FreeRadius入門(翻訳)

4026 ワード

テキストアドレス
前言
この文書では、FreeRADIUSの初期構成を実行する方法について説明します.ユーザーがUnixシステム管理の基本知識を持っていると仮定します.radiusを事前に知る必要はありません.
サーバのインストール
可能であれば、yum、aptなどのオペレーティングシステムのパッケージ管理システムを使用してインストール操作を行うことをお勧めします.オペレーティングシステムが提供するバージョンは期限切れになっているかもしれませんが、「開梱」することができます.
手動でインストールする場合は、このWikiページにはマルチプラットフォームのインストールの詳細が含まれています.そうでなければ、yum install freeradiusまたはapt-get install freeradiusのようにradiusサービス側をインストールできると仮定します.
Debianベースのシステムでは、サーバ・デーモンはfreeradiusではなくradiusdと呼ばれ、プロファイルも/etc/freeradiusであり、/etc/raddb/ではありません.このマニュアルではradiusd/etc/raddb/を使用しており、Debian管理者がシステムに変換できると信じています.
いくつかの背景
サーバがインストールされると、まず変更を最小限に抑えることができます.デフォルトの構成は、任意のシーンで動作し、各認証方法を実行するように設計されています.
デフォルトのプロファイルを編集しないでください.作業がわかるまで.これは、プロファイルコメントに含まれるドキュメントを読む必要があることを意味します.
多くの一般的な構成は、プロファイルで推奨または例として提供されます.多くの一般的な問題は、推奨されるソリューションに従ってプロファイルで議論されます.ほとんどのコンフィギュレーション・アイテムがコンフィギュレーション・ファイルのコメントにのみ記録されているため、コンフィギュレーション・ファイルを読むことをお勧めします.
サーバのデバッグ出力を読み込むことをお勧めします.多くのテキストが含まれていますが、通常はエラーメッセージが含まれています.エラーメッセージには、エラーが記述されているか、解決方法などが含まれています.
サーバの起動
サーバが新しいマシンにインストールされると、rootなどのデバッグモードで起動します.
$ radiusd -X

この手順では、サービス側が正しくインストールされ、構成されているかどうかを示します.出力がReady to process requestsであれば、すべてが正常であることを示します.そうでなければ、典型的なエラーは、Address already in useを含み、これは、別のradiusサービスが実行されていることを意味する.デバッグモードでサーバを実行する前に、サーバを見つけて停止する必要があります.
初期テスト
テスト認証は簡単です.usersファイルを編集し(v 3ではraddb/mods-config/files/authorizeに移動されている)、ファイルの上部に次の行のテキストを追加してから、他の操作を行います.
test Cleartext-Password := "password"

デバッグモード(radiusd-X)でサーバを起動し、別のターミナルウィンドウからradtestを実行します.
$ radtest test password 127.0.0.1 0 testing123

サービス側の応答Access-Acceptが表示されます.ない場合は、デバッグログに理由が表示されます.バージョン2では、出力をデバッグフォームに貼り付け、カラーHTMLバージョンを生成できます.バージョン3では、出力がシェーディングされます.赤または黄色のテキストを検索し、関連するメッセージを読みます.彼らはどのような問題を正確に説明し、どのようにこの問題を解決するかを説明しなければならない.Access-Acceptが確認された場合は、次の認証方法がtestingユーザーに適用されます.
PAP,CHAP,MS-CHAPv1,MS-CHAPv2,PEAP,EAP-TTLS,EAP-GTC,EAP-MD5。

次に、より多くのユーザーを追加し、データベースを構成します.これらの手順は本明細書の範囲内ではありません.しかし、Radiusの一般的な使用方法は重要であり、次の節ではこれについて概説する.
クライアントの追加
上記のテストはlocalhostからradtestを実行します.新しいクライアントの追加はclients.confファイルを編集することで非常に役立ちます.次の内容を追加します.
client new {
    ipaddr = 192.0.2.1
    secret = testing123
}

ユーザは、IPアドレス192.0.2.1Access-Requestパケットを送信するクライアントのアドレスに変更すべきである.クライアントは、RADIUS serverを実行するサーバのIPアドレスを使用してRADIUS serverと通信し、上記のクライアント構成セクションと同じ鍵を使用するように構成する必要があります.
注意:クライアントについて説明するときは、RADIUSサーバと直接通信しないRADIUSサーバなどのネットワーククライアントではなく、ワイヤレスアクセスポイント、スイッチ、または他のNASのクライアントを指します.
その後、デバッグモードでサーバを再起動し、testingユーザーを使用して簡単なテストを実行します.サーバ出力にAccess-Acceptが表示されます.
次の手順では、サーバを構成する最も一般的な方法について概説します.これらに従うと、複雑な構成を最小限に抑えることができます.それに従わないと落胆や手間の無駄になる可能性があります.
サービス側構成
サーバ構成の変更は、次の手順で行います.
  • は、デフォルトのインストールで提供される構成のように、既知の動作構成から開始します.
  • プロファイルに小さな変更を加えます.
  • は、デバッグモードでサーバ(radiusd-X)を起動します.
  • 検証結果があなたが望む結果かどうか
  • デバッグ出力には、構成の変更が表示されます.
  • データベース(使用する場合)が接続され、実行中です.
  • テストパケットはサーバによって受信されます.
  • デバッグ出力は、パケットが予想通りに処理されていることを示します.
  • 応答パケットには、あなたが望む属性が含まれています.

  • すべてが正常であれば、構成のコピーを保存し、ステップ(2)に戻り、別の変更を行います.
  • 何か問題があったら、
  • 構成
  • をよく確認してください.
  • デバッグ出力全体を読み出し、errorやwarningなどの文字を検索します.これらのメッセージには、通常、エラーの説明と、問題を解決するためのアドバイスが含まれます.(デバッグフォームも参照)
  • は、「既知の作業」構成の保存済みコピーを使用して既存の構成を置き換え、再起動しようとします.このプロシージャでは、一時的な変更または忘れられた変更によるエラーをクリアできます.
  • freeradius-usersメールリストで助けを求めてください.特に、サーバがテストパケットの出力を受信および処理することを示す操作とデバッグ出力全体の説明が含まれます.転記する前に出力から秘密情報をリフレッシュしたい場合があります.(共有パスワード、パスワードなど)

  • その他のリソース
  • Network RADIUSでは、多くの使用マニュアルが提供されています.
  • Radiusテクニカルガイド.RADIUSの概念を説明し、通常の管理とメンテナンスの実行方法について説明します.各RADIUS管理者に読むことをお勧めします.