amarao (amarao_san) wrote,
amarao
amarao_san

Categories:

настройка радиуса, часть вторая.

Первая часть описана тут

Вторая часть: настройка радиус-сервера.
Используются: freeradius из состава Debian-Lenny.


1) Устанавливаем freeradius. (N.B. Если будете переустанавливать, не забудте сделать purge не только для freeradius, но и для freeradius-common, т.к. часть конфигов принадлежит ему): aptitude install freeradius.
2) Идём в /etc/freeradius/sites-enabled/, редактируем 'default', отключаем (комментируем, используя '#') строчки unix.

       #  Pull crypt'd passwords from /etc/passwd or /etc/shadow,
        #  using the system API's to get the password.  If you want
        #  to read /etc/passwd or /etc/shadow directly, see the
        #  passwd module in radiusd.conf.
        #
#       unix

...

        #  See 'man getpwent' for information on how the 'unix'
        #  module checks the users password.  Note that packets
        #  containing CHAP-Password attributes CANNOT be authenticated
        #  against /etc/passwd!  See the FAQ for details.
        #  
#       unix


Идём в /etc/freeradius и редактируем файл users:
user1        Cleartext-Password := "pass1"
                Framed-IP-Address = 192.168.12.201

user2        Cleartext-Password := "pass2"
                Framed-IP-Address = 192.168.12.202

и т.д.

Обратите внимание, если у вас есть в сети маршрутизаторы (или коммутаторы, пыжащиеся до уровня маршрутизатора), то им следует указать таблицу маршрутизации на сегмент, в котором находятся выдаваемые адреса (т.е., в нашем случае, 192.168.12.0/24). Тут есть тонкий момент с недоступностью (насколько я понял) прочих виртуальных интерфейсов циски, но этот вопрос я оставляю на "потом".

Немного о Cleartext-Password. Конечно, это зло. Жуткое. Но куда менее жуткое, чем выяснение пароля у пользователя по телефону, когда он жалуется на невозможность подключиться. Возможность администратору попробовать подключиться "из-под пользователя" куда более благо, чем смена паролей, диктовка их по телефону и т.д. При этом база с паролями, если эти пароли выдаются (генерятся) админом, не могут скомпрометировать ничего, кроме как авторизацию в радиусе (в нашем контексте - VPN-доступ). В сравнении, например, с unix-авторизацией, это не так уж страшно - пользователи окажутся в узких тисках списков доступа для пользователей (надеюсь, у вас узкие тиски ALC'ей для VPN-соединения?).

Однако, это ставит серьёзный вопрос о безопасности бэкапов.


... пойти, что ли, дописать в xgu? Наверное...
Tags: aaa, cisco, pptp, radius, vpn, администрирование
Subscribe

  • Проблемы от ipv6

    Всех интересует, какие проблемы от него. И вот я накопал. Ничего существенного, но то, что есть, раздражает и усложняет. 1. В половине софта…

  • Дурацкий срачик с сетевиками

    Должен ли VRRPv3 для ipv6 слать RA для собственных link-local адресов? (которые не virtual)? Мне кажется, что нет, потому что если он ляжет, то…

  • первая загадка ipv6

    Дано: планшет с ip 2a00:11d8:1201:32b0:b071:aca2:48f5:fecf 1) Проходит тест на test-ipv6.com 10/10 2) Отвечает на пинги с машины в одной с ним сети…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments