Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aunque
existen varias formas de autenticación voy a utilizar una de ellas (EAP con PEAP con
mschapv2).
Explicaré con detalle lo que he utilizado y como para que así os funcione seguro, pondré
exactamente lo que utilizado. Es la forma que a mi me a funcionado no soy ningún experto ni
muchísimo menos, este manual esta abierto a cambios y mejoras.
Lo he instalado en Whoppix 2.7.1, y el tipo de autenticación es EAP con PEAP con mschapv2 sin
certificado.
----------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
-----------------------
1- Instación el freeradius
./configure
make
make install
2- Configuración del AP
En mi caso tengo un Seano SL-3054CB3 Plus (Deluxe). Este paso es el mas sencillo,
seleccionamos 802.1x , e introducimos la ip del servidor radius, osea donde hemos instalado el
freeradius, en mi caso 192.168.0.87 ,el secreto que compartirán en un futuro (luego se utiliza
en clients.conf) en mi caso "misecreto", aunque acepta varios puertos yo tengo el 1812. Os
dejo una imagen.
Otra cosilla a tocar es el WEP o WPA como dije antes yo utilizaré WEP que aunque es menos
seguro que WPA, si juntamos WEP + freeradius y si tenemos nosotros alguna cosilla mas pues
ya esta bastante decente.
Con lo cual nos situamos en nuestro ap sobre WEP y lo configuramos, seleccionamos el tipo de
clave, cuando mas alta mas segura, o sea metemos 128, escribimos la clave, en mi caso al ser
hex digits, meto 26 numeritos que van desde el 0 al 15, también existe la posibilidad que sean
13 caracteres seleccionando 128 bit (13 ascii chars) .
3- Configuracion de freeradius
Fichero radiusd.conf:
En el fichero users
Como dije antes hay muchas maneras de autenticar, usuarios que existan en el sistema,
utilizando base de datos, escribiendo en user y pass en este fichero etc., En mi caso he utilizado
lo mas sencillo, escribir un user y pass a mano en este fichero, la forma que lo he realizado es :
Aquí es donde damos de "alta" los puntos de acceso, es tan sencillo como escribir la ip del ap y
el secreto que es la palabra que comparten el ap y el frerradius, con un ejemplo mejor.
client 192.168.0.3 {
secret = misecreto
shortname = senao
}
Shortname poner lo que queráis, yo he puesto el nombre de mi ap.Y así de simple vamos
dando de "alta" los ap's que quieran autenticar contra nuestro radius.
Fichero eap.conf:
De este fichero modificamos un par de cosas para que pueda autenticar introduciendo un user
y un pass, quedaría así:
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
#
# This can never exceed the size of a RADIUS
# packet (4096 bytes), and is preferably half
# that, to accomodate other attributes in
# RADIUS packet. On most APs the MAX packet
# length is configured between 1500 - 1600
# In these cases, fragment size should be
# 1024 or less.
#
fragment_size = 1024
#
# If check_cert_cn is set, the value will
# be xlat'ed and checked against the CN
# in the client certificate. If the values
# do not match, the certificate verification
# will fail rejecting the user.
#
# check_cert_cn = %{User-Name}
}
Como se observa he descomentado algunas opciones (he quitado las #), un poco mas abajo
tenemos el peap y lo dejamos así:
peap {
# The tunneled EAP session needs a default
# EAP type which is separate from the one for
# the non-tunneled EAP module. Inside of the
# PEAP tunnel, we recommend using MS-CHAPv2,
# as that is the default type supported by
# Windows clients.
default_eap_type = mschapv2
}
Llegados a este punto ya tenemos el freeradius configurado, los clientes creados (los ap's) y los
users también.
Antes de nada es aconsejable hacer un test para saber que todo ha salido bien y que freeradius
se ha enterado de los cambios.
Si por lo que fuera el test falla probablemente sea que no ha pillado la nueva configuración
podemos hacer: service radiusd restart
4- Configuración clientes Windows XP para autenticar en freeradius
Esta opción NO tiene que estar activada, como digo hay muchas formas de que autentique y
una de ellas es dejando esta casilla sin activar, para así cuando intente autenticar nos salga una
ventana con user, pass y dominio, el domino se tiene que dejar en blanco y el user y el pass
será aquél que hemos creado en el fichero users . Aunque se podría configurar para que el
freeradius acepte el user, pass y dominio para que asi se autentique directamente según el user
que inicia sesión en Windows XP no es nuestro caso.