Carregant...
 

Inicialització del Freeradius

1. Introducció


El FreeRADIUS fa referència a un servidor RADIUS, que és un dels protocols més utilitzats d'autenticació d'usuaris per a donar accés a una xarxa. LliureX facilita la instal·lació i configuració d'aquest sistema a través d'una aplicació en el Zero-center, que ens permet donar accés a la xarxa del centre a través d'una wifi autenticant-nos amb un usuari de l'LDAP.

 

2. Esquema de xarxa


En primer lloc, hem de tindre clar quin és el nostre esquema de xarxa, així com els punts d'accés que utilitzarem. Cal tindre en compte que els punts d'accés domèstics admeten entre 8 i 16 dispositius connectats. És per això que hem de fixar-nos bé en aquest paràmetre si volem dimensionar bé la nostra xarxa.

Una configuració típica al nostre centre podria ser la següent:


Freeradius 1 Val


Hem de tindre en compte que si configurem un servidor d'aula en lloc d'un servidor mestre, el servidor no anirà connectat al mòdem de MacroLAN sinó que anirà connectat al servidor mestre. A més, en lloc d'un encaminador (router) per als punts d'accés, podem tindre un commutador (switch) al qual no donem cap adreça IP, ja que és bastant habitual tindre el servidor treballant com a encaminador.

 

3. Consideracions prèvies


Hem de fixar-nos que connectem els punts d'accés al commutador/encaminador de la xarxa interna del nostre servidor. Recordem que la IP del servidor és, per defecte, 10.2.1.254. A més, hem de tindre en compte la quantitat de dispositius que es connectaran al servidor. Per defecte, la màscara és 255.255.255.0, la qual cosa permet tindre uns 250 dispositius. Per a evitar-nos problemes, quan inicialitzem el servidor podem posar la màscara 255.255.0.0, així podrem connectar més de 65000. Si ja tenim el servidor inicialitzat podem canviar la configuració de xarxa.


2 Freeradius Val

 

 

 Atenció
És important tenir clar quines adreces anem a donar als punts d'accés, per pdoer gestionar-los després. Podem veure el rang de ips que reserva LliureX ací. Les adreces que donem als punts d'accés han d'estar reservades ja que podria donar-se el cas que el servidor assignés una adreça que ja està sent utilitzada.

 

4. Inicialització del FreeRADIUS


Per a inicialitzar el FreeRADIUS, en primer lloc, hem de configurar la IP de l'encaminador al qual es connecten els punts d'accés (caldrà consultar el manual de l'encaminador per a poder accedir-hi; molts d'aquests vénen configurats per defecte amb l'adreça 192.168.0.1 o 192.168.1.1) i configurar-lo perquè utilitze el protocol RADIUS. A l'exemple li hem donat l'adreça 10.2.X.X. Cal tindre en compte que la màscara de xarxa de cadascun dels punts d'accés ha de ser 255.255.0.0, si no, les adreces hauran de ser només del tipus 10.2.1.X.

A més a més, hem de posar un nom a la xarxa sense fil, "proves"al nostre exemple. Si volem diferenciar a quin punt d'accés ens estem connectant, podem posar-li noms diferents (proves1, proves2,proves3, etc.), si no, podem posar el mateix nom per a tots.

També és recomanable desactivar el protocol DHCP de cadascun dels punts sense fil i de l'encaminador, si n'utilitzem un, ja que les adreces ens les proporcionarà el servidor.
A l'exemple següent tenim una interfície de configuració d'un encaminador Tp-Link (tingueu en compte que el sistema pot variar en funció de la marca i de l'entorn de configuració que utilitze l'encaminador). El Radius Server IP es la IP de la xarxa interna del nostre servidor, per defecte en LliureX és 10.2.1.254.


3 Freeradius Val


Una vegada tenim configurat l'encaminador i els punts d'accés, anem al Zero-center i iniciem el LliureX FreeRADIUS.


3 Freeradius


Ens autentiquem amb l'administrador del servidor.


4 Freeradius


Aleshores ens apreixerà la pantalla següent en la qual haurem de configurar els paràmetres que hi ha a continuació.

 

Paràmetre Configuració
Servidor de RADIUS El nostre servidor: server.
Contrasenya de RADIUS Aquesta contrasenya ha de coincidir amb la configuració del punt d'accés.
Usuari LDAP No cal tocar res.
Contrasenya LDAP Aquesta contrasenya és la de l'usuari roadmin. Cal assegurar-se que l'usuari existeix.
Wifi Encaminador IP Ací podem escriure l'adreça de l'encaminador al qual es connecten els punts d'accés, si n'hem utilitzat cap. Però podem posar igualmet __server_ ja que el nostre servidor està actuant d'encaminador.


Per a inicialitzar l'usuari roadmin hem de fer-ho des del llum. Anem a l'apartat d'Administrador només de lectura de LDAP, posem la contrasenya i li donem a Aplicar. (Si l'usuari no s'inicialitza correctament podem solucionar-ho ací).


Freeradius


2 Freeradius


Una vegada fem clic a Aplica, ens apareixerà "Inicialització completada". En aquest moment ja tindrem el FreeRADIUS funcionant i inicialitzat al nostre servidor. És convenient que comprovem que el servei funciona, executant al terminal l'ordre següent:

 

sudo service freeradius status


I veure així que el FreeRADIUS funciona:


5 Freeradius


Ara ja podem connectar-nos a la xarxa sense fil; quan ens connectem apareixerà la pantalla següent en la qual hem d'autenticar-nos amb un usuari i contrasenya de l'LDAP.


10 Freeradius


És possible que no tinguem accés a Internet o que no ens deixe autenticar-nos. Hem d'assegurar-nos que tenim l'encaminament activat.


11 Freeradius

 

5. Proves


El FreeRADIUS ens ofereix una sèrie d'eines que ens permeten verificar que tot funciona correctament i que s'autentiquen correctament els usuaris. Per a tal fi, podem fer una prova amb un usuari de l'LDAP, i així ens assegurem que tot va bé.

En aquest cas provem d'autenticar un usuari "prova" amb la contrasenya"prova" sobre el nostre servidor (localhost), i al final hem d'escriure la contrasenya RADIUS, que en aquest cas és "lliurex".

radtest prova prova localhost 0 lliurex



6 Freeradius


També podem iniciar el FreeRADIUS en mode de depuració. Cal que us assegureu que no teniu el FreeRADIUS en funcionament abans d'entrar en mode de depuració.

 

sudo service freeradius stop sudo freeradius -X


D'aquesta manera també podem accedir ja a la wifi creada amb un usuari de l'LDAP.


10 Freeradius


Al servidor podem comprovar com el nostre usuari s'ha autenticat i és acceptat pel servidor. En aquest cas les proves les hem fet identificant-nos amb l'usuari "este" des del punt d'accés 10.2.100.1.


7 Freeradius

Mastodon E-Mail