Narzędzia użytkownika
zsk:radius
Różnice
Różnice między wybraną wersją a wersją aktualną.
| Both sides previous revision Poprzednia wersja Nowa wersja | Poprzednia wersja | ||
|
zsk:radius [2017/12/09 15:59] jkonczak [WPA-EAP] |
zsk:radius [2018/01/12 22:26] (aktualna) jkonczak [FreeRadius] |
||
|---|---|---|---|
| Linia 42: | Linia 42: | ||
| * dodaj nowego klienta, który: | * dodaj nowego klienta, który: | ||
| * może odpytywać z 10.0.0.0/24 | * może odpytywać z 10.0.0.0/24 | ||
| - | * jest typu: \\ ''nas_type = cisco'' \\ nas = Network Access Server [[https://wiki.freeradius.org/glossary/NAS|[1]]] | + | * jest typu: \\ ''nas_type = cisco'' \\ (nas oznacza Network Access Server [[https://wiki.freeradius.org/glossary/NAS|[1]]]) |
| * Do czego używany jest ''secret''? | * Do czego używany jest ''secret''? | ||
| * Uruchom FreeRadiusa w trybie debugowania: \\ ''freeradius -X'' | * Uruchom FreeRadiusa w trybie debugowania: \\ ''freeradius -X'' | ||
| Linia 50: | Linia 50: | ||
| * Przejrzyj plik ''ca.cnf'' i ''server.cnf'' | * Przejrzyj plik ''ca.cnf'' i ''server.cnf'' | ||
| * Wykonaj komendę ''make'' \\ Jakie certyfikaty wygenerowałeś? \\ Jaki będzie poziom zaufania do certyfikatu serwera przez klientów? | * Wykonaj komendę ''make'' \\ Jakie certyfikaty wygenerowałeś? \\ Jaki będzie poziom zaufania do certyfikatu serwera przez klientów? | ||
| + | * Dodaj do pliku ''mods-enabled/eap'', do sekcji ''ttls'' i ''peap'' opcje: \\ ''copy_request_to_tunnel = yes \\ use_tunneled_reply = yes'' | ||
| * Uruchom ponownie ''freeradius -X'' | * Uruchom ponownie ''freeradius -X'' | ||
| Linia 108: | Linia 109: | ||
| EAPOL korzysta z rozwiązania EAP (EAPOL = EAP over LAN). Protokół [[https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol|EAP]] **nie** służy do uwierzytelniania; EAP pozwala na przekazanie wiadomości różnych metod (protokołów) uwierzytelniania, a których najpopularniejsze to TLS, PEAP i TTLS. | EAPOL korzysta z rozwiązania EAP (EAPOL = EAP over LAN). Protokół [[https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol|EAP]] **nie** służy do uwierzytelniania; EAP pozwala na przekazanie wiadomości różnych metod (protokołów) uwierzytelniania, a których najpopularniejsze to TLS, PEAP i TTLS. | ||
| - | Wiadomości protokołu EAP są przesyłane wpierw między klientem sieci bezprzewodowej (stacją, STA) a AcceePointem (AP) przy użyciu protokołu EAPOL, następnie między AP a serwerem RADIUS przy użyciu protokołu RADIUS. | + | Wiadomości protokołu EAP są przesyłane wpierw między klientem sieci bezprzewodowej (stacją, STA) a AccessPointem (AP) przy użyciu protokołu EAPOL, następnie między AP a serwerem RADIUS przy użyciu protokołu RADIUS. |
| Więcej informacji o 802.1X: | Więcej informacji o 802.1X: | ||
| Linia 119: | Linia 120: | ||
| //Zadanie 7.// Sprawdź lokalnie (na serwerze radius) uwierzytelnianie EAP: | //Zadanie 7.// Sprawdź lokalnie (na serwerze radius) uwierzytelnianie EAP: | ||
| - | * Pobierz (lub zbuduj, instrukcje niżej) program eapol_test | + | * Pobierz: {{:zsk:eapol_test|eapol_test}} (lub zbuduj, instrukcje niżej) program ''eapol_test'' |
| * Przygotuj plik konfiguracyjny (lub pobierz np. z http://deployingradius.com/scripts/eapol_test/): <html><small></html><code none wpa_supplicant.conf> | * Przygotuj plik konfiguracyjny (lub pobierz np. z http://deployingradius.com/scripts/eapol_test/): <html><small></html><code none wpa_supplicant.conf> | ||
| network={ | network={ | ||
| Linia 153: | Linia 154: | ||
| //Zadanie 8.// Skonfiguruj nową grupę serwerów radius i nową grupę uwierzytelniania na potrzeby WPA-Enterprise: <code> | //Zadanie 8.// Skonfiguruj nową grupę serwerów radius i nową grupę uwierzytelniania na potrzeby WPA-Enterprise: <code> | ||
| - | aaa group server radius grupaSerwerowRadiusDlaWpa | + | aaa group server radius serweryRadiusDlaWpa |
| server 10.0.0.1 auth-port 1812 acct-port 1813 | server 10.0.0.1 auth-port 1812 acct-port 1813 | ||
| - | aaa authentication login grupaUwierzytelnianiaDlaWpa group grupaSerwerowRadiusDlaWpa | + | aaa authentication login grupaUwierzytelnianiaDlaWpa group serweryRadiusDlaWpa |
| </code> | </code> | ||
| Linia 175: | Linia 176: | ||
| //Zadanie 11.// Ograniczanie dozwolonych metod EAP: | //Zadanie 11.// Ograniczanie dozwolonych metod EAP: | ||
| * Przejrzyj plik ''mods-enabled/eap'' z katalogu konfiguracji FreeRadiusa. | * Przejrzyj plik ''mods-enabled/eap'' z katalogu konfiguracji FreeRadiusa. | ||
| - | * Zmodyfikuj plik tak, by zabronić motod innych niż ''ttls'' i ''peap'' (uwaga: sekcje ''tls-config'' i ''mschapv2'' muszą zostać) | + | * Zmodyfikuj plik tak, by zabronić metod innych niż ''ttls'' i ''peap'' (uwaga: sekcje ''tls-config'' i ''mschapv2'' muszą zostać) |
| - | * Przetestuj poleceniem ''eap_test'' działanie konfiguracji | + | * Przetestuj poleceniem ''eapol_test'' działanie konfiguracji |
| //Zadanie 12.// Accounting sieci bezprzewodowej: | //Zadanie 12.// Accounting sieci bezprzewodowej: | ||
| - | * Stwórz grupę accountingu na potrzeby WPA-Enterprise: \\ ''aaa accounting network grupaAcctDlaWpa start-stop group radiusDlaWpa'' | + | * Stwórz grupę accountingu na potrzeby WPA-Enterprise: \\ ''aaa accounting network grupaAcctDlaWpa start-stop group serweryRadiusDlaWpa'' |
| * Ustaw accounting dla wybranej sieci: \\ ''dot11 ssid wybranySsidSieci'' \\ '' accounting grupaAcctDlaWpa'' | * Ustaw accounting dla wybranej sieci: \\ ''dot11 ssid wybranySsidSieci'' \\ '' accounting grupaAcctDlaWpa'' | ||
| * Połącz się z siecią, pobierz jakiekolwiek dane, rozłącz się z siecią | * Połącz się z siecią, pobierz jakiekolwiek dane, rozłącz się z siecią | ||
| Linia 185: | Linia 186: | ||
| | | ||
| ==== 802.1X ==== | ==== 802.1X ==== | ||
| + | |||
| + | Opisany w poprzedniej sekcji protokół IEEE 802.1X stworzono na potrzebę uwierzytelniania urządzeń podłączanych do sieci kablowej. IEEE 802.1X to tylko uwierzytelnianie klienta – w porównaniu do WPA2-Enterprise nie stosuje się szyfrowania ruchu. | ||
| //Zadanie 13.// Przełącz się z konfiguracji AP na konfigurację switcha. Wykonaj podstawową konfigurację: | //Zadanie 13.// Przełącz się z konfiguracji AP na konfigurację switcha. Wykonaj podstawową konfigurację: | ||
zsk/radius.1512831591.txt.gz · ostatnio zmienione: 2017/12/09 15:59 przez jkonczak
Narzędzia strony
Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: Creative Commons Attribution-ShareAlike 4.0 International License
