Kymenlaakson ammattikorkeakoulu Joni Ruotsalainen Radius
Transcription
Kymenlaakson ammattikorkeakoulu Joni Ruotsalainen Radius
Kymenlaakson ammattikorkeakoulu Joni Ruotsalainen Radius-autentikointi 26.4.2012 Sisällys 1. Johdanto ja tavoite ....................................................................................................................... 3 2. Radius-clientit .............................................................................................................................. 4 3. 2.1 Siemens hiD 6610 -kytkimet ................................................................................................. 4 2.2 Cisco-laitteet .......................................................................................................................... 4 Active Directoryn konfigurointi................................................................................................... 5 3.1 Radius-käyttäjäryhmän luominen.......................................................................................... 5 3.2 Käytettäessä Windowsin Network Policy Serveriä ............................................................... 6 4. Freeradius-palvelin - Centos 6.2 .................................................................................................. 8 5. Huomioita ja loppusanat ............................................................................................................ 11 1. JOHDANTO JA TAVOITE Käytettäessä Radius-autentikointia verkon laitteisiin kirjautumisen yhteydessä voidaan pääsynhallinta hoitaa keskitetysti. Projektin tavoitteena oli tutustua Radiukseen ja selvittää erityisesti Freeradiuksen käyttöönottoa sekä AD-integraatiota koskevia asioita. Muitakin, pääasiassa kaupallisia Radius-palvelinohjelmistoja on olemassa. Windowsilla esim. TekRadius, Clearbox, Windows Server 2003:ssa IAS (Internet Authentication Service), Windows server 2008:ssa ja R2:ssa NPS (Network Policy Server) tai Cisco ACS. 2. RADIUS-CLIENTIT Radius-palvelimen ja –clientien välinen liikenne kuljetetaan protokollan 18121813(UDP) porttien kautta. 2.1 Siemens hiD 6610 -kytkimet Kytkimet sallivat viiden yhtäaikaisen Radius/Tacacs -palvelimen käytön, joten Radius-palvelu on tältä osin mahdollista varmentaa. Radius-autentikoinnin epäonnistuessa turvaudutaan kirjautumisessa laitteen paikalliseen käyttäjäkantaan. Hätätapauksia varten joka laitteessa oltava paikallinen admintunnus. Otetaan Radius-autentikointi käyttöön paikallisesti (console): login local radius primary login local radius enable ja etäyhteyksillä: login remote radius primary login remote radius enable Asetetaan Radius-palvelinten osoitteet ja avaimet: login radius server 10.0.0.8 radius9000 2.2 Cisco-laitteet Ciscon IOS-järjestelmissä Radius käyttää oletuksena portteja 1645-1646: (config)aaa new-model (config)aaa authentication login default group radius local enable (config)radius-server host 10.0.0.8 auth-port 1812 acct-port 1813 key radius9000 3. ACTIVE DIRECTORYN KONFIGUROINTI 3.1 Radius-käyttäjäryhmän luominen Käytettäessä muita kuin Windowsin NPS:ää, AD:n puolelta tarvitsee vain huolehtia, että Radius-palvelimen konetili on kunnossa ja luoda uusi ryhmä radiuskäyttäjille, esim. Radius-users. Lisätään halutut käyttäjät tähän ryhmään. 3.2 Käytettäessä Windowsin Network Policy Serveriä Windows server 2008 R2 standardissa rajoituksena 50 Radius-clienttiä.. Enterprise- ja datacenter-versioissa tätä rajoitusta ei ole (http://technet.microsoft.com/en-us/library/dd365355(WS.10).aspx). Päivitys Windows Server 2008 R2 Enterpriseen mahdollista 2003:n ja 2008:n standardversioista (http://technet.microsoft.com/en-us/library/dd979563(WS.10).aspx). Rooli asennetaan server managerin kautta. Luodaan NPS:stä uusi policy ”testi” kuvassa näkyvin asetuksin. Tärkeinpänä ”service-type: login”, joka sallii kirjautumisen. Myös autentikointivaihtoehtoja on valittavissa useita. Tässä voidaan määritellä myös valmistajakohtaisia Radius-parametrejä. Mikäli käytetään usean valmistajan laitteita ja valmistajakohtaisia Radius-attribuutteja, monimutkaistuu ylläpito huomattavasti. Radius-clienttejä voidaan lisätä yksitellen tai useampia ilmoittavalla IP/mask esim. 10.0.0.0/24 sekä Radius-avain: 4. FREERADIUS-PALVELIN - CENTOS 6.2 Isäntäjärjestelmäksi valittiin Centos-järjestelmän ’server’-versio, jonka lisäksi asennettiin paketit freeradius freeradius-ldap freeradius-utils samba openldapservers dependensseineen. Freeradiuksen dokumentaatio on avoimen lähdekoodin ohjelmistoille tyypilliseen tapaan pirstoutunut; osa virallisilla sivuilla olevasta tiedosta on vanhaa. Vaikka konfiguraatiotiedostot on pääosin hyvin kommentoitu, on oikeiden asioiden suodattaminen niistä kovin aikaa vievää. Freeradiuksen konfigurointi vaatii useamman konfiguraatiotiedoston muokkaamista. IPv6:een siirtymisen helpottamiseksi on suotavaa käyttää nimiä IP-osoitteiden tilalla siellä, missä se vain on mahdollista. o Freeradiuksen ydinkonfiguraatio on tiedostossa /etc/raddb/radiusd.conf. Kiinnostavimpana asiana tässä tiedostossa: Lokitus, joka tallentaa oletuksena tiedostoon /var/log/radius/radius.log. Kirjautumiset saadaan tallennettua muuttamalla lokitusta koskevaa asetusta auth = no -> auth = yes. Myös oikein/väärin kirjoitetut salasanat saadaan tallennettua niin haluttaessa. Lokin selaamiseen riittänevät komentorivityökalut cat ja grep, joilla saadaan nopeasti esille halutut tiedot. Seuraavassa esimerkiksi palvelin käynnistetty, hyväksytty kirjautuminen, kirjautumisyritys väärällä tunnuksella ja väärällä salasanalla: o /etc/raddb/clients.conf –tiedostossa määritellään sallitut Radiusclientit. Esimerkiksi seuraavassa sallitaan kyselyt 10.0.0.x –osoitteista käytettäessä radius9000-avainta. Shortname kuvaa laiteryhmää ja näkyy lokitiedoissa. client 10.0.0.0/24 { secret=radius9000 shortname=a-switches } o AD-yhteyttä varten tarvitaan Samba-ohjelmiston työkaluja. /etc/samba/smb.conf –tiedostoon määritellään tarvittavat ADpalvelinta koskevat tiedot ja Radius-palvelimen NETBIOS-nimi: security = ads realm = PROVIDERSUNITED.COM password server = WIN-LEJVIUI8P3I winbind separator = + winbind use default domain = yes workgroup = PROVIDERSUNITED netbios name = RADIUS o /etc/krb5.conf –tiedostossa asetetaan default_realm, realms ja domain_realm vastaamaan Samban asetuksia: [libdefaults] default_realm = PROVIDERSUNITED.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] PROVIDERSUNITED.COM = { kdc = WIN-LEJVIUI8P3I.providersunited.com admin_server = WIN-LEJVIUI8P3I.providersunited.com default_domain = providersunited.com } [domain_realm] .providersunited.com = PROVIDERSUNITED.COM providersunited.com = PROVIDERSUNITED.COM o /etc/raddb/sites-available/default – lisättävä NTLM-autentikointi: authenticate { Auth-Type ntlm_auth { ntlm_auth } authorize { ntlm_auth } Edellisten konfiguraatiomuutosten jälkeen on tärkeää syknronoida Radiuspalvelimen kello vastaamaan AD-palvelimen aikaa koneen liittämiseksi. ntpdate WIN-LEJVIUI8P3I.providersunited.com Annetaan Radius-palvelimelle oikeus lukea dataa AD:ltä: kinit [email protected] Käynnistetään SMB ja NMB uudelleen, jotta muutokset tulevat voimaan: /etc/init.d/smb start && /etc/init.d/nmb restart Liitetään kone net ads join –UAdministrator /etc/raddb/modules/ntlm_auth –tiedostossa osoitettava ntlm-auth –binaarin sijainti ja haluttaessa sallittavan vain tietyn käyttäjäryhmän autentikointi, selvitetään tarvittava ryhmän sid-tunnus komennolla wbinfo –n @Radiususers, jonka tuloksena saadaan seuraavaa: S-1-5-21-1147742945-3860970398- 2663272961-2613 SID_DOM_GROUP (2) exec ntlm_auth { wait = yes program = "/usr/bin/ntlm_auth --request-nt-key -domain=PROVIDERSUNITED.COM --username=%{mschap:UserName} --require-membership-of=S-1-5-21-1147742945-38609703982663272961-2613 --password=%{User-Password}" } Testataan käyttäjän autentikointia ntlm_auth:lla: 1Shellistä 2Erillisellä ohjelmalla 3Kysely Radius-palvelimen näkökulmasta debug-tilassa 5. Normaalissa toiminnassa nämä tiedot eivät ole näkyvissä. HUOMIOITA JA LOPPUSANAT Tässä dokumentissa esitetty konfiguraatio sopii hyvin henkilöstömäärältään pienelle yritykselle: kaikilla halutuilla käyttäjillä on tasavertaiset oikeudet laitteisiin ja kirjautumisyritykset tallennetaan. Käyttäjien oikeuksien muokkaaminen tapahtuu täysin AD:n kautta. Radius-palvelin ei normaalissa toiminnassa tarvitse ylläpidollisia toimia – ainoastaan clientteja lisätessä.