Алгоритм привязки RADIUS-сервера к беспроводной сети коммерческого предприятия, настройка сервера и коммутатора при проектировании системы обработки информации

В общем случае алгоритм привязки RADIUS-сервера к беспроводной сети может быть реализован следующим образом:

1. Сетевой администратор дает команду RADIUS-серверу завести новую учетную карточку пользователя с занесением в нее имени пользователя, под которым он будет проходить аутентификацию, и его пароля.

2. Внесенный в базу RADIUS-сервера пользователь с помощью беспроводной связи подключается к точке доступа, чтобы проверить электронную почту.

3. Точка доступа запрашивает у пользователя его имя и пароль.

4. Точка доступа связывается с RADIUS-сервером и дает запрос на аутентификацию пользователя.

5. RADIUS-сервер находит валидное имя пользователя и пароль, разрешает новую сессию и заводит в журнале соответствующую запись о начале новой сессии.

6. Точка доступа предоставляет пользователю возможность работать с теми сервисами, которые ему предписаны.

7. По окончании сессии, которая может быть прервана либо самим пользователем, либо RADIUS-сервером (например, истек установленный по регламенту, или настроенный промежуток времени работы), RADIUS-сервер делает в журнале запись об окончании сеанса.

Процедура должна строго выполняться и быть реализована логически верно – т.к. относится к управлению доступом.

Команды настройки RADIUS сервера.

Поскольку в качестве операционной системы RADIUS сервера будет использоваться Debian, то приведем команды непосредственной настройки сервера FreeRADIUS для ОС Debian.

1) Инсталляция и настройка FreeRADIUS.

Запуск RADIUS-сервера в режиме отладки:

# radiusd -sfxxyz -l stdout

В версии, поставляющейся в debian, файл называется freeradius (/usr/sbin/freeradius), а запуск в отладочном режиме, согласно официальной документации [1] осуществляется опцией -X, т.е.

# freeradius -X

Проверка конфигурационного файла FreeRadius-сервера:

# radiusd -c

2) Конфигурационные файлы FreeRADIUS.

FreeRADIUS использует несколько конфигурационных файлов. У каждого файла есть свой man, который описывает формат файла и примеры конфигураций.

Radiusd.conf - главный конфигурационный файл в котором указываются пути к другим конфигурационным файлам, log файлы, устанавливаются различные параметры контролируемые администратором.

Dictionary - этот файл обычно статический и его не надо изменять. Он определяет все возможные атрибуты RADIUS использующиеся в других конфигурационных файлах.

Clients.conf - в файле содержится описание клиента. Синтаксис записей следующий:

client <hostname|ip-address|ip-network> { <attribute> = <value> }

Обязательные атрибуты secret и shortname, опционально можно задать атрибут nastype, который определяет тип клиента (все возможные типы описаны в man clients.conf)

Пример задания клиента:

client 192.168.0.0/16 {

secret = password

shortname = my-network

}

Hints -Определяет префикс/суффикс для пользовательских имен - атрибут user-name. Используется для отсечения префикса/суффикса в ситуациях когда:

1. Атрибут user-name перед авторизацией/тарификацией нужно избавить от имени домена и т.п., переданного клиентом, таким образом препроцессор трансформирует 'user@domain.com' в 'user'.

2. Необходимо одному и тому же пользователю предоставлять разные сервисы и/или использовать разные схемы авторизации/аутентификации. Тогда для пользователя 'user' при входе как 'user.ppp' или 'user.telnet' можем определить разные схемы авторизации и при входе как 'user.telnet' можем добавить проверку вхождения в группу telnet-пользователей.

Huntgroups - позволяет определить разные группы NAS, к сожалению критерий для включения в группу один - IP-адрес NAS (дополнительно можно указывать порт или диапазон портов). При разборе users файла конфигурации позволяет использовать различные схемы авторизации/аутентификации/учета исходя из значения атрибута Huntgroup-Name

Пример:

# CISCO group

ciscogrp NAS-IP-Address == 192.168.10.1

ciscogrp NAS-IP-Address == 192.168.10.2

ciscogrp NAS-IP-Address == 192.168.10.3

# Apache

apache NAS-IP-Address == 192.168.11.4

# HP group

hpgroup NAS-IP-Address == 192.168.12.1

hpgroup NAS-IP-Address == 192.168.12.2

3) Настройка атрибутов FreeRADIUS для динамического размещения порта коммутатора в VLAN'е по результатам аутентификации.

Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются туннельные атрибуты (tunnel attributes):

- Tunnel-Type=VLAN (type 13)

- Tunnel-Medium-Type=802 (type 6)

- Tunnel-Private-Group-ID=VLANID (или VLAN name)

RADIUS-сервер включает туннельные атрибуты в Access-Accept сообщение.

Это основные атрибуты, которые нужны для динамического размещения порта в VLAN'е по результатам аутентификации. Другие атрибуты RADIUS относящиеся к использованию 802.1x перечислены в RFC 3580.

Значения этих атрибутов для конкретного пользователя указываются в файле users (/etc/freeradius/users):

nata Cleartext-Password := "password"

Tunnel-Type = 13,

Tunnel-Medium-Type = 6,

Tunnel-Private-Group-Id = 30

4) Инсталляция и настройка dialupadmin.

Программа dialupadmin предназначена для администрирования RADIUS-сервера через Web.

В данный момент dialupadmin работает только с PHP4 для PHP5.

Команды настройки на стороне коммутатора Cisco.

1) Базовая настройка 802.1X на коммутаторе Cisco.

Для того чтобы выполнить базовую настройку коммутатора для работы по 802.1X необходимо:

- настроить параметры RADIUS-сервера;

- включить AAA и настроить аутентификацию 802.1X на коммутаторе;

- включить аутентификацию 802.1X глобально на коммутаторе;

- настроить аутентификацию 802.1X на интерфейсах коммутатора;

- (опционально) полезным будет также указать интерфейс коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу.

Пример базовой настройки 802.1X на портах 1-12 и настройка параметров RADIUS-сервера:

!Настройка RADIUS-сервера:

radius-server host 192.168.1.3

radius-server key radiuskey

!Указание интерфейса коммутатора, адрес которого будет использоваться как адрес отправителя в сообщениях RADIUS-серверу:

ip radius source-interface Loopback0

!Включение ААА:

aaa new-model

!Настройка аутентификации:

aaa authentication dot1x default group radius

!Включение аутентификации 802.1X на коммутаторе:

dot1x system-auth-control

!Включение 802.1X на интерфейсах:

interface range FastEthernet0/1 - 12

dot1x port-control auto

2) Настройка параметров RADIUS-сервера.

Если используется аутентификация на RADIUS-сервере, то должны быть настроены адрес (или имя) сервера и пароль использующийся между сервером и аутентификатором:

Switch(config)# radius-server host [host name | IP address] auth-port [port] acct-port [port]

Switch(config)# radius-server key [string]

По умолчанию на коммутаторах Cisco для аутентификации используется порт 1645.

3) Настройка аутентификации 802.1X на коммутаторе.

Включение ААА:

Switch(config)# aaa new-model

Для аутентификации при доступе к порту коммутатора, необходимо указать методы аутентификации:

Switch(config)# aaa authentication dot1x <default|listname> method1 [method2 ...]

Возможные методы:

- group <group-name|radius|tacacs+> — использовать сервер аутентификации;

- enable — использовать пароль привилегированного режима enable;

- krb5 — использовать Kerberos 5 аутентификацию;

- line — использовать пароль line;

- local — использовать локальные имена и пароли;

- none — не выполнять аутентификацию.

4) Включение аутентификации 802.1X на коммутаторе.

Включить аутентификацию 802.1X на коммутаторе:

Switch(config)# dot1x system-auth-control

5) Настройка аутентификации 802.1X на интерфейсах.

Каждый порт коммутатора, на котором должна выполняться аутентификация необходимо настроить следующим образом (порт коммутатора должен быть в режиме access):

Switch(config-if)# dot1x port-control <force-autorized|force-unauthorized|auto>

Опции означают:

- orce-authorized — обязательно авторизовать клиента. Аутентификация не обязательна. Используется по умолчанию;

- force-unauthorized — не переводить порт в авторизованное состояние. Это означает, что трафик клиента через этот порт проходить не может;

- auto — использовать 802.1X для перехода из неавторизованного в авторизованное состояние.

При настройке работы RADIUS-сервера, не стоит путать понятия «аутентификация» и «авторизовать». Клиент может быть авторизованным для использования порта, но при этом даже не проходить аутентификацию.

К порту коммутатора, использующему 802.1X, обычно подключается один компьютер. Если к нему подключено несколько компьютеров, необходимо дать для этого порта команду:

Switch(config-if)# dot1x multi-hosts

6) Настройка динамического размещения порта коммутатора в VLAN'е по результатам аутентификации.

Поддержка протокола 802.1X позволяет коммутатору помещать порт в различные VLAN'ы в зависимости от результатов аутентификации клиента. Для этого необходимо:

1. Настроить RADIUS-сервер таким образом чтобы он передавал информацию и о принадлежности пользователя к VLANу (передается VLAN ID или имя VLAN);

2. Настроить пулы адресов на DHCP-сервере;

3. Настроить на коммутаторе авторизацию на RADIUS-сервере для присвоения номера VLAN'а;

4. Настроить на коммутаторе соответствующие VLAN'ы.

Настройка на коммутаторе авторизации на RADIUS-сервере для присвоения номера VLAN'а:

Switch(config)# aaa authorization network default group radius

Коммутаторы Cisco поддерживают следующие виды VLAN'ов:

– пользовательский VLAN — обычный VLAN созданный администратором;

– Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X. Коммутатор помещает клиента в guest VLAN когда клиент не отправляет пакеты EAPOL или не отвечает на EAPOL Запрос/Identity;

– Restricted VLAN — в этот VLAN помещаются клиенты не прошедшие аутентификацию.

Настройка существующего VLAN'а в качестве guest VLAN'а на интерфейсе:

Switch(config-if)# dot1x guest-vlan {vlan-id}

Настройка существующего VLAN'а в качестве restricted VLAN'а на интерфейсе:

Switch(config-if)# dot1x auth-fail vlan {vlan-id}

7) Проверка работы 802.1X и RADIUS.

test aaa group <group-name | radius> username password new-code