Estoy configuración de una red inalámbrica para ~150 usuarios. En resumen, estoy buscando una guía para configurar el servidor RADIUS para autenticar WPA2 contra un LDAP. En Ubuntu.
- Tengo un trabajo de LDAP, pero como no está en uso en producción, puede ser fácilmente adaptado a cualquier cambio que este proyecto pueda requerir.
- He estado mirando FreeRADIUS, pero cualquier servidor RADIUS va a hacer.
- Tenemos una red separada sólo por WiFi, así que no demasiadas preocupaciones acerca de la seguridad en ese frente.
- Nuestro AP son de HP de gama baja de la empresa cosas parecen apoyar lo que usted puede pensar.
- Todas Ubuntu Server, bebé!
Y la mala noticia:
- Yo ahora alguien con menos conocimientos que me eventualmente se encargará de la administración, por lo que el programa de instalación tiene que ser tan "trivial" como sea posible.
- Hasta ahora, nuestro sistema se basa únicamente en el software desde los repositorios de Ubuntu, con la excepción de nuestro LDAP aplicación web de administración y un par de pequeñas secuencias de comandos especiales. Por lo que no "fetch paquete X, descomprimir, ./configurar"-si es evitable.
ACTUALIZACIÓN 2009-08-18:
Aunque he encontrado varios recursos útiles, no es un obstáculo serio:
Ignoring EAP-Type/tls because we do not have OpenSSL support.
Ignoring EAP-Type/ttls because we do not have OpenSSL support.
Ignoring EAP-Type/peap because we do not have OpenSSL support.
Básicamente la versión de Ubuntu de FreeRADIUS no admite SSL (error 183840), que hace que todos los seguros de EAP-tipos inútil. Bummer.
Pero algunos documentación útil para todos los interesados:
- http://vuksan.com/linux/dot1x/802-1x-LDAP.html
- http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius
ACTUALIZACIÓN 2009-08-19:
Me terminó de compilar mi propio FreeRADIUS paquete ayer por la noche - hay una muy buena receta http://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html (Véanse los comentarios a los post de la actualización de las instrucciones).
Tengo un certificado de http://CACert.org (probablemente debería conseguir una "real" cert si es posible)
Luego he seguido las instrucciones en http://vuksan.com/linux/dot1x/802-1x-LDAP.html. Esto se vincula con http://tldp.org/HOWTO/html_single/8021X-HOWTO/, que es una que vale la pena leer si quieres saber cómo WiFi funciona la seguridad.
ACTUALIZACIÓN 2009-08-27:
Después de seguir las instrucciones de arriba, me las he arreglado para conseguir FreeRADIUS para hablar con LDAP:
He creado una prueba de usuario en LDAP, con la contraseña mr2Yx36M
- esto le da una entrada de LDAP aproximadamente de:
uid: testuser
sambaLMPassword: CF3D6F8A92967E0FE72C57EF50F76A05
sambaNTPassword: DA44187ECA97B7C14A22F29F52BEBD90
userPassword: {SSHA}Z0SwaKO5tuGxgxtceRDjiDGFy6bRL6ja
Cuando se utiliza radtest
, puedo conectar bien:
> radtest testuser "mr2Yx36N" sbhr.dk 0 radius-private-password
Sending Access-Request of id 215 to 130.225.235.6 port 1812
User-Name = "msiebuhr"
User-Password = "mr2Yx36N"
NAS-IP-Address = 127.0.1.1
NAS-Port = 0
rad_recv: Access-Accept packet from host 130.225.235.6 port 1812, id=215, length=20
>
Pero cuando intento a través de la AP, no fly - mientras se hace confirmar que las cifras de la NT LM y contraseñas:
...
rlm_ldap: sambaNTPassword -> NT-Password == 0x4441343431383745434139374237433134413232463239463532424542443930
rlm_ldap: sambaLMPassword -> LM-Password == 0x4346334436463841393239363745304645373243353745463530463736413035
[ldap] looking for reply items in directory...
WARNING: No "known good" password was found in LDAP. Are you sure that the user is configured correctly?
[ldap] user testuser authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
...
Está claro que el NT LM y contraseñas son diferentes de los de arriba, sin embargo, el mensaje [ldap] user testuser authorized to use remote access
- y el usuario es la rechazó...