SUSE LINUX Enterprise & openSUSE Community
มกราคม 18, 2019, 10:56:54 PM *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  

[Why we need your support] SUSE and openSUSE are trademarks of Attachmate Group, Inc. - WE ARE NOT IN ANY WAY ASSOCIATED WITH SUSE AND ATTACHMATE GROUP. SUSEThailand.com is a SUSE Linux user and community found in Thailand but not limited to other country suse linux user to join in. Currently active contents (How to's, Scripts, Tips, Tricks, Tutorials, Linux Command Line, and Troubleshooting) this suse linux how to's and expert support are SUSE Linux.
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน
หัวข้อ: ติดตั้ง FreeRADIUS บน SLES11 SP2 และ Radius authentication using LDAP  (อ่าน 2871 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« เมื่อ: มีนาคม 24, 2012, 03:08:34 PM »


RADIUS (Common Remote Authentication Dial In User Server) ระบบจัดการและตรวจสอบการพิสูจน์สิทธิ์การใช้งานระบบ แพคเกจโปรแกรมคือ freeradius

LDAP (Lightweight Directory Access Protocol) ระบบฐานข้อมูลจัดเก็บข้อมูลบัญชีผู้ใช้ แพคเกจโปรแกรม คือ openLDAP



การติดตั้ง freeradius และคอนฟิก radius authenticaiton ไปยัง LDAP database โดยมีรายละเอียดดังนี้

192.168.1.11  เครื่อง LDAP server เก็บ username/passwrod (dc=mycompany,dc=local) ติดตั้งแพคเกจ openldap
192.168.1.222 เครื่อง Radius server ติดตั้งแพคเกจ freeradius


1. ติดตั้ง freeradius

โค๊ด:
yast sw_single

- ค้นหาและติดตั้งแพคเกจดังนี้
- freeradius-client
- freeradius-client-libs
- freeradius-server
- freeradius-server-dialupadmin
- freeradius-server-doc
- freeradius-server-libs
- freeradius-server-utils

- ตรวจสอบเวอร์ชัน freeradius
โค๊ด:
rpm -q freeradius-server

freeradius-server-2.1.1-7.10.1

- ไฟล์ที่เกี่ยวข้อง

/etc/raddb/clients.conf แฟ้มไฟล์ที่ใช้ในการคอนฟิกอุปกรณ์หรือคอมพิวเตอร์ที่จะติดต่อกับ radius server เช่น access point เป็นต้น
/etc/raddb/users แฟ้มไฟล์เก็บบัญชีรายชื่อ
/etc/raddb/sites-enabled/default แฟ้มไฟล์ในการเปิดใช้งาน LDAP สำหรับใช้งานการพิสูจน์ตัวตน
/etc/raddb/modules/ldap แฟ้มไฟล์สำหรับคอนฟิกการติดต่อสื่อสารกับ LDAP server

2. คอนฟิก Freeradius

- แก้ไขไฟล์ /etc/raddb/clients.conf

โค๊ด:
vi /etc/raddb/clients.conf

เพิ่ม code ในบรรทัดท้ายสุดของไฟล์ (code ด้านล่างนี้เป็นตัวอย่างของ Access Point ที่จะมา authentication กับ Radius server)

client 192.168.1.223 {
   secret = mysecret
   shortname = ap223
}


- แก้ไขไฟล์ /etc/raddb/user

โค๊ด:
vi /etc/raddb/user

จากเอกสาร FreeRadius แนะนำให้เราเพิ่มในบรรทัดแรกสุด

mytest Cleartext-Password :="password"

- แก้ไขไฟล์ /etc/raddb/sites-enabled/default

โค๊ด:
vi /etc/raddb/sites-enabled/default

ให้เอาเครื่องหมาย # ออก

# ldap
แก้ไขเป็น
  ldap

# Auth-Type LDAP{
# ldap
#}

แก้ไขเป็ย
 Auth-Type LDAP{
 ldap
}



- แก้ไขไฟล์ /etc/raddb/modules/ldap

โค๊ด:
vi /etc/raddb/modules/ldap

ค้นหา "ldap ()"
แก้ไขเป็น

ldap {
        #
        #  Note that this needs to match the name in the LDAP
        #  server certificate, if you're using ldaps.
       server = "192.168.1.11"
        #identity = "cn=admin,o=My Org,c=UA"
        #password = mypass
       basedn = "dc=mycompany,dc=local"
        filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"


และค้นหา #start_tls
แก้ไขเป็น

start_tls = yes


3. ทดสอบ debug ด้วยออปชัน -X

โค๊ด:
radiusd -X

NOTE: ต้องหยุดการทำงานของ freeradius ก่อน

4. ทดสอบ Radius โดยการพิสูจน์ตัวตนกับ LDAP server

รูปแบบคำสั่ง

radtest <username> <password> <IP radius server> 0 <shared secret>

โค๊ด:
radtest user1 1234 localhost 0 mysecret -X

ผลพันธ์ที่ได้: แสดงว่าพิสูจน์ตัวตนผ่านสำเร็จ สามารถใช้งานได้

Sending Access-Request of id 211 to 127.0.0.1 port 1812
   User-Name = "user1"
   User-Password = "1234"
   NAS-IP-Address = 192.168.1.222
   NAS-Port = 0
   Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=211, length=32
   Framed-Protocol = PPP
   Framed-Compression = Van-Jacobson-TCP-IP

NOTE: user1 และ 1234 คือชื่อผู้ใช้และรหัสผ่านที่เก็บอยู่บน LDAP database

กรณีที่พิสูจน์ตัวตนไม่สำเร็จ: ทดสอบโดยการใส่รหัสผ่านผิด

โค๊ด:
radtest user1 1234xxx localhost 0 mysecret -X

Sending Access-Request of id 233 to 127.0.0.1 port 1812
   User-Name = "user1"
   User-Password = "1234xxx"
   NAS-IP-Address = 192.168.1.222
   NAS-Port = 0
   Framed-Protocol = PPP
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=233, length=20

NOTE: ข้อมูลด้านบน NAS เป็นตัวเชื่อมการติดต่อระหว่าง access clients กับ radius server ผ่านโพรโตคอล PPP โดย NAS จะส่งข้อมูลชื่อผู้ใช้ "user1", รหัสผ่าน "1234", ไอพี "192.168.1.222", พอร์ต "0" ไปยัง RADIUS server เพื่อตรวจสอบสิทธิ์ เมื่อ RADIUS server ตรวจสอบแล้วจะส่งข้อความ "Access-Accept" กับ "Access-Reject" กลับมา

5. กำหนดรันเซอร์วิส (Runlevel)

โค๊ด:
chkconfig freeradius on

6. สตาร์ท freeradius

โค๊ด:
rcfreeradius start

จากนั้นขั้นตอนต่อไปก็แค่ไปคอนฟิกตัว Access Point ใสส่วนของ Wireless Security Mode เป็น WPA หรือ WPA2 ให้พิสูจน์ตัวตนกับ Radius server



How to Installing FreeRADIUS + Squid Authentication on openSUSE 11.1
« แก้ไขครั้งสุดท้าย: เมษายน 07, 2012, 01:34:30 PM โดย Sontaya » แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

(@)2007 SUSE Linux user community found in Thailand. This site is not an official openSUSE and SUSE website, and is not in any way affiliated with or endorsed by SUSE Linux GmbH or Novell. openSUSE and SUSE are trademarks of Novell, Inc. in the United States and other countries.
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.04 วินาที กับ 20 คำสั่ง (Pretty URLs adds 0.009s, 2q)