FreeRADIUS
Tartalomjegyzék |
1 Általános bevezető
A FreeRADIUS egy free open source RADIUS szerver. RADIUS (Remote Authentication Dial In User Service) egy authentication (hitelesítés), authorization (engedélyezés) and accounting (naplózás) kliens-szerver protokoll. Az authentication, authorization és accounting hármast csak AAA-nak szokás rövidíteni.
FreeRADIUS hivatalos weboldala: http://www.freeradius.org/
Jelenlegi stabil verzió: 1.1.7 (2007.07.25)
Ez egy moduláris, gyors, gazdag protokoll készletű RADIUS szerver, és lehetőséget biztosít külső, így saját modulok használatára is.
A FreeRADIUS által használt felhasználói adatok elérése:
- LDAP
- Kerberos
- SQl (MySQL, PostgreSQL, MSSQl, Oracle)
- /etc/passwd
- PAM
- fájl
- ProxyRadius
- DC (domain controller)
- program (perl, python)
Hitelesítési protokollok:
- PAP
- CHAP
- MSCHAP (v1, v2)
- SIP Digest (Cisco VoIP)
- EAP
2 Mikor használják?
Felmerülhet a kérdés, hogy ha van pl.: egy LDAP szerverünk, akkor miért teszünk meg egy szervert (RADIUS) a hálózati erőforrás és az LDAP közé?
Biztonsági megfontolásból pl.: az adott alkalmazást feltörik, akkor nem tudnak közvetlenül hozzá férni az LDAP-hoz, ilyenkor a RADIUS szerver bástya hostként (Bastion host) viselkedik. Vagy ki akarjuk használni a RADIUS adta lehetőségeket: közponzi felhasználó és jogosultság kezelés, és naplózás.
Viszont a leggyakoribb alkalmazási területe, azoknál a hálózati erőforrásoknál használják, ahol nincsen lehetőség, vagy mód a fent felsorolt azonosítási protokollok implementálására pl.: hálózati eszközök (routerek, switchek, AP-k, stb.).
3 Hogy lehet beszerezni?
A letölthető a forrása a http://www.freeradius.org weboldalról és utána szokásos modon telepíthető (./configure, make, make install), vagy általábban a distribucióknál létezik belőlük csomag (pl.: Debian, Fedora, SUSE, stb).
Létezik belőle Windows-os verzió is, csak azt FreeRADIUS.net néven terjesztik, ami letölthető a http://www.freeradius.net weboldalról.
4 RADIUS protokoll
Kliens-server architekurájú protokoll, ahol a kliens egy NAS (Network Access Server), ami küld egy kérést, és a server (RADIUS) válaszol kérésre. A RADIUS protokoll UDP-t használ. A kliens-szerver között átlagban egy kérés és válasz zajlik le, így fölösleges lenne TCP-t hazsnálni. A TCP megbizhatóbb, de nagyon lassítaná csak a protokoll válasz idejét. A protokoll 2 portot használ. A 1812-es porton az auth (authentication, authorization) folyamatokra használja, és a 1813-as portot meg a naplózáshoz (accounting) használja.
Protokoll futam:
"RADIUS adat formátuma (mind a két esetben):"
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ... +-+-+-+-+-+-+-+-+-+-+-+-+-
RADIUS Codes (decimal) értékei:
1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved
Mível az UDP-ben nincsen nyugtázás, ezért a protokollba beépítették. Erre csak a naplózásnál (accounting) van szükség, ilynkor a RADIUS nyugtázza, hogy megkapta a napló (accounting) csomagot.
Identifier:
Az összetartozó csomagokat azonosítja.
Length: Az egész csomag méretét adja meg. A minimum méret 20, míg a maximális 4096 byte.
Authenticator: A NAS és a RADIUS rendelkezik egy közös kulccsal (secret vagy key). Auth esetben:
A kliens generál egy random számot, amit elküld a kérésben. Majd a szerver a válasz csomagban a következő algoritmust használja fel, hogy hitelesítse magát: ResponseAuth = MD5(Code,ID,Length,NASAuth,Attributes,Secret).
Acc esetében:
A kliens (NAS) a következő algoritmus szerint generálja:
Authenticator=MD5(Code,Identifier,Length,16 zero octets,request attributes,shared secret)
A RADIUS a válasz csomagban Authenticator=MD5(Code,Identifier,Length,Request Authenticator,Secret)
Attributum:
felépítése: 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | Value ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Type:
Auth esetén: 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port
Accountig esetén: 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count
Lenght:
Atrributum teljes hosszát adja meg.
Value: Mérete lehet nulla is. Vagy több byte is.
Típusai:
- text 1-253 byte
- string 1-253 byte
- address 32 bit
- integer 32 bit
- time 32 bit (unix time: 1970. január 1. UTC 00:00:00 óta eltelt másodpercek)
RADIUS hitelesítés lépései:
Lépések:
1. NAS - Access-Request
- Code=Access-Request
- Authenticator=NAS által generált random szám
- Attributumok: User-Name, User-Password
Password titkosítva=MD5(NASAuth,Secret) XOR Password
2. RADIUS - Access-Accept vagy Access-Reject
- Code= Access-Accept vagy Access-Reject
- Authenticator=MD5(Code,ID,Length,NASAuth,Attributes,Secret)
- Attributomok (pl.: jogok, protokoll, stb) (opcionális)
RADIUS naplózás lépései:
1. NAS - Accounting-Request
- Code=Accounting-Request
- Authenticator=MD5(Code,Identifier,Length,16 zero octets,request attributes,shared secret)
- Attributumok
2. RADIUS - Accounting-Response
- Code=Accounting-Response
- Authenticator=MD5(Code,Identifier,Length,Request Authenticator,Secret)
5 Beállítás
Forrásból telepített FreeRADIUS könyvtár szerkezette:
bin etc include lib man sbin share var
A konfig fájlok alapértelmezésben a etc/raddb könyvtárban vannak. A konfig fájlok listája:
acct_users attrs certs clients clients.conf db.ipindex db.ippool dictionary eap.conf error2 example.pl experimental.conf hints huntgroups ldap.attrmap mssql.conf naslist naspasswd oraclesql.conf otp.conf otppasswd.sample postgresql.conf preproxy_users proxy.conf radiusd.conf realms services snmp.conf sql.conf sqlippool.conf users
A listából is látszik, hogy mennyire moduláris a konfigurációja. A fő konfigurációs fájl a radiusd.conf, ez töltődik be alapból, és tölti be a szükséges többi konfigurációs fájlt.
Radiusd.conf fájlból részletek:
prefix = /usr/local/freeradius-1.1.7 exec_prefix = ${prefix} sysconfdir = ${prefix}/etc localstatedir = ${prefix}/var sbindir = ${exec_prefix}/sbin logdir = ${localstatedir}/log/radius raddbdir = ${sysconfdir}/raddb radacctdir = ${logdir}/radacct confdir = ${raddbdir} run_dir = ${localstatedir}/run/radiusd log_file = ${logdir}/radius.log pidfile = ${run_dir}/radiusd.pid
Amivel futni fog a RADIUS szerver.
user = nobody group = nobody
IP címe a szervernek:
bind_address = 152.66.208.218
Modulok beállítása következik.
Proxy:
proxy_requests = yes $INCLUDE ${confdir}/proxy.conf
kliensek:
$INCLUDE ${confdir}/clients.conf
Unix /etc/passwd alapú hitelesítés:
unix { passwd = /etc/passwd }
AAA metodus előtt elvégzett műveletek pl.: IP cím ellenörzés
preprocess { huntgroups = ${confdir}/huntgroups hints = ${confdir}/hints }
LDAP:
ldap { server = "ldap.your.domain" identity = "cn=admin,o=My Org,c=UA" basedn = "o=My Org,c=UA" filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" base_filter = "(objectclass=radiusprofile)" start_tls = no tls_cacertfile = /path/to/cacert.pem tls_cacertdir = /path/to/ca/dir/ tls_certfile = /path/to/radius.crt tls_keyfile = /path/to/radius.key tls_randfile = /path/to/rnd tls_require_cert = "demand" ldap_connections_number = 5 }
felhasználók megadása:
files { usersfile = ${confdir}/users acctusersfile = ${confdir}/acct_users preproxy_usersfile = ${confdir}/preproxy_users }
Naplózás:
detail { detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d detailperm = 0600 } sql_log { path = ${radacctdir}/sql-relay acct_table = "radacct" postauth_table = "radpostauth" Start = "INSERT INTO ${acct_table} (AcctSessionId, UserName, \ NASIPAddress, FramedIPAddress, AcctStartTime, AcctStopTime, \ AcctSessionTime, AcctTerminateCause) VALUES \ ('%{Acct-Session-Id}', '%{User-Name}', '%{NAS-IP-Address}', \ '%{Framed-IP-Address}', '%S', '0', '0', );" Stop = "INSERT INTO ${acct_table} (AcctSessionId, UserName, \ NASIPAddress, FramedIPAddress, AcctStartTime, AcctStopTime, \ AcctSessionTime, AcctTerminateCause) VALUES \ ('%{Acct-Session-Id}', '%{User-Name}', '%{NAS-IP-Address}', \ '%{Framed-IP-Address}', '0', '%S', '%{Acct-Session-Time}', \ '%{Acct-Terminate-Cause}');" Alive = "INSERT INTO ${acct_table} (AcctSessionId, UserName, \ NASIPAddress, FramedIPAddress, AcctStartTime, AcctStopTime, \ AcctSessionTime, AcctTerminateCause) VALUES \ ('%{Acct-Session-Id}', '%{User-Name}', '%{NAS-IP-Address}', \ '%{Framed-IP-Address}', '0', '0', '%{Acct-Session-Time}',);" Post-Auth = "INSERT INTO ${postauth_table} \ (user, pass, reply, date) VALUES \ ('%{User-Name}', '%{User-Password:-Chap-Password}', \ '%{reply:Packet-Type}', '%S');" }
A már megismert AAA metodus kerul megint elő. Egyenként tudjuk megadni, hogy melyik modullt akarjuk használni. Az Auth-Type beállításnál csak az ott megadott modullt használja, és nem probálja meg a többi felsorolt modullt használni.
authorize { file ldap eap sql } authenticate { Auth-Type CHAP { chap } pam unix } preacct { preprocess acct_unique } accounting { detail sql sql_log } post-auth { main_pool sqlippool Post-Auth-Type REJECT { insert-module-name-here } } pre-proxy { files pre_proxy_log } post-proxy { post_proxy_log }
A preacct a naplózás előtt elvégzendő műveletek pl.: egyedi kulcsot generál a felhasználónak key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
A post-auth az eredményesen hitelesített felhasználók utólagos műveleteit tartalmazza pl.: IP cím osztás. Vagy a nem eredményesen hitelesített felhasználók a "Post-Auth-Type REJECT" magadott modullal mégprobálkozik hitelsíteni a RADIUS.
A pre-proxy és post-proxy a RADIUS-Proxy előtt és után elvégzett modulokat lehet megadni.
Azonosításnál mindenképpen használt modullok: clients, realms, huntgroups, users.
clients
A NAS beállításait lehet megadni: IP, secret, nastype.
Támogatott nastype:
cisco computone livingston max40xx multitech netserver pathras patton portslave tc usrhiper other
realms
A felhasználónév@realm formátumban megadott felhasználóneveknél használatos.
huntgroups
A NAS-hoz kapcsolodó felhasználók "paraméreit" adhatjuk meg pl.: IP
users
Itt lehet összefogni, az előbb tárgyalt hármast (clients, realm, huntgroups).
Egyébb modullok
A modullok beállításait, ha a radiusd.conf-ban nem lehet megtenni, akkor a modullal azonos nevű fájlban tudjuk megtenni.
Példa: SQL:
A radiusd.confban meg kell adni, hogy milyen sql-t szeretne használni. Támogatott: PostgreSQL, MySQL, MSSQL, Oracle.
Példaul, ha postgresql-t szeretnénk használni, akkor a postgresql.conf-ot kell betölteni.
A fájlban kell megadni a postgreSQL szerver beállításait pl.: hostnév, felhasználó, jelszó, adatbázis, stb..
Az adatbázis séma elérési útja a fájl elején található pl.: doc/examples/postgresql.sql
Részlet a postgresql.conf-ból:
sql { driver = "rlm_sql_postgresql" server = "localhost" login = "postgres" password = "" radius_db = "radius" [...]
Majd az AAA methodnál megismert események SQL műveletei vannak:
Egy kapcsolat felépítésének a naplózása: accounting_start_query = "INSERT into ${acct_table1} \ AcctSessionId, AcctUniqueId, UserName, Realm, NASIPAddress, NASPortId, NASPortType, AcctStartTime, AcctAuthentic, \ ConnectInfo_start, CalledStationId, CallingStationId, ServiceType, FramedProtocol, FramedIPAddress, AcctStartDelay, AscendSessionSvrKey) \ values('%{Acct-Session-Id}', '%{Acct-Unique-Session-Id}', '%{SQL-User-Name}', '%{Realm}', '%{NAS-IP-Address}', \ '%{NAS-Port}', '%{NAS-Port-Type}', ('%S'::timestamp - '%{Acct-Delay-Time:-0}'::interval), '%{Acct-Authentic}', '%{Connect-Info}', \ '%{Called-Station-Id}', '%{Calling-Station-Id}', '%{Service-Type}', '%{Framed-Protocol}', \ NULLIF('%{Framed-IP-Address}', )::inet, 0, '%{X-Ascend-Session-Svr-Key}')"
6 Példa beállítás
A példában a következőket valósítjuk meg:
Adott néhány Cisco hálózati eszköz (switch, router, VPN Concentrátor), és néhány gép amiről ezeket szeretnék SSH-n keresztül konfigurálni. A felhasználókat fájlban tároljuk. A kapcsolatokat naplózni szeretnénk fájlba és sql-be is. Ezenkívül a VPN Concetrátornál szeretnénk, ha a VPN felhasználók azonosítása LDAP-ból történe, és ők ne tudjanak SSH-n keresztül belépni a hálózati eszközökre. A naplózás itt is követelmény.
Cisco IOS konfig:
aaa authentication login default group radius local aaa authorization exec default group radius local aaa accounting exec default start-stop group radius radius-server 152.66.208.218 auth-port 1812 acct-port 1813 key xxxxx radius-server timeout 10 radius-server retry 3
radiusd.conf
ldap { server = "ldaps://ldap.sch.bme.hu" basedn = "dc=sch,dc=bme,dc=hu" port =636 tls_mode = yes tls_cacertfile = ca-cert path tls_certfile = host-cert path tls_keyfile = host-key path authtype = ldap ldap_connections_number = 20 set_auth_type = yes timeout = 20 } files { usersfile = ${confdir}/users } detail { detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d detailperm = 0600 } detail auth_log { detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d detailperm = 0600 } acct_unique { key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port" } $INCLUDE ${confdir}/clients.conf $INCLUDE ${confdir}/postgresql.conf preprocess { huntgroups = ${confdir}/huntgroups hints = ${confdir}/hints } authorize { auth_log files ldap } authenticate { Auth-Type LDAP { ldap } } preacct { preprocess acct_unique } accounting { detail sql }
clients.conf:
client 152.66.208.141 { secret = xxxx shortname = router-1 nastype = cisco } client 152.66.208.146 { secret = xxxx shortname = router-1 nastype = cisco } A többi hálózati eszköz hasonló módon felsorolva.
huntgroups:
(group név, IP): ssh Calling-Station-Id == 152.66.208.218 a többi IP cím felsorolása, ahhonan engedni akarjuk az ssh kapcsolatot
postgresql.conf
A beállításoknál említett séma létrehozása, majd a fájl elején meg kell adni az SQL eléréséhez szükséges adatokat. Mást nem kell változtatni.
users:
SSH normál felhasználó fájlból: felhasználó1 Auth-Type := Local, User-Password == "xxxxx", Simultaneous-Use := 10, Huntgroup-Name == "aclip" Service-Type = Login, cisco-avpair="shell:priv-lvl=0"
SSH admin felhasználó fájlból: felhasználó2 Auth-Type := Local, User-Password == "xxxxx", Simultaneous-Use := 10, Huntgroup-Name == "aclip" Service-Type = Login, cisco-avpair="shell:priv-lvl=15"
VPN felhasználó fájlból: felhasználó3 Auth-Type := Local, User-Password == "xxxxx", Simultaneous-Use := 2 Service-Type = Outbound-User VPN felhasználó LDAP-ból: DEFAULT Simultaneous-Use := 100, Auth-Type := LDAP Service-Type = Outbound-User