Kaip nustatyti „Radius“ serverį „pfSense“ naudojant „FreeRadius2“ paketą

Turinys

• Kodėl verta naudoti „pfSense“ kaip „Radius“ serverį?
• Paketo diegimas
• Sąsajos konfigūravimas
• Klientų pridėjimas
• Vartotojo abonementų kūrimas
• Įrenginių pridėjimas
• Problemų sprendimas
• Paslaugos būsenos tikrinimas
• Patikrinkite žurnalus
• „Radius Syslog“ pranešimai
• Paslaugos testavimas naudojant „Radtest“
• Testo vykdymo žingsniai
• Puikūs naujojo spindulio serverio naudojimo būdai

Samas dirba kaip algoritminės prekybos įmonės tinklo analitikas. Informacinių technologijų bakalauro laipsnį jis įgijo UMKC.

Šiame straipsnyje aš apžvelgsiu spindulio serverio nustatymą „pfSense“.

Spindulys yra pagrindinis tinklo įrenginių ir paslaugų autentifikavimo šaltinis. Kai kurie įprasti spindulio autentifikavimo būdai yra VPN, užfiksuoti portalai, jungikliai, maršrutizatoriai ir užkardos.

Centrinį autentifikavimą yra daug lengviau valdyti, nei sekti įvairias vietines paskyras atskiruose tinklo įrenginiuose.

Kodėl verta naudoti „pfSense“ kaip „Radius“ serverį?

„PfSense“ yra puikus serverio spindulys, nes paslaugai nereikia daug sistemos išteklių. Paslauga gali lengvai valdyti kelių šimtų klientų tapatybę, neturėdama įtakos našumui.

Turint tinkamą aparatūrą, ją galima lengvai pritaikyti tūkstančiams klientų. Tiesą sakant, „pfSense“ netgi leidžia spindulį paleisti specialioje tinklo sąsajoje.

Jei jau naudojate „pfSense“ savo tinkle, tikrai nereikia kurti atskiro serverio tik „Radius“.

Paketo diegimas

„PfSense 2.X“ paketų tvarkyklėje yra tiek „FreeRadius“, tiek „FreeRadius2“ kaip diegimo parinktys. Šiame pavyzdyje aš naudosiu „FreeRadius2“, nes jis turi keletą papildomų funkcijų, kurių nerasta ankstesnėje versijoje.

Vienu metu „pfSense“ galima įdiegti tik vieną spindulio versiją. Jei anksčiau įdiegėte kokių nors spindulių paketus, pirmiausia juos pašalinkite.

Įdiegus paketą, paleidus paslaugą, trumpam bus nutrauktas srautas, einantis per maršrutizatorių, todėl būkite atsargūs vykdydami diegimą gamybos sistemoje.

1. Žiniatinklio sąsajos sistemos meniu atidarykite paketų tvarkyklę.
2. Spustelėkite pliuso simbolį šalia „FreeRadius2“, kad pradėtumėte diegimą.
3. Spustelėkite „Gerai“, kad patvirtintumėte paketo diegimą.

Sąsajos konfigūravimas

Pirmas dalykas, kurį turėsite padaryti, yra nurodyti vieną ar daugiau sąsajų, kad spindulio serveris galėtų klausytis. „FreeRadius“ konfigūracijos nustatymus galite rasti paslaugų meniu.

Daugeliu atvejų norėsite susieti paslaugą su LAN sąsaja.

1. Spustelėkite nustatymų puslapio skirtuką sąsajos.
2. Norėdami pridėti naują sąsają, spustelėkite pliuso simbolio piktogramą.
3. Lauke Sąsajos IP adresas įveskite LAN IP adresą.
4. Spustelėkite išsaugoti

Likę nustatymai gali likti pagal numatytuosius nustatymus.

Klientų pridėjimas

Kitas konfigūravimo autentifikavimo serverio žingsnis yra pridėti kliento įrašus. Kiekvienam įrenginiui, kuris autentifikavimui naudos spindulio serverį, nustatymuose reikės sukonfigūruoti kliento įrašą.

1. Spustelėkite skirtuką NAS / Klientai.
2. Į kliento IP lauką įveskite įrenginio, iš kurio bus gaunamos autentifikavimo užklausos, IP adresą.
3. Įveskite saugų slaptažodį kliento bendrinamoje slaptoje lauke. Tai reikės įvesti ir kliento įrenginyje.

Skyriuje Įvairios konfigūracijos išskleidžiamajame laukelyje turėtumėte pasirinkti kliento tipą. Jei nė vienas iš išvardytų tipų netinka, galite pasirinkti kitus.

Vartotojo abonementų kūrimas

Paskutinis žingsnis - sukurti vartotojo abonementus. Norėdami sukurti paskyras, eikite į skirtuką vartotojai paketo nustatymuose ir spustelėkite pliuso simbolį, kad atidarytumėte naują vartotojo kūrimo puslapį.

Šiame puslapyje yra tik du privalomi laukai - vartotojo vardas ir slaptažodis. Visi kiti nustatymai yra neprivalomi ir dažniausiai taikomi uždarojo portalo vartotojams.

Įrenginių pridėjimas

Šiuo metu spindulio serveris turėtų veikti ir būti pasirengęs priimti gaunamas autentifikavimo užklausas. Dabar galite pradėti rodyti įrenginius į serverį.

Įrenginiuose reikės sukonfigūruoti šiuos elementus.

1. „PfSense“ sistemos LAN IP adresas arba bet kuri sąsaja, prie kurios pasirinkote susieti spindulio serverį.
2. Spindulio klavišas, kurį priskyrėte klientų skirtuke.
3. Autentinis prievadas turėtų būti nustatytas į 1812 arba prievadą, kurį priskyrėte sąsajų skirtuke.

Problemų sprendimas

Paslaugos būsenos tikrinimas

Pirmas dalykas, kurį turėtumėte padaryti, jei kyla problemų, yra įsitikinti, kad veikia spindulio paslauga.

Jei jis neveikia, pabandykite jį paleisti spustelėdami grojimo piktogramą šalia radiusd.

Jei atrodo, kad paslauga neprasideda, pirmyn ir iš naujo įdiekite paketą problemai išspręsti.

Diegdami iš naujo neturėtumėte prarasti jokios konfigūracijos, tačiau įsitikinę, kad viskas atrodys iškart po to, kai ji bus sukurta iš naujo.

Pastebėjau, kad kartais kliento konfigūracijos dingo, kai aš iš naujo įdiegiau.

Patikrinkite žurnalus

Sistemos žurnaluose gali būti nurodyta, kodėl kyla problema. Norėdami peržiūrėti žurnalus, būsenos meniu spustelėkite sistemos žurnalus.

Skirtuke sistema įveskite „root: freeRADIUS“ be kabučių apačioje esančiame laukelyje, tada spustelėkite filtras. Tai parodys paslaugos paleidimo ir išjungimo žurnalo pranešimus.

Autentifikavimo sėkmės ir gedimo pranešimai nematomi sistemos žurnaluose. Norint juos peržiūrėti, reikia sukonfigūruoti nuotolinio syslog serverio.

„Radius Syslog“ pranešimai

Paslaugos testavimas naudojant „Radtest“

Spindulio paketą sudaro programa „Radtest“, kurią galima naudoti norint patikrinti paslaugą ir nustatyti, ar ji tinkamai veikia.

„Radtest“ yra patogu, nes jis leidžia jums nustatyti, ar autentifikavimas veikia, prieš perkonfigūruodami bet kokius tinklo įrenginius.

Testo vykdymo žingsniai

1. Pridėkite sąsają su 127.0.0.1 IP adresu.
2. Nustatykite sąsajos tipą „Auth“, naudokite numatytąjį prievadą (1812).
3. Pridėkite klientą / NAS su 127.0.0.1 IP ir bendru slaptu „testu“.
4. Vartotojų skirtuke sukurkite bandomąją vartotojo abonementą.
5. Prisijunkite prie „pfSense“ per SSH arba naudokite diagnostikos meniu komandų eilutės funkciją.
6. Vykdykite toliau pateiktą komandą, pakeisdami vartotojo vardą> ir slaptažodį> paskirtais kredencialais.

radtest vartotojo vardas> slaptažodis> 127.0.0.1:1812 0 testas

Jei bandymas sėkmingas, turėtumėte pamatyti pranešimą „rad_recv: Access-Accept“.

Puikūs naujojo spindulio serverio naudojimo būdai

Pradėję naudoti centrinį spindulio autentifikavimą, niekada nenorėsite grįžti prie vietinių vartotojų abonementų. Žemiau aš sukūriau puikių būdų, kaip pasinaudoti naujuoju spindulio serveriu, sąrašą.

• Užfiksuoto portalo autentifikavimas: Nustatykite belaidį viešosios interneto prieigos tašką savo namams ar verslui ir naudokite spindulį kaip užfiksuoto portalo autentifikavimo šaltinį.
• Nuotolinės prieigos VPN: Konfigūruokite „pfSense“, kad jis veiktų kaip VPN serveris ir naudotojų centralizuotam autentifikavimui naudotųsi.
• Tinklo jungikliai: Užuot naudoję vietines vartotojų abonementus, nukreipkite valdomus jungiklius į „pfSense“.

Šis straipsnis yra tikslus ir tikras, kiek autorius žino. Turinys skirtas tik informaciniams ar pramoginiams tikslams ir nepakeičia asmeninių ar profesionalių patarimų verslo, finansų, teisiniais ar techniniais klausimais.