Universidad Católica de Costa Rica

Sede San Carlos

Ingeniería de Sistemas
Manual de Instalación Servidor Radius
Profesor Pedro Cespedes Vargas
Realizado por
Kevin Hernández Jiménez
Andrés Matamoros
Contenido Introducción
........................................................................................................................................ 2
RADIUS
................................................................................................................................................ 2
1. Autenticación .......................................................................................................................... 2
2. Autorización ............................................................................................................................ 2
3. Registro ................................................................................................................................... 3
Ejemplo de proyecto que utiliza Servidores RADIUS
.......................................................................... 3
Ahora si la configuración de RADIUS
................................................................................................... 4
Instalar FreeRADIUS
.......................................................................................................................... 4
Configurar FreeRADIUS
....................................................................................................................... 6
Descarga de DALORADIUS
................................................................................................................... 7
Instalar dependencias daloRADIUS
..................................................................................................... 8
Instalar y configurar daloRADIUS
...................................................................................................... 14
Prueba de laboratorio
....................................................................................................................... 18
Introducción En esta práctica vamos a estudiar RADIUS, un protocolo ampliamente
empleado para
controlar el acceso a servicios en red. En particular instalaremos una solución de
código abierto denominada FreeRADIUS, y la configuraremos para un uso concreto:
regular el acceso a una red inalámbrica.
RADIUS
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite
gestionar la “autenticación, autorización y registro” de usuarios remotos sobre un
determinado recurso. La tupla “autenticación, autorización y registro” es más
conocida como AAA, al ser éste su acrónimo de su denominación original inglesa
“Authentication, Authorization, and Accounting”. Veamos a continuación a qué se
refiere cada uno de estos términos:
1. Autenticación (authentication) hace referencia al proceso por el cual se determina
si un usuario tiene permiso para acceder a un determinado servicio de red del que
quiere hacer uso. El proceso de autenticación se realiza mediante la presentación de
una identidad y unos credenciales por parte del usuario que demanda acceso.
Un tipo habitual de credencial es el uso de una contraseña (o password) que junto al
nombre de usuario nos permite acceder a determinados recursos. Otros tipos más
avanzados de credenciales son los certificados digitales.
2. Autorización (authorization) se refiere a conceder servicios específicos (entre los
que se incluye la “negación de servicio”) a un determinado usuario, basándose para
ellos en su propia autenticación, los servicios que está solicitando, y el estado actual
del sistema. Es posible configurar restricciones a la autorización de determinados
servicios en función de aspectos como, por ejemplo, la hora del día, la localización del
usuario, o incluso la posibilidad o imposibilidad de realizar múltiples “logins” de un
mismo usuario.
Los métodos de autorización soportados habitualmente por un servidor de RADIUS
incluyen bases de datos LDAP, bases de datos SQL (como Oracle, MySQL y
PostgreSQL), o incluso el uso de ficheros de configuración locales al servidor.
3. Registro (accounting, a menudo traducido también como contabilidad) se refiere a
realizar un registro del consumo de recursos que realizan los usuarios. El registro
suele incluir aspectos como la identidad del usuario, la naturaleza del servicio
prestado, y cuándo empezó y terminó el uso de dicho servicio.
Un uso de RADIUS que queremos enfatizar, al ser el que realizaremos en esta
práctica,
es la autenticación en redes inalámbricas (Wi-Fi), sustituyendo métodos más simples
de clave compartida (pre-shared key, PSK), que son bastante limitados al gestionar una
red cuando ésta alcanza un determinado tamaño.
Ejemplo de proyecto que utiliza Servidores RADIUS
Eduroam (EDUcation ROAMing) es un proyecto internacional creado para facilitar el
acceso a Internet a los miembros de las instituciones científico-académicas asociadas,
desde cualquiera de estas instituciones. Son miembros de este proyecto la mayor
parte de centros europeos de investigación.
La ventaja de pertenecer a este proyecto es obvia, a cambio de que los usuarios de
otras instituciones se puedan conectar a la red de tu centro, los usuarios de tu centro
se pueden conectar a Internet desde cualquier centro asociado al proyecto.
La conexión a Internet se hace habitualmente mediante un punto de acceso
inalámbrico (cuyo identificador SSID es “eduroam”) que conecta al usuario
directamente a una red IEEE 802.11 local. El proceso de autenticación se hace
mediante el protocolo EAP, que como ya hemos visto permite usar varios métodos de
autenticación. Esta autenticación la hace siempre el centro al que pertenece el usuario
(y no el centro al que se quiere conectar), y para llevar a cabo este proceso de manera
segura y escalable se emplea el protocolo RADIUS. Para los usuarios de la UPV se
emplea actualmente el modo EAP protegido con autenticación MSCHAPv2.
Una vez que el usuario ha sido autenticado, y se la ha concedido permiso para acceder
a la red, la comunicación entre el punto de acceso y el usuario durante la conexión a
Internet se hace cifrada mediante claves dinámicas. Esta configuración depende
únicamente del centro al que se conecte el usuario, y en el caso de acceder a la UPV
se
hace actualmente con el protocolo WPA mediante cifrado TKIP.
Ahora si la configuración de RADIUS
Esta Guía está elaborada para la configuración de un Sistema de Autenticación basado
en los siguientes paquetes:
Mostraremos la instalación en un sistema operativo Linux Debian 6 a través de
paquetes. A continuación se detallan los pasos que se van a seguir:
1. Instalar FreeRADIUS.
2. Configurar FreeRADIUS.
3. Descargar daloRADIUS.
4. Instalar dependencias daloRADIUS.
5. Instalar y configurar daloRADIUS.
6. Test del laboratorio.
Instalar FreeRADIUS
El primer paso es instalar FreeRADIUS desde paquetes. Para ello lanzamos el
siguiente
comando como root desde una terminal y confirmamos la instalación:
apt-get install freeradius freeradius-mysql freeradius-utils
Seguramente pedirá insertar el DVD de Debian para continuar con la instalación lo
insertamos y continuamos.
grchivu gditar yer Ierminal
Ill
ufiebian GNU,-‘Linux 6.6.2.1 _Squeeze_ - Official 1386 III‘-ID Binary-1 261113626-1 5:45» en la unidad
mjmediaicdromjw gr pulse Intro
Configurar FreeRADIUS
Ahora vamos a dejar preparado nuestro FreeRADIUS para que conecte
posteriormente con la base de datos MySQL. Los datos de conexión a la base de datos
dejaremos los predeterminados que aparecen en /etc/freeradius/sql.conf y
activaremos el soporte sql para autenticación y cuentas. Ejecutamos los siguientes
comandos como root:
cd /etc/freeradius
nano sites-enabled/default
En los apartados authorize y accouting descomentamos las líneas sql
Para activar el soporte SQL editaremos el fichero radius.conf y descomentaremos la
línea $INCLUDE sql.conf. Para ello como root ejecutamos el siguiente comando:
nano radius.conf
grchivo gditar yer Ierminal Aygda

i
Descomentamos la línea $INCLUDE sql.conf
Guardamos y continuamos.
Descarga de DALORADIUS
DALORADIUS, es una aplicación avanzada de gestión de RADIUS web destinadas a la
gestión de puntos de acceso y las implementaciones de proveedor de internet para
fines generales. Es una interfaz web que permite configurar y administrar mi servidor
freeradius.
Procederemos a descargar la aplicación. Para esta operación ejecutamos los
siguientes
comandos como root:
Extensible Authentication Protocol
For all EAP related authenticatians Now in another file, because it is very Large
Include another ‘File that has the SOL-related configuration
This is another" file only because it tends to be big.

II
Ver" ayuda Salir"
This module is an SQL enabled version of the counter module.
Rather" than maintaining seperate databases of accounting info for each counter", this module uses the data
Pas actual Urtografia
Instalar dependencias daloRADIUS
Vamos a instalar el servicio Web, el de base de datos, apache2, PHP5 y un paquete
para gestión de imágenes. Como root ejecutamos el siguiente comando:
apt-get install apache2 php5 php5-gd php-pear php-db libapache2-mod-php5
php-mail php5-mysql mysql-server
Durante la instalación se digitara la contraseña para mysql.
Vamos a probar si apache se instaló de forma correcta en el navegador vamos a digitar
http://localhost si aparece el siguiente mensaje la instalación se realizó de manera
correcta.
Configuracién de mysql-server-5.1
Se recomienda que configure una contrasefia para el usuario wroot» Eadministradofll de aunque no es obligatorio
N0 se modificaré la contrasefia si deja ese campo en blanco
This is the default web page for this server.
The web server snfiware is running but no content has been added. yet.