Autenticação de cliente 802.1x WPA utilizando EAP-TTLS FreeRADIUS + Samba + LDAP

cesarprescher

Este tutorial tem como objetivo demonstrar a instalação dos serviços necessários para se obter uma internet WIFI 802.1x com segurança e autenticada em uma base LDAP.

[ Hits: 32.824 ]

Por: Cesar Henrique Prescher em 19/04/2010

1 0

Denuncie Favoritos Indicar Impressora

FreeRADIUS

Pacotes a serem instalados para o FreeRadius.

No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador de software):

freeradius
libfreeradius1
libfreeradius1-devel

Para instalação em Ubuntu, pode-se seguir a fonte: Instalação do Freeradius com suporte a EAP-TLS e PEAP-TTLS MSCHAPv2 no Ubuntu

Configuração dos arquivos.

/etc/raddb/radiusd.conf

#mude as linhas
...
log_auth = yes

log_auth_badpass = yes
log_auth_goodpass = yes
...
lower_user = yes
lower_pass = yes
...
#no módulo mschap adicione a linha:
authtype = MS-CHAP
#descomente e altere:
use_mppe = yes
...
require_encryption = yes
...
with_ntdomain_hack = yes
...
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped-User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00}
...
#comente as linhas
#ippool main_pool {
   #range-start = 192.168.1.1
   #range-stop = 192.168.3.254
   #netmask = 255.255.255.0
   #cache-size = 800
   #session-db = ${raddbdir}/db.ippool
   #ip-index = ${raddbdir}/db.ipindex
   #override = no
   #maximum-timeout = 0
#}
...

/etc/raddb/clients.conf:

## obs.: foram tiradas todas as linhas não usadas ##
client 127.0.0.1 {
   secret = 1234
   shortname = localhost
   nastype = other
}
client IP_do_AP{
   secret = senha_do_AP
   shortname = SSID_do_AP
   nastype = other
}
##obs.: quantos forem os AP`s, faça um novo módulo para cada um dentro deste arquivo

/etc/raddb/eap.conf:

...
#mude
default_eap_type = peap

...
#comente
#leap {
#}
...
#descomente
challenge = "Password: "
...
tls {
    private_key_password = whatever
    private_key_file = ${raddbdir}/certs/cert-srv.pem
...
    certificate_file = ${raddbdir}/certs/cert-srv.pem
...
    CA_file = ${raddbdir}/certs/demoCA/cacert.pem
...
    dh_file = ${raddbdir}/certs/dh
    random_file = ${raddbdir}/certs/random
...
    fragment_size = 1024
...
    }
...
ttls {
   default_eap_type = md5
   copy_request_to_tunnel = no
   ...
   use_tunneled_reply = no
   }
...
peap {
...
   default_eap_type = mschapv2
...
   }

/etc/raddb/users:

#altere a linha
DEFAULT Auth-Type = EAP
...

##comente as linhas

#DEFAULT    Service-Type == Framed-User
#   Framed-IP-Address = 255.255.255.254,
#   Framed-MTU = 576,
#   Service-Type = Framed-User,
#   Fall-Through = Yes

Configurações de usuários

Acesse o link:

Manual de configuração para uso do serviço WIFI-IFSC - Wiki

E veja as configurações de usuários para Linux e Windows.

Página anterior

Páginas do artigo

   1. LDAP
   2. Servidor Samba e Winbind
   3. FreeRADIUS

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Bootsplash nos kernels 2.6.17.13 e 2.6.18 no Slackware 11

Configurando o CACIC (parte 3)

Instalação da Broadcom 1390 no Debian Etch

Montando sua Web Rádio no Linux com DJ Automático

ROX-Files: Ícones para gerenciadores de janelas que não suportam ícones

Comentários

[1] Comentário enviado por manoserpa em 19/04/2010 - 17:46h

Muito bom!

Já brinquei uma vez com FreeRADIUS para um seminário do faculdade.

Parabéns!

0 0

[2] Comentário enviado por m4sk4r4 em 19/04/2010 - 21:36h

Muito bom o artigo.

Parabéns!!!

0 0

[3] Comentário enviado por removido em 20/04/2010 - 11:28h

Que distribuição você usou ?

0 0

[4] Comentário enviado por cesarprescher em 21/04/2010 - 11:26h

na época usei o Mandriva 2009 e Ubuntu 9.04 (esse foi o que mais efetuei testes pois a Instituição que eu estava fazendo o projeto usaria Ubuntu server para aplicar o sistema para uso de todos)

0 0

[5] Comentário enviado por grandmaster em 03/05/2010 - 18:08h

Bem util para aumentar a segurança.

Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

0 0