Come configurare il nostro proxy server Squid

 

Guida alla configurazione di un server RADIUS con database LDAP

 

Che cos'è RADIUS e come funziona

RADIUS è un protocollo che regola i meccanismi di autenticazione di un untente che accede ad una LAN da un computer remoto. Le parti che costituiscono l'architettura RADIUS sono un server di accesso alla rete , comunemente indicato con la sigla NAS (Network Access Server) e un server che si occupa di effettuare l'autenticazione dell'utente sulla rete , il server RADIUS appunto. Solitamente il NAS è un router dedicato in grado di commutare vari ingressi , ed è collegato direttamente al server RADIUS che si occupa di controllare il pacchetto contentente le credenziali di accesso dell'utente (username e password). Tali credenziali vengono confrontate con quelle esistenti in un database relativamente all'utente : in caso di matching l'utente autenticato può accedere ai servizi della rete , in caso contrario il protocollo prevede la notifica di un messaggio di errore. La comunicazione fra il NAS ed il server RADIUS è crittografata usando una chiave segreta condivisa da entrambi (secert key) che deve essere opportunamente creata sia sul NAS che sul server RADIUS e mantenuta riservata. Uno dei compiti del NAS può essere quello di assegnare al client remoto , dopo l'avvenuta convalida delle credenziali di accsso alla rete dell'utente , un indirizzo IP compatibile con il range di IP disponibili (il NAS spesso funge da server DHCP , funzionalità questa integrata in molti routers presenti sul mercato). I protocolli di autenticazione dell'utente remoto sul server RADIUS sono PAP (password authentication protocol) e CHAP (challenge handshake authentication protocol). Il database delle utenze che fornisce il servizio di backend come supporto al server RADIUS può essere sia un semplice file di testo (ad es il file /etc/passwd di UNIX) sia un DB dedicato come LDAP o un altro database (PostgreSQL , MySQL).

Installazione

Aprite una shell ed al prompt dei comandi digitate

#sudo apt-get -y install freeradius

 

#sudo apt-get -y install freeradius-ldap

Questo installerà i pacchetti necessari per il servizio RADIUS con supporto ad un backend che utilizza un database LDAP. L'opzione -y di apt-get non chiede la conferma per le azioni legate al processo di instalalzione del software.

Apt installerà pertanto freeradius risolvendo automaticamente le dipendenze necessarie ed avviando il server RADIUS nella configurazione di default.

Se non avete bisogno del DB LDAP potete anche fermarvi qui , in quanto il sistema è già predisposto per supportare l'autenticazione UNIX classica (quella degli utenti definiti nel file /etc/passwd per intenderci).

Se invece volete utilizzare come DB delle utenze RADIUS un DB LDAP , dovete passare al paragrafo seguente.

 

Un'occhiata ai files e alle directories di configurazione

I files di configurazione sono sotto la directory /etc/freeradius ed il file fondamentali sono 2:

radiusd.conf : contiene le direttive relative al tipo di autenticazione ed autorizzazione utilizzati dal vostro server RADIUS

clients.conf : contiene i dati del server NAS (compreso il secret key che serve per la comunicazione crittografata con il server RADIUS)

Nello specifico il file clients.conf deve avere un'entry come quella che segue :

client 192.168.200.1 {

 

secret testing123

 

shortname routercisco

 

nastype cisco

 

}

dove sostituirete 192.168.200.1 con l'IP del vostro NAS , testing123 con il secret key per la comunicazione fra il vostro NAS ed il server RADIUS , routercisco con il nome con cui volete chiamare il vostro NAS e cisco con il tipo di NAS utilizzato (i valori possibili dipendono dal modello di NAS usato, ma in generale i più comuni sono cisco ,livingston , e other per indicare un tipo di NAS che non rientra nelle categorie elencate).

Tutti i log files inerenti lo stratup dei servizi dhcp sono contenuti nel file/var/log/syslog e nei files all'interno della directory /var/log/freeradius/.

 

Configurazione di un server RADIUS con backend LDAP

Chi legge questa sezione si prepara a configurare un server RADIUS con freeradius usando come DB degli utenti un database LDAP. Il file fondamentale da modificare è/etc/freeradius/radiusd.conf e precisamente devono essere modificati i seguenti parametri :

·         nella sezione modules individuare la sottosezione ldap e modificare i seguenti parametri :

server = "wilcoyote.example.com"

 

basedn = "dc=example,dc=com"

 

filter = "(cn=%{Stripped-User-Name:-%{User-Name}})"

e commentare la stringa

accessattr = "dialupAccess"

togliere inoltre il commento al parametro

password_attribute = userPassword

·         nella sezione authorize commentare la riga files e togliere il commento

ldap. Questo dice al vostro server RADIUS che deve usare come metodo di autorizzazione il DB LDAP e non quello tradizionale UNIX basato sul file /etc/passwd.

·         nella sezione authenticate commentare la riga unix e togliere il commento

alla sottosezione Auth-Type LDAP. Questo dice al vostro server RADIUS che deve usare come metodo di autenticazione il DB LDAP e non quello tradizionale UNIX basato sul file /etc/passwd.

 

A questo punto potete riavvaire il server RADIUS con il comando :

#freeradius -X

che lo avvia in modalità di debug così che possiate controllare che i tentativi di autenticazione avvengono correttamente.

Prima di testare il tutto occorre che creiate nel vostro DB LDAP una ou = users e che vi inseriate almeno un utente di prova.

A questo punto potete procedere ad un test di verifica dell'autenticazione dell'utente RADIUS LDAP così creato usando il comando di test nativo fornito con freeradius , come segue :

#radtest username password 192.168.200.1 123 testing123

ovviamente sostituirete username e password con il nome utente e la password dell'utente LDAP appena creato , 192.168.200.1 con l'IP del vostro NAS , 123 con la porta usata per la comunicazione fra il server NAS ed il server RADIUS , testing123 con il secret key per la comunicazione protetta fra NAS e RADIUS.

Autore : Cristiano Valli

 

Configurazione di RADIUS con backend SQL

 

Installazione

I pacchetti necessari sono :

·         freeradius-mysql

·         mysql-server

li installiamo con i comandi :

#sudo apt-get -y install freeradius-mysql

 

#sudo apt-get -y install mysql-server

A questo punto siamo pronti per il processo di configurazione.

 

Configurazione

Modificate il file /etc/freeradius/radiusd.conf come segue :

·         nella sezione authorize commentate tutti i tipi di autorizzazione al di fuori di quella

sql.

·         assicuratevi che vi sia la direttiva $confdir/sql.conf

·         modificate il file /etc/freeradius/sql.conf sostituendo i valori dei parametridatabase , server , login e password con quelli del vostro caso.

Per costruire il DB MYSQL che conterrà le utenze da autenticare via RADIUS eseguire ora il comando (come root) :

#mysqladmin create radius&&cp /usr/share/doc/freeradius/examples/db_mysql.sql.gz .&&gunzip db_mysql.sql.gz&&mysql -u root -p rootpass radius < db_mysql.sql

questo domando crea il DB mysql radius ed il file db_mysql.sql contiene le direttive SQL per la creazione delle tabelle per popolarlo

a questo punto non vi rimane che popolare le tabelle del DB con gli utenti che volete usando l'SQL standard come segue :

#mysql -u root -p -D radius

 

mysql>insert ... into

riavviate adesso freeradius con il comando :

#/etc/init.d/freeradius restart

 

E testare il tutto con il comando :

#radtest utente password IPRADIUS portaNAS secret

Se tutto va bene compare un messaggio di autenticazione corretta , altrimenti usate il comando :

#freeradius -X

per riavviare freeradius in modalità di debug a schermo su una finestra di terminale diversa

Autore : Cristiano Valli