lost and found ( for me ? )

Free Radius : setting up FreeRadius for dynamic VLANs

こんなイメージ。簡単な EAP-MD5 。

クライアント(サプリカント) --- Switch ( Authenticator ) --- Radius ( 認証サーバ )

# cat /etc/redhat-release 
CentOS release 5.4 (Final)

# rpm -qa | grep radius
freeradius-1.1.3-1.5.el5_4

- Authenticator の登録 ( /etc/raddb/clients.conf )

マスクで指定できる。

# cat clients.conf

client 192.168.40.0/24 {
        secret = secret
        shortname = authenticator
}

- ユーザアカウントの登録 ( /etc/raddb/users )

ユーザ user600 は、パスワード user600 で VLAN ID 600 をアサイン。

# cat users

"user600" Auth-Type := EAP, User-Password == "user600"
        Tunnel-Type = VLAN,
        Tunnel-Medium-Type = IEEE-802,
        Tunnel-Private-Group-ID = 600


- eap.conf はデフォルトのまま ( /etc/raddb/eap.conf )

# egrep -v "#" eap.conf | grep -v "^$"
        eap {
                default_eap_type = md5
                timer_expire     = 60
                ignore_unknown_eap_types = no
                cisco_accounting_username_bug = no
                md5 {
                }
                leap {
                }
                gtc {
                        auth_type = PAP
                }
                mschapv2 {
                }
        }

# /etc/init.d/radiusd start

Linux起動時に radiusd を起動させる方法

# chkconfig radiusd on

# chkconfig --list | grep radius
radiusd         0:off   1:off   2:on    3:on    4:on    5:on    6:off

アカウント数が多い場合、LDAPにアカウント情報を持たせた方がいいかも。

Radius + LDAP で参考になりそうなURL

http://vuksan.com/linux/LDAP_authentication_under_Linux.html
http://vuksan.com/linux/dot1x/802-1x-LDAP.html#Set_up_OpenLDAP

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.