こんなイメージ。簡単な EAP-MD5 。
# rpm -qa | grep radius
client 192.168.40.0/24 {
- ユーザアカウントの登録 ( /etc/raddb/users )
# cat users
- eap.conf はデフォルトのまま ( /etc/raddb/eap.conf )
# /etc/init.d/radiusd start
http://vuksan.com/linux/LDAP_authentication_under_Linux.html
http://vuksan.com/linux/dot1x/802-1x-LDAP.html#Set_up_OpenLDAP
クライアント(サプリカント) --- Switch ( Authenticator ) --- Radius ( 認証サーバ )
# cat /etc/redhat-release
CentOS release 5.4 (Final)
# rpm -qa | grep radius
freeradius-1.1.3-1.5.el5_4
- Authenticator の登録 ( /etc/raddb/clients.conf )
マスクで指定できる。
# cat clients.conf
client 192.168.40.0/24 {
secret = secret
shortname = authenticator
}
- ユーザアカウントの登録 ( /etc/raddb/users )
ユーザ user600 は、パスワード user600 で VLAN ID 600 をアサイン。
# cat users
"user600" Auth-Type := EAP, User-Password == "user600"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = 600
- eap.conf はデフォルトのまま ( /etc/raddb/eap.conf )
# egrep -v "#" eap.conf | grep -v "^$"
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
mschapv2 {
}
}
# /etc/init.d/radiusd start
Linux起動時に radiusd を起動させる方法
# chkconfig radiusd on
# chkconfig --list | grep radius
radiusd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
アカウント数が多い場合、LDAPにアカウント情報を持たせた方がいいかも。
Radius + LDAP で参考になりそうなURL
http://vuksan.com/linux/LDAP_authentication_under_Linux.html
http://vuksan.com/linux/dot1x/802-1x-LDAP.html#Set_up_OpenLDAP
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.