vypracování
Vyber sotwaru:
- TekRADIUS jsem vybral z toho, duvodu, ze na Windows neni prilis siroky vyber bezplatnych RADIUS serveru a RADIUS (Internet Authentication Serice) od Microsoftu ma neprilis siroke moznosti konfigurace. Vyber databaze je dan pozadavky TekRADIUSu.
- Ze to bude na Windows jsem mel jiz v zadani, ale btw v ubuntu jsem vyzkousel freeRADIUS a tam jsem mel problem s knihovnou, ktera je potreba pro PEAP. Neni u freeRADIUS pribalena kvuli licencnim podminkam…
Vysledek:
- RADIUS byl uspesne nakonfigurovan. Pouzil jsem ho k overovani pocitacu pripojujicich se pres Wi-Fi k AP Ovislink WMM-3000R.
- RADIUS jsem primarne vybral z toho duvodu, ze nemusim na kazdem klientu nastavovat stejne heslo jako v pripade WPA-PSK.
- Overeni jsem provedl pripojenim se k takto nastavene wifi siti. To je dolozeno odchycenou komunikaci z WireShark.
- Dalsi vylepseni by jeste mohlo byt napriklad jeste obsahovat LDAP, kde by se uzivatele overovali a meli dalsi upresnujici atributy. RADIUS tedy nema svoji databazi uzivatelu, ale k tomuto pouziva LDAP. Napriklad pote muzeme mit spravu uzivatelu opravdu na jedinem miste.
Vystupy:
Použitý software:
- Microsoft SQL Server 2005 Express microsoft.com
- Microsoft SQL Management Studio Express microsoft.com
- TekRADIUS tekradius.com
- TekCERT tekradius.com
- SelfSSL microsoft.com
Postup instalace:
- nasinatlovat SQL Server
- Start → Programs → Microsoft SQL Server 2005 → Configuration Tools → SQL Server COnfiguration Manager
- SQL Server 2005 Network Configuration → Protocols for SQLEXPRESS → TCP/IP
- Protocols → General → Enabled: Yes
- IP Addresses → IP1 (IP Address: 127.0.0.1) → Active: Yes
- IP Addresses → IPAll → TCP Port: 1433
- nainstalovat SQL Management Studio
- Start → Programs → Microsoft SQL Server 2005 → SQL Server Management Studio Express
- <jmeno_stroje>\SQLEXPRESS → Properties → Security
- vybrat SQL Server and Windows Authentication mode
- nainstalovat TekRadius
- Start → Programs → TekRADIUS → TekRADIUS Manager
- Settings
- SQL Connection
- SQL Server: IP adresa stroje s SQL databazi vyuzivanou pro RADIUS server
- Use Default Authentication Key: pokud budeme pouzivat k vybirani uzivatelu jejich username, muzeme nechat zaskrtnute
- Database Tables: vytvorit databazi a nasledne potrebne tabulky
- Accounting Table: pokud budeme pouzivat accounting, definujeme ktere parametry budeme uchovavat.
- Service Parameters
- Listen IP Address: IP adresa, na ktere bude radius server cekat na pozadavky
- Registration
- vyplnime jmeno a to spolecne s klicem odesleme na adresu registration@tekradius.com, zpet se nam vrati registracni kod po jehoz zadani stiskneme register (registracni kod muzeme pozadovat mnohokrat, vyzkouseno)
- Clients: Zde pridame klienty (ke kterym bude pripojeni vyzadovano, napr.: Access Point), od kterych budou pozadavky prijimany. A k nim take sdilene tajemstvi, ktere je pouze mezi RADIUS serverem a timto klientem.
- Users, Groups
- u uzivatele staci atribut User-Password, ktery budeme kontrolovat.
- pokud budeme vyuzivat napr autentikaci PEAP, je potreba kotrolovat dalsi atribut, a to TLS-Certificate.
- zde dale nastavujeme napriklad dalsi omezeni odkud se klient muze pripojit, jakou dostane IP adresu a podobne.
- vygenerovat certifikat
- Pomoci utility TekCERT, nebo SelfSSL vygenerujeme certifikat (samozrejme muzeme pouzit nejaky od certifikacni autority)
- Pokud budeme u klientu pozadovat overeni serveroveho cerifikatu, musime vygenerovat take korenovy certifikat, pote exportovat jeho verejnou cast a tuto cast naimportovat na klientech.
Zdroje:
- TekRADIUS manual http://tekradius.com/Manual.pdf
~~DISCUSSION~~