Базовая установка freeradius

Написал небольшой how-to по настройке Wi-Fi точки доступа с авторизацией через RADIUS-сервер. Зачем нужен RADIUS? В случае обычной WPA/WPA2 авторизации точка доступа имеет один пароль на всех пользователей. В случае RADIUS-сервера, точка доступа имеет несколько учётных записей пользователей с собственными логинами и паролями, что снискало популярность в корпоративных сегментах. Таким образом, пользователь может быть отключен от Wi-Fi точки доступа и это никак не затронет других пользователей. В этой заметке приведена базовая установка RADIUS-сервера, с БД пользователей на обычных файлах.

Исходные данные:

  • бытовой роутер D-link DIR-615 (умеет EAP, что для домашних роутеров сейчас редкость), IP 192.168.0.1
  • машина с Debian Jessie, на которую будем ставить RADIUS, IP 192.168.0.100, минимальная настройка марионетки ansible (авторизация по ключам, установленный python). Для своих экспериментов я обошёлся виртуалкой, но сгодится любой компьютер, включая Raspberry Pi c Raspbian.
  • машина с установленным ansible (может совпадать с предыдущим пунктом)

Настройка сервера

Всю настройку оформил в виде плейбука ansible, который можно взять на гитхабе.  Настройки сохранены в vars/radius.yml:

radius_clients:
- name: 'dir-615'
  ip: "192.168.0.1"
  secret: "dir615secret"
  nastype: "cisco"
raddb_users:
- name: 'testuser'
  password: 'passw0rd'

В секции radius_clients указаны данные клиента, коим будет выступать роутер: имя (любое, например, модель роутера), IP и secret. В секции raddb_users перечислины учётные записи пользователей Wi-Fi, которые характеризуются именем и паролем. Ну и в hosts указан ip адрес будущего RADIUS-сервера.

Установка заключается в применении плейбука:

ansible-playbook ./install-radius.yml

Настройка роутера

Главное меню DIR-615

На вкладке "Wireless settings" необходимо нажать кнопку "Manual Wireless Network Setup"

Wireless network settings DIR-615

Необходимо убрать галочку "Wi-Fi protection setup WCN", указать SSID Wi-Fi точки и в выпадающем списке Security Mode выбрать "WPA-Enterprise".

WPA settings DIR-615

В разделе EAP (802.1X) необходимо указать IP-адрес RADIUS сервера, secret (тот самый, который в vars/radius.yml) и убрать галочку "MAC Address Authentication". Сохранить настройки.

Авторизация клиентов

В перечне доступных Wi-Fi сетей появится точка доступа с защитой 802.1X и именем указанного SSID:

Доступные Wi-Fi 802.1X точки Android

Выбираем её, нас попросят ввести логин и пароль.

Ввод учётной записи 802.1X EAP

Нажимаем "Подключить"..

Успешное подключение к Wi-Fi 802.1X EAP

 

Добавлено: 2015-12-17


Поделиться:

Оставить комментарий

Комментарий появится после одобрения.

Поля со значком * обязательны для заполнения.