Re: Consejo servidor RADIUS
--- Jorge Pomoro <listadebian@datafull.com> escribió:
>
> ----- Original Message -----
> From: "Alfonso Pinto" <elhodred@yahoo.es>
> To: "Lista Debian"
> <debian-user-spanish@lists.debian.org>
> Sent: Thursday, November 10, 2005 6:52 AM
> Subject: RE: Consejo servidor RADIUS
>
>
> >
> > --- Jorge Pomoro <listadebian@datafull.com>
> escribió:
> >
> > > Buenas
> > > Necesito instalar y configurar un servidor
> Radius.
> > > He estado buscando y, por
> > > lo que veo, los dos mejores son FreeRadius e
> > > ICRadius.
> > > Necesito uno que sea facil de configurar y
> seguro.
> > > Si alguno de ustedes alguna vez lo ha hecho,
> > > necesitaria opiniones! Ya que
> > > tengo que levantarlo lo antes posible,
> >
> > Un servidor Radius es facil de levantar,
> simplemente
> > instalas freeradius y ya está. Otra cosa es como
> > configurar el servidor radius, el cliente radius y
> el
> > programa que quieres que interactue con raidus
> para
> > login, permisos y/o accounting.
> > ¿Que quieres hacer exactamente con freeradius?
> >
> > Yo configuré freeradius para login y accounting de
> > conexiones VoIP mediante openser y asterisk. Si
> nos
> > comentas para que lo quieres usar tal vez podamos
> > ayudarte.
> >
> > Un saludo.
> >
>
> Lo que necesito hacer, es mantener una base de datos
> con usuarios que tengan
> acceso a Internet. No puedo usar un simple proxy
> como Squid, ya los usuarios
> se agregan y eliminan constantemente, la navegacion
> es por tiempo (15 min,
> 30 min, etc...)
> Tengo un router gateway D-Link (DSA-3100) que
> permite hacer esto, tiene la
> opcion para colocar la IP del servidor Radius y que
> chequee ahi si el
> usuario existe. El tema de dar acceso a Internet se
> ocuparia este aparato,
> el server radius solo tendria la base con usuarios.
> (el DLink seria el unico
> cliente radius)
>
> Por supuesto tambien tendria que poder modificar la
> base de datos radius
> desde un PHP, para poder agregar y eliminar usuarios
> facilmente.
>
vamos a ver:
1º apt-get install freeradius
2º wget
http://openser.org/pub/openser/latest/packages/deb-sarge/radiusclient-ng_0.5.1_i386.deb
3º wget
http://openser.org/pub/openser/latest/packages/deb-sarge/libradius-ng_0.5.1_i386.deb
El cliente de radius lo instalas en la misma máquina o
en otra, es simplemente para comprobar si has
configurado el servidor bien.
Ahora, en la carpeta en al que te haya instalado el
cliente de radius (creo recordar que era
/etc/radiusclient-ng), edita el archivo
radiusclient.conf
busca estas lineas:
authserver localhost
acctserver localhost
Si has instalado el cliente en el mismo ordenador que
el server, deja localhost, sino cambialo por la ip de
la maquina que tenga el servidor freeradius.
Edita tambien el archivo servers tendras que poner la
ip o nombre de host del servidor freeradius, un
espacio y una contraseña qu tu quieras.
Ahora edita /etc/freeradius/clients.conf y añade algo
como esto
client nombredehost/ip_del_cliente_radius {
secret=contraseña que pusiste en
/etc/radiusclient-ng/servers
shortname=nombrecortodelhost
}
En teoria ya tienes una entrada para localhost, asi
que usa esa en caso de que el servidor radius y el
cliente esten en el mismo host.
Para ver una prueba de que el server funciona, vamos a
activar la autenticación DIGEST en caso de que este
deshabilitada (no recuerdo si viene habilitada por
defecto o no, creo que viene deshabilitado).
Edita el archivo radiusd.conf o freeradius.conf (lo
siento, no me acuerdo como se llama el archivo en el
paquete debian, jejejeje). En la seccion
"authorize"busca digest y descomenta esa linea. Haz lo
mismo en la sección "authenticate".
Ahora configuramos un usuario. Edita el archivo
/etc/freeradius/users, y añade algo como esto:
test Auth-Type := Digest, User-Password == "test"
Reply-Message = "Hello, test with digest"
para el servidor radius: /etc/init.d/freeradius stop
lo iniciamos para que nos de mensajes de debug:
freeradius -X
Creamos un archivo llamado digest con el siguiente
contenido
User-Name = "test", Digest-Response =
"631d6d73147add2f9e437f59bbc3aeb7",
Digest-Realm = "testrealm", Digest-Nonce = "1234abcd"
,
Digest-Method = "INVITE", Digest-URI =
"sip:5555551212@example.com",
Digest-Algorithm = "MD5", Digest-User-Name = "test"
y hacemos la prueba: radclient (o radiusclient o
radiusclient-ng) -f digest localhost auth <contraseña
que pusiste en servers y en clients.conf sin simbolos
menor y mayor que>
Esto suponiendo que el archivo digest este en el mismo
directorio en el que estamos y que el servidor radius
y el cliente esten en la misma maquina. Si todo va
bien te saldra algo como esto:
Received response ID 224, code 2, length = 45
Reply-Message = "Hello, test with digest"
Vale, el cliente de radius ya no te vale para nada a
no ser que tu router lo necesite. El servidor radius
esta levantado. En /etc/freeradius/clients.conf
tendras que poner probablemente la ip de tu router y
una contraseña. En la configuración de tu router
tendras que poner la ip de tu servidor radius y la
misma contraseña.
En /etc/freeradius/users tendras que poner los datos
de cada usuario con la sintaxis que requiera tu router
y con el tipo de autenticación que necesites (a lo
mejor no soporta DIGEST). De todas maneras mira la
documentacion del router a ver si explica algo más.
Con esto tienes el servidor freeradius andando.
todo esto lo saque de
http://www.iptel.org/ser/doc/ser_radius/ser_radius.html
Un saludo
______________________________________________
Renovamos el Correo Yahoo!
Nuevos servicios, más seguridad
http://correo.yahoo.es
Reply to: