2011.01.05. 0:16 keltezéssel, Fodor Zsolt írta:
Üdv Mindenkinek!
Adott néhány router, amelyet használnának a kollégák. A routerekben
beállítható, hogy egy radius szerver végezze az azonosítást.
Adott egy linux szerver (debian lenny), hogy semmi mást ne zavarjon,
tekinthető tesztszervernek, arra a célra hoztam létre, hogy kikísérletezzem a
beállítást.
Itthon is megvan a párja, most éppen az előtt (is) ülök.
Túl sok időm nem volt rá (meg nem is lesz), de nem tűnt bonyolultnak a
beállítás... Egy volt tanítvány azt mondta, hogy a csomagként meglévő
freeradius szerver nem lesz jó, fordítsak egyet forrásból. (Ezt a lépést még
októberben megtettem verziószám 2.1.10, igaz kb. szilveszterig pihent az ügy.)
Ezt próbáltam követni:
http://www.freesoftwaremagazine.com/community_posts/howto_incremental_setup_freeradius_server_eap_authentications
A 3. lépésig eljutok, a radeapclient localhostról megy, másikról nem, mert meg
debug módban indított freeradius nem is érzékeli, hogy szólították. (A
routeren keresztül küldött kérést ugyanakkor érzékeli, tehát nem a
clients.conf-ban szúrtam el, mert a gép és a router címe is ugyanúgy szerepel.)
Hogyan tovább?
Esetleg nincs valami tuti leírás, amiben a lehetséges hibák utáni teendők is
szerepelnek?
Én is próbálkoztam, de aztán rájöttem, hogy ez nem az amire gondoltam..
Sajnos a RADIUS azonosítás opció a közönséges AP-k esetén valójában
802.1X protokollt jelent, ami vázlatosan azt jelenti, hogy a freeradius
EAP-TLS, EAP-TTLS, helyes bekonfigurálása mellett, az összes kliensre
tanusitványt kell installálni, ahhoz hogy tudjon csatlakozni.
Így okostelefonok, egyéb buta kütyük. nem fognak tudni csatlakozni...
A freeradius EAP-TLS, EAP-TTLS modulja csak a szerver disztribuciókban
van benne. Ilyen pl a Suse Linux Enterprise Server.
Ha magad fordítottad a freeradiust, akkor sűrün kell nézegetni a log-ot
hogy beindult e az összes modul.
Persze Mikrotikben, DD-WRT-ben van olyan opció is hogy a kliens MAC
addressét használja RADIUS azonosításra, és nem kell
tanusítványokkal szenvedni. De a közönséges AP-k nem ilyenek.
A Radius szervert célszerű az "NTRadPing.exe" programmal tesztelni, már
csak a GUI-s felület miatt is.
Vannak leírások a fenti link mellett érdemes rákeresni az EAP-TLS,
EAP-TTLS, 802.1X kifejezésekre.
Péter
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
