eduroam Training Конфигурација на freeradius

Агенда  Инсталација и конфигурација на freeradius  Конфигурација на eduroam Service provider (Авторизација)  Конфигурација на eduroam Identity provider (Автентификација)  Конфигурација на Access Point  Конфигурација на клиенти

Identity vs. Service Provider  Home institution = Identity Provider База за управување со идентитети Врши АВТЕНТИФИКАЦИЈА – Дали корисникот е оној кој се претставува дека е?  Visited institution = Service Provider Ја нуди својата мрежна инфраструктура (e.g. Access points, VLANS, пристап до интернет, RADIUS сервери) Врши АВТОРИЗАЦИЈА – Каков мрежен пристап треба да добие корисникот?

Service Provider (SP)  Конфигурација на RADIUS сервер  Конфигурација access point со SSID eduroam  Конфигурација на supplicants

freeradius   Компајлирање и инсталација на FreeRADIUS./configure --sysconfdir=... make make install  Конфигурациските фајлови се наоѓаат во $SYSCONFDIR/raddb/*

Важни фајлови  clients.conf  proxy.conf  sites-enabled/eduroam  radiusd.conf

clients.conf  Дефиниција на клиенти - уреди коишто можат да праќаат request-и до серверот : Access points претставуваат клиенти за RADIUS серверот Останатите RADIUS сервери во хиерархијата се исто така клиенти  Секој клиент е дефиниран со посебна client {... } структура Дефиницијата вклучува shared secret

clients.conf #Definicija na RADIUS klienti (NAS, Access Point, itn.). #localhost za testiranje client localhost { ipaddr = secret = testing123 shortname= localhost nastype = other virtual_server = eduroam } #access points so shared secrets client __CLIENT_DESCRIPTIVE_NAME__{ ipaddr = __CLIENT_IP_ADDR__ netmask = 32 secret = __SHARED_SECRET__ shortname = __CLIENT_SHORT_NAME__ nastype = other virtual_server = eduroam } #uplink RADIUS server od federacijata client tld1.eduroam.mk { ipaddr = netmask = 32 secret =_SHARED_SECRET__ shortname = eduroam-tld1 nastype = other virtual_server = eduroam }

proxy.conf  Препраќање на request-и дo FLRs и управување со realms  Рутирањето во eduroam се базира на т.н. realms кои се одредуваат  home_server, home_server_pool и realm DEFAULT (во proxy.conf) + suffix модул

proxy.conf proxy server { default_fallback = yes } #FTLR home_server tld1-eduroam-mk { type = auth+acct ipaddr = port = 1812 secret = __SHARED_SECRET__ response_window = 20 zombie_period = 40 revive_interval = 60 status_check = status-server check_interval = 10 num_answers_to_alive = 3 } home_server_pool EDUROAM-FTLR { type = fail-over home_server = tld1-eduroam-mk } realm NULL { nostrip } realm DEFAULT { pool = EDUROAM-FTLR nostrip }

radiusd.conf  Референцира т.н. Виртуелни сервери  Виртуелниот сервер (eduroam) дефинира кои модули се извршуваат за даден request  SP не врши автентификација, само ги препраќа добиените пакети од клиентите до proxy серверите, откако ќе ги испроцесира realm suffix { format = suffix delimiter = }

eduroam Виртуелен сервер preacct { suffix } accounting { } pre-proxy { pre_proxy_log if (Packet-Type != Accounting- Request) { attr_filter.pre-proxy } post-proxy { attr_filter.post-proxy post_proxy_log } server eduroam { authorize { auth_log suffix } authenticate { } post-auth { reply_log Post-Auth-Type REJECT { reply_log }

Identity Provider (IdP)  Identity Provider = Service Provider + : Сопствен realm (__institucija__.mk) EAP Endpoint - Неколку конфигурациски промени во серверот База на корисници

proxy.conf  сопствениот realm се обработува локално realm __INSTITUCIJA__.mk { nostrip }

Виртуелен сервер eduroam  EAP модулот се додава во authorize и authenticate authorize { auth_log suffix if ((Proxy-To-Realm == DEFAULT) && (User-Name =~ update control { Proxy-To-Realm := NULL } eap } authenticate { eap }

eduroam-inner- tunnel  Внатрешна автентификација: нов виртуелен сервер eduroam-inner-tunnel authorize { auth_log files mschap pap } post-auth { reply_log Post-Auth-Type REJECT { reply_log } authenticate { Auth-Type PAP{ pap } Auth-Type MS-CHAP{ mschap }

eap.conf  дефинира: дозволени EAP методи Серверски сертификат eap { …. ttls { default_eap_type = pap copy_request_to_tunnel = yes use_tunneled_reply = yes virtual_server = "eduroam- inner-tunnel" } peap { default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes virtual_server = "eduroam- inner-tunnel" } }

eduroam Training Конфигурација на Access Point

Конфигурација на Access Point  SSID  Encryption  NTP  RADIUS uplink  IP адреса

Конфигурација на Access Point (dd-wrt)  Setup  Basic Setup  Time Settings (конфедерациско побарување: сигурен временски извор)

Конфигурација на Access Point (dd-wrt)

eduroam Training Конфигурација на Supplicants

DELL Wireless WLAN Card Utility

DELL Wireless WLAN Card Utility

DELL Wireless WLAN Card Utility

DELL Wireless WLAN Card Utility

Intel® PROSet/Wireless

Intel® PROSet/Wireless

Intel® PROSet/Wireless

SecureW2  Control Panel  Network Connections  Wireless Network Connection WPA2/AES или WPA/TKIP * WPA patch за XP SP2

SecureW2

SecureW2

SecureW2

ПРАШАЊА?