Free Radius : setting up FreeRadius for dynamic VLANs

こんなイメージ。簡単な EAP-MD5 。

クライアント(サプリカント) --- Switch ( Authenticator ) --- Radius ( 認証サーバ )

# cat /etc/redhat-release 

CentOS release 5.4 (Final)

# rpm -qa | grep radius

freeradius-1.1.3-1.5.el5_4

- Authenticator の登録　( /etc/raddb/clients.conf )

マスクで指定できる。

# cat clients.conf

client 192.168.40.0/24 {

        secret = secret

        shortname = authenticator

}

- ユーザアカウントの登録 ( /etc/raddb/users )

ユーザ user600 は、パスワード user600 で VLAN ID 600 をアサイン。

# cat users

"user600" Auth-Type := EAP, User-Password == "user600"

        Tunnel-Type = VLAN,

        Tunnel-Medium-Type = IEEE-802,

        Tunnel-Private-Group-ID = 600

- eap.conf はデフォルトのまま ( /etc/raddb/eap.conf )

# egrep -v "#" eap.conf | grep -v "^$"

        eap {

                default_eap_type = md5

                timer_expire     = 60

                ignore_unknown_eap_types = no

                cisco_accounting_username_bug = no

                md5 {

                }

                leap {

                }

                gtc {

                        auth_type = PAP

                }

                mschapv2 {

                }

        }

# /etc/init.d/radiusd start

Linux起動時に radiusd を起動させる方法

# chkconfig radiusd on

# chkconfig --list | grep radius

radiusd         0:off   1:off   2:on    3:on    4:on    5:on    6:off

アカウント数が多い場合、LDAPにアカウント情報を持たせた方がいいかも。

Radius + LDAP で参考になりそうなURL

http://vuksan.com/linux/LDAP_authentication_under_Linux.html
http://vuksan.com/linux/dot1x/802-1x-LDAP.html#Set_up_OpenLDAP