~ 150 명의 사용자를위한 무선 네트워크를 설정하고 있습니다. 요컨대, RADIUS 서버가 LDAP에 대해 WPA2를 인증하도록 설정하는 안내서를 찾고 있습니다. 우분투에서.
- 작동하는 LDAP가 있지만 프로덕션 환경에서 사용하지 않으므로이 프로젝트에 필요한 변경 사항에 쉽게 적용 할 수 있습니다.
- FreeRADIUS를 살펴 봤지만 모든 RADIUS 서버는 가능합니다.
- 우리는 WiFi만을위한 별도의 물리적 네트워크를 가지고 있었기 때문에 그 전면의 보안에 대해 너무 걱정하지 않아도됩니다.
- AP는 HP의 저가 엔터프라이즈 제품으로, 여러분이 생각할 수있는 모든 것을 지원하는 것 같습니다.
- 모든 우분투 서버, 자기야!
그리고 나쁜 소식 :
- 나는 이제 나보다 지식이 부족한 사람이 결국에는 관리를 인계 받게되므로 설정은 가능한 한 "사소"해야합니다.
- 지금까지 설정은 LDAP 관리 웹 응용 프로그램 및 몇 가지 작은 특수 스크립트를 제외하고 Ubuntu 리포지토리의 소프트웨어만을 기반으로합니다. 따라서 피할 수 있다면 "패키지 X, untar, ./configure"를 가져 오지 마십시오.
2009-08-18 업데이트 :
몇 가지 유용한 리소스를 찾았지만 한 가지 심각한 장애물이 있습니다.
Ignoring EAP-Type/tls because we do not have OpenSSL support.
Ignoring EAP-Type/ttls because we do not have OpenSSL support.
Ignoring EAP-Type/peap because we do not have OpenSSL support.
기본적으로 FreeRADIUS의 Ubuntu 버전은 SSL ( 버그 183840 )을 지원하지 않으므로 모든 보안 EAP 유형을 쓸모 없게 만듭니다. 버머.
그러나 관심있는 사람을위한 유용한 문서 :
- http://vuksan.com/linux/dot1x/802-1x-LDAP.html
- http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius
2009-08-19 업데이트 :
에서 정말 좋은 조리법 거기 - 나는 내 자신하기 FreeRADIUS 패키지 어제 저녁을 컴파일 결국 http://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html (참조가 업데이트 된 지침은 게시물에 대한 의견).
http://CACert.org 에서 인증서를 받았습니다 (가능한 경우 "실제"인증서를 받아야합니다)
그런 다음 http://vuksan.com/linux/dot1x/802-1x-LDAP.html 의 지침을 따랐습니다 . 이 링크는 http://tldp.org/HOWTO/html_single/8021X-HOWTO/ 링크로 연결되어 있으며 WiFi 보안이 어떻게 작동하는지 알고 싶다면 매우 가치가 있습니다.
2009-08-27 업데이트 :
위의 가이드를 따르면 FreeRADIUS가 LDAP와 통신 할 수있게되었습니다.
암호를 사용하여 LDAP에서 테스트 사용자를 만들었습니다. mr2Yx36M
LDAP 항목은 대략 다음과 같습니다.
uid: testuser
sambaLMPassword: CF3D6F8A92967E0FE72C57EF50F76A05
sambaNTPassword: DA44187ECA97B7C14A22F29F52BEBD90
userPassword: {SSHA}Z0SwaKO5tuGxgxtceRDjiDGFy6bRL6ja
를 사용할 때 radtest
잘 연결할 수 있습니다.
> radtest testuser "mr2Yx36N" sbhr.dk 0 radius-private-password
Sending Access-Request of id 215 to 130.225.235.6 port 1812
User-Name = "msiebuhr"
User-Password = "mr2Yx36N"
NAS-IP-Address = 127.0.1.1
NAS-Port = 0
rad_recv: Access-Accept packet from host 130.225.235.6 port 1812, id=215, length=20
>
그러나 AP를 통해 시도하면 비행하지 않습니다. NT 및 LM 암호를 확인한다는 것을 확인합니다.
...
rlm_ldap: sambaNTPassword -> NT-Password == 0x4441343431383745434139374237433134413232463239463532424542443930
rlm_ldap: sambaLMPassword -> LM-Password == 0x4346334436463841393239363745304645373243353745463530463736413035
[ldap] looking for reply items in directory...
WARNING: No "known good" password was found in LDAP. Are you sure that the user is configured correctly?
[ldap] user testuser authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
...
NT 및 LM 비밀번호는 위와 다르지만 메시지 [ldap] user testuser authorized to use remote access
는 나중에 사용자가 거부됩니다.