Kymenlaakson ammattikorkeakoulu Joni Ruotsalainen Radius

Kymenlaakson ammattikorkeakoulu
Joni Ruotsalainen
Radius-autentikointi
26.4.2012
Sisällys
1.
Johdanto ja tavoite ....................................................................................................................... 3
2.
Radius-clientit .............................................................................................................................. 4
3.
2.1
Siemens hiD 6610 -kytkimet ................................................................................................. 4
2.2
Cisco-laitteet .......................................................................................................................... 4
Active Directoryn konfigurointi................................................................................................... 5
3.1
Radius-käyttäjäryhmän luominen.......................................................................................... 5
3.2
Käytettäessä Windowsin Network Policy Serveriä ............................................................... 6
4.
Freeradius-palvelin - Centos 6.2 .................................................................................................. 8
5.
Huomioita ja loppusanat ............................................................................................................ 11
1.
JOHDANTO JA TAVOITE
Käytettäessä Radius-autentikointia verkon laitteisiin kirjautumisen yhteydessä voidaan
pääsynhallinta hoitaa keskitetysti. Projektin tavoitteena oli tutustua Radiukseen ja
selvittää erityisesti Freeradiuksen käyttöönottoa sekä AD-integraatiota koskevia
asioita. Muitakin, pääasiassa kaupallisia Radius-palvelinohjelmistoja on olemassa.
Windowsilla esim. TekRadius, Clearbox, Windows Server 2003:ssa IAS (Internet
Authentication Service), Windows server 2008:ssa ja R2:ssa NPS (Network Policy
Server) tai Cisco ACS.
2.
RADIUS-CLIENTIT

Radius-palvelimen ja –clientien välinen liikenne kuljetetaan protokollan 18121813(UDP) porttien kautta.
2.1
Siemens hiD 6610 -kytkimet

Kytkimet sallivat viiden yhtäaikaisen Radius/Tacacs -palvelimen käytön, joten
Radius-palvelu on tältä osin mahdollista varmentaa. Radius-autentikoinnin
epäonnistuessa turvaudutaan kirjautumisessa laitteen paikalliseen
käyttäjäkantaan. Hätätapauksia varten joka laitteessa oltava paikallinen admintunnus.

Otetaan Radius-autentikointi käyttöön paikallisesti (console):
login local radius primary
login local radius enable
ja etäyhteyksillä:
login remote radius primary
login remote radius enable

Asetetaan Radius-palvelinten osoitteet ja avaimet:
login radius server 10.0.0.8 radius9000
2.2
Cisco-laitteet

Ciscon IOS-järjestelmissä Radius käyttää oletuksena portteja 1645-1646:
(config)aaa new-model
(config)aaa authentication login default group radius local enable
(config)radius-server host 10.0.0.8 auth-port 1812 acct-port 1813 key
radius9000
3.
ACTIVE DIRECTORYN KONFIGUROINTI
3.1
Radius-käyttäjäryhmän luominen
Käytettäessä muita kuin Windowsin NPS:ää, AD:n puolelta tarvitsee vain huolehtia,
että Radius-palvelimen konetili on kunnossa ja luoda uusi ryhmä radiuskäyttäjille,
esim. Radius-users.
Lisätään halutut käyttäjät tähän ryhmään.
3.2
Käytettäessä Windowsin Network Policy Serveriä

Windows server 2008 R2 standardissa rajoituksena 50 Radius-clienttiä..
Enterprise- ja datacenter-versioissa tätä rajoitusta ei ole
(http://technet.microsoft.com/en-us/library/dd365355(WS.10).aspx). Päivitys
Windows Server 2008 R2 Enterpriseen mahdollista 2003:n ja 2008:n standardversioista (http://technet.microsoft.com/en-us/library/dd979563(WS.10).aspx).

Rooli asennetaan server managerin kautta.

Luodaan NPS:stä uusi policy ”testi” kuvassa näkyvin asetuksin.
Tärkeinpänä ”service-type: login”, joka sallii kirjautumisen. Myös
autentikointivaihtoehtoja on valittavissa useita. Tässä voidaan määritellä myös
valmistajakohtaisia Radius-parametrejä. Mikäli käytetään usean valmistajan
laitteita ja valmistajakohtaisia Radius-attribuutteja, monimutkaistuu ylläpito
huomattavasti.

Radius-clienttejä voidaan lisätä yksitellen tai useampia ilmoittavalla IP/mask
esim. 10.0.0.0/24 sekä Radius-avain:
4.
FREERADIUS-PALVELIN - CENTOS 6.2

Isäntäjärjestelmäksi valittiin Centos-järjestelmän ’server’-versio, jonka lisäksi
asennettiin paketit freeradius freeradius-ldap freeradius-utils samba openldapservers dependensseineen.

Freeradiuksen dokumentaatio on avoimen lähdekoodin ohjelmistoille tyypilliseen
tapaan pirstoutunut; osa virallisilla sivuilla olevasta tiedosta on vanhaa. Vaikka
konfiguraatiotiedostot on pääosin hyvin kommentoitu, on oikeiden asioiden
suodattaminen niistä kovin aikaa vievää.

Freeradiuksen konfigurointi vaatii useamman konfiguraatiotiedoston
muokkaamista. IPv6:een siirtymisen helpottamiseksi on suotavaa käyttää nimiä
IP-osoitteiden tilalla siellä, missä se vain on mahdollista.
o Freeradiuksen ydinkonfiguraatio on tiedostossa
/etc/raddb/radiusd.conf. Kiinnostavimpana asiana tässä tiedostossa:

Lokitus, joka tallentaa oletuksena tiedostoon
/var/log/radius/radius.log. Kirjautumiset saadaan tallennettua
muuttamalla lokitusta koskevaa asetusta auth = no -> auth =
yes. Myös oikein/väärin kirjoitetut salasanat saadaan
tallennettua niin haluttaessa. Lokin selaamiseen riittänevät
komentorivityökalut cat ja grep, joilla saadaan nopeasti esille
halutut tiedot. Seuraavassa esimerkiksi palvelin käynnistetty,
hyväksytty kirjautuminen, kirjautumisyritys väärällä
tunnuksella ja väärällä salasanalla:
o /etc/raddb/clients.conf –tiedostossa määritellään sallitut Radiusclientit. Esimerkiksi seuraavassa sallitaan kyselyt 10.0.0.x –osoitteista
käytettäessä radius9000-avainta. Shortname kuvaa laiteryhmää ja
näkyy lokitiedoissa.
client 10.0.0.0/24 {
secret=radius9000
shortname=a-switches
}
o AD-yhteyttä varten tarvitaan Samba-ohjelmiston työkaluja.
/etc/samba/smb.conf –tiedostoon määritellään tarvittavat ADpalvelinta koskevat tiedot ja Radius-palvelimen NETBIOS-nimi:
security = ads
realm = PROVIDERSUNITED.COM
password server = WIN-LEJVIUI8P3I
winbind separator = +
winbind use default domain = yes
workgroup = PROVIDERSUNITED
netbios name = RADIUS
o /etc/krb5.conf –tiedostossa asetetaan default_realm, realms ja
domain_realm vastaamaan Samban asetuksia:
[libdefaults]
default_realm = PROVIDERSUNITED.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
PROVIDERSUNITED.COM = {
kdc = WIN-LEJVIUI8P3I.providersunited.com
admin_server = WIN-LEJVIUI8P3I.providersunited.com
default_domain = providersunited.com
}
[domain_realm]
.providersunited.com = PROVIDERSUNITED.COM
providersunited.com = PROVIDERSUNITED.COM
o /etc/raddb/sites-available/default – lisättävä NTLM-autentikointi:
authenticate {
Auth-Type ntlm_auth {
ntlm_auth
}
authorize {
ntlm_auth
}

Edellisten konfiguraatiomuutosten jälkeen on tärkeää syknronoida Radiuspalvelimen kello vastaamaan AD-palvelimen aikaa koneen liittämiseksi.
ntpdate WIN-LEJVIUI8P3I.providersunited.com

Annetaan Radius-palvelimelle oikeus lukea dataa AD:ltä: kinit
[email protected]

Käynnistetään SMB ja NMB uudelleen, jotta muutokset tulevat voimaan:
/etc/init.d/smb start && /etc/init.d/nmb restart

Liitetään kone net ads join –UAdministrator

/etc/raddb/modules/ntlm_auth –tiedostossa osoitettava ntlm-auth –binaarin
sijainti ja haluttaessa sallittavan vain tietyn käyttäjäryhmän autentikointi,
selvitetään tarvittava ryhmän sid-tunnus komennolla wbinfo –n @Radiususers, jonka tuloksena saadaan seuraavaa: S-1-5-21-1147742945-3860970398-
2663272961-2613 SID_DOM_GROUP (2)
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key -domain=PROVIDERSUNITED.COM --username=%{mschap:UserName} --require-membership-of=S-1-5-21-1147742945-38609703982663272961-2613 --password=%{User-Password}"
}

Testataan käyttäjän autentikointia ntlm_auth:lla:
1Shellistä
2Erillisellä ohjelmalla
3Kysely Radius-palvelimen näkökulmasta debug-tilassa

5.
Normaalissa toiminnassa nämä tiedot eivät ole näkyvissä.
HUOMIOITA JA LOPPUSANAT
Tässä dokumentissa esitetty konfiguraatio sopii hyvin henkilöstömäärältään pienelle
yritykselle: kaikilla halutuilla käyttäjillä on tasavertaiset oikeudet laitteisiin ja
kirjautumisyritykset tallennetaan. Käyttäjien oikeuksien muokkaaminen tapahtuu
täysin AD:n kautta. Radius-palvelin ei normaalissa toiminnassa tarvitse ylläpidollisia
toimia – ainoastaan clientteja lisätessä.