Como configurar um servidor RADIUS em pfSense usando o freeradius2 pacote

Abril 13, 2016 Admin Tecnologia 0 3882
FONT SIZE:
fontsize_dec
fontsize_inc

Neste hub eu vou levá-lo através do processo de configuração de um servidor RADIUS em pfSense.

Radius fornece uma fonte central de autenticação para diferentes dispositivos e serviços de rede. Alguns usos comuns para raio autenticação são VPN, portais cativos, switches, roteadores e firewalls.

Autenticação Central é muito mais fácil de gerir do que manter o controle de várias contas de locais através de dispositivos separados em uma rede.




Por que usar o pfSense como um servidor RADIUS?

PfSense faz um grande anfitrião para um servidor RADIUS porque o serviço não requer uma grande quantidade de recursos do sistema. O serviço pode facilmente lidar com autenticação por várias centenas de clientes, sem comprometer o desempenho.

Com o hardware adequado pode ser facilmente escalado para suportar milhares de clientes. Na verdade pfSense também permite que a distância para ser executado em uma interface de rede dedicada.

Se você já está executando pfSense na rede não há realmente nenhuma necessidade de construir um servidor separado apenas para Radius.


A instalação do pacote

O gerenciador de pacotes 2.X pfSense inclui tanto FreeRadius e freeradius2 como opções de instalação. Para este exemplo, eu vou usar freeradius2, pois tem alguns recursos adicionais que não estão presentes na versão anterior.

Apenas uma versão do raio pode ser instalado no pfSense simultaneamente. Se você tiver instalado anteriormente qualquer raio pacote de ir em frente e removê-los antes.

O pacote de interromper brevemente o tráfego que passa através do roteador como o serviço começa por isso tenha cuidado quando você estiver instalando em um sistema de produção.

  1. Abra o gerenciador de pacotes no menu do sistema da interface web.
  2. Clique no sinal de mais ao lado de freeradius2 para iniciar a instalação.
  3. Clique em "Ok" para confirmar a instalação do pacote.

O processo de instalação irá automaticamente baixar e instalar o pacote de rádio com toda essa dependência. A instalação normalmente leva alguns minutos para ser concluído.

Após a conclusão, haverá um novo item de menu para o pacote no menu de serviços.

Configurar uma interface

A primeira coisa que você precisa fazer é especificar uma ou mais interfaces para o servidor RADIUS para escutar. As definições de configuração para FreeRadius estão localizados sob o menu de serviços.

Na maioria dos casos você deseja associar o serviço à interface LAN.

  1. Clique na página de configurações da interface do guia.
  2. Clique no sinal de mais para adicionar uma nova interface.
  3. Digite o endereço IP da LAN na interface IP.
  4. Clique em Salvar

O resto das configurações podem ser deixadas com as configurações padrão.

Clientes Adicionando

O próximo passo na configuração do servidor de autenticação é adicionar cliente vozes. Cada dispositivo que irá utilizar o servidor RADIUS para autenticação precisará ter um cliente de voz configurado nas configurações.

  1. Clique na guia Cliente/NAS.
  2. Digite o endereço IP do dispositivo no qual as solicitações de autenticação será no cliente IP.
  3. Digite uma senha segura no cliente segredo compartilhado. Isto terá de ser colocada no dispositivo do cliente como bem.

Sob a miscelânea seção de configuração que você deve escolher um tipo de cliente a partir do menu suspenso. Se nenhum dos tipos listados são adequados, você pode selecionar outro.

contas de usuário Criando

O passo final é a criação de contas de usuário. Para criar a conta, vá para o usuário nas configurações do pacote e clique no sinal de mais para abrir a nova página de criação de usuário.

Existem apenas dois campos obrigatórios nesta página, o nome de usuário e senha. Todas as outras configurações são opcionais e aplicar principalmente para usuários do portal em cativeiro.

Adicionando Devices

Neste ponto, o servidor RADIUS deve ser instalado e funcionando e pronto para aceitar solicitações de entrada para autenticação. Agora você pode começar a apontar os dispositivos para o servidor.

Os dispositivos devem ser configurados com os seguintes elementos.

  1. O endereço IP da LAN do sistema pfSense, ou qualquer interface você optar por associar-se com o servidor RADIUS.
  2. A chave para o raio atribuído o cartão de cliente.
  3. A porta auth deve ser definido para 1812, ou a porta atribuída interfaces de tabulação.

Solução de problemas

Verificar o estado do serviço

A primeira coisa a fazer se você tem problemas é certificar-se de que o serviço é uma função do raio.

Se ele não estiver funcionando tente iniciá-lo clicando no ícone ao lado do radiusd jogo.

Se o serviço não parece começar a ir em frente e reinstalar o pacote para resolver o problema.

É aconselhável não perder nenhum da configuração ao reinstalar, mas certifique-se de tudo o que parece certo depois que volta em.

Notei que, por vezes, as configurações do cliente desapareceu quando eu executar uma reinstalação.

Verifique os logs

Os logs do sistema pode fornecer uma pista de por que existe um problema. Para ver os registos, clique no log do sistema no menu de status.

Na placa de sistema tipo "root: FreeRadius" sem as aspas na caixa abaixo e clique em Filter. Isto irá mostrar as mensagens de partida e parada do cadastro para o serviço.

O sucesso de mensagens de autenticação e de erro não são visíveis nos registros do sistema, a fim de vê-los é necessário configurar um servidor remoto syslog.

Radius mensagens syslog

Teste o serviço com radtest

O pacote inclui um utilitário chamado radtest feixe que pode ser utilizado para testar o serviço, para determinar se está a funcionar correctamente.

Radtest é útil porque permite determinar se a autenticação funciona antes de reconfigurar todos os dispositivos na rede.

Passos para a execução do teste

  1. Adicionar uma interface com o endereço IP 127.0.0.1.
  2. Defina o tipo de interface 'Auth', use a porta padrão (1812).
  3. Adicionar um cliente/NAS com o IP 127.0.0.1 e 'teste' segredo compartilhado.
  4. Criar uma conta de usuário de teste na guia Usuários.
  5. Entrar pfSense via SSH ou usar o prompt de comando do menu de diagnóstico.
  6. Execute o seguinte comando, substituindo, e as credenciais atribuídas.

radtest 127.0.0.1:1812 0 teste

Se o teste for bem sucedido, você deve ver o "rad_recv: Access-Accept" mensagem.

maneiras de usar o novo Servidor Radius

Depois de começar com a autenticação do raio central, nunca mais vai querer voltar para contas de usuários locais. Abaixo eu criei uma lista de algumas maneiras de tirar proveito do novo servidor radius.

  • Autenticação Portal Captive - Criar um hotspot sem fio para sua casa ou empresa dentro e usar como fonte de autenticação para o portal cativo.
  • Acesso remoto VPN - Configure pfSense para atuar como um servidor VPN e utilizar a autenticação centralizada para contas de usuário.
  • Os comutadores de rede - Em vez de usar contas de usuários locais apontam para o switch gerenciável para pfSense.

Instale pfSense em Firebox

(0)
(0)

Comentários - 0

Sem comentários

Adicionar um comentário

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caracteres restantes: 3000
captcha