Raspberry PiでRadiusサーバを設定しました
とりあえずRadiusサーバが使用できるようなる初歩的な設定です
以下のファイルを設定変更します
/etc/freeradius/X.X/
・「radiusd.conf」 :「ユーザ」、「グループ」、「ポート番号」、「ログ出力可否」などを設定ファイル。
・「clients.conf」 :RADIUSクライアントの「IPアドレス」と「パスワード」を設定ファイル
・「users」 : サプリカントのユーザ名とパスワード設定ファイル
mods-available/
・「eap.conf」 : EAPの認証方式に関する設定ファイル
Radiusサーバ(freerasiud)をインストールします
sudo apt-get install freeradius
Radiusサーバを有効にします
sudo systemctl enable freeradiusログ(/var/log/freeradius/radius.log)に認証の結果が表示します。
/etc/freeradius/3.0/radiusd.conf
log{
~
auth =no → yes ※認証可否ログ出力
auth_badpass = no → yes ※認証失敗ログ出力
auth_goodpass = no → yes ※認証成功ログ出力
~
}
RADIUSクライアントからのアクセスを許可の設定を追記します。
/etc/freeradius/3.0/clients.conf
client 名前{
ipaddr = X.X.X.X/XX
secret = ****
}
名前= 任意の名前を記載
ipaddr = X.X.X.X/XX 許可する相手のIPアドレス or セグメント を記載
(0.0.0.0/0を設定するとAny許可になる)
secret = ***** Radiusサーバに接続するための共通パスフレーズ
認証するサプリカント(ユーザ)の作成
/etc/freeradius/3.0/users
「ユーザ名」 Cleartext-Password := “任意のPW”
※今回は【test-user Cleartext-Password := “testpw”】と設定してます。
EAP デフォルトの認証タイプの確認
設定ファイル
/etc/freeradius/3.0/mods-enabled/eap
初期値はMD5になっています
なので、サーバからのRADIUSのAccess-ChallengeはMD5になってます
TLSに変更してみました
ちゃんと変わりました
その他コマンド
構文チェック
sudo freeradius -CX
Configuration appears to be OK と表示されれば成功
デバックモード
sudo systemctl stop freeradius
サーバを停止します
デバッグモードは、自分で新しくサーバープロセスを立ち上げようとしますが、既にシステムサービスとして FreeRadius が動いている場合、ポート(18120番)の奪い合いになって「Address already in use(そのアドレスは既に使用中です)」とエラーとなります
Failed binding to auth address 127.0.0.1 port 18120 bound to server inner-tunnel: Address already in use
/etc/freeradius/3.0/sites-enabled/inner-tunnel[33]: Error binding to port for 127.0.0.1 port 18120
sudo freeradius -X
※このモードは Ctrl + C で終了
実行すると下記の様にメッセージを確認できます
RADIUSパケットキャプチャする場合
sudo tcpdump -i any port 1812 -w 「キャプチャファイル名(XXX.pcap)」
-w は 「write(書き込み)」
フォルダを指定したい場合は指定可能 例:/home/user/キャプチャファイル名
Fortigateで接続できるか試してみます
接続テストを実施
ユーザテストを実施
簡単にですが接続することができました
コメント