sábado, 3 de febrero de 2007

Configurando Freeradius 1.0.x

Quien se interese en utilizar un servidor radius (Freeradius) para autenticar utilizando OpenLDAP, el procedimiento es muy simple.

yum -y install freeradius
(si usas Debian o Ubuntu: apt-get install freeradius)
cd /etc/raddb/


Editar radiusd.conf y descomentar la línea que habilita el módulo da LDAP:

authorize {
... muchas cosas aqui
#
# The ldap module will set Auth-Type to LDAP if it has not
# already been set
ldap


Después, se configura el directorio LDAP a utilizar:

       ldap {
server = "tu-servidor-ldap"
# identity = "cn=admin,o=My Org,c=UA"
# password = mypass
basedn = "ou=People,dc=dominio,dc=com"
password_attribute = "userPassword"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"


No se va a utilizar acceso DialUp, así que hay que desactivar la funciónmo de otro modo no dejará autenticar.

# access_attr = "dialupAccess"


Se añade el método de autenticación LDAP en el fichero users:

#
# First setup all accounts to be checked against the UNIX /etc/passwd.
# (Unless a password was already given earlier in this file).
#
DEFAULT Auth-Type = System
Fall-Through = 1

#
# Defaults for LDAP
#
DEFAULT Auth-Type := LDAP
Fall-Through = 1


Y finalmente se define en clients.conf la red que se permitirá autenticar:

client 192.168.0.0/24 {
secret = clave-acceso-red
shortname = tu red privada
}


Iniciar el servicio:

service radiusd start


Añadirlo a los servicios de arranque del sistema:

chkconfig radiusd on


Y probar:

radtest un-usuario-ldap "clave-de-acceso-en-ldap" 192.168.0.1 2 clave-acceso-red


Lo anterior debe devolver algo como esto:

Sending Access-Request of id 191 to 192.168.0.1:1812
User-Name = "un-usuario-ldap"
User-Password = "clave-de-acceso-en-ldap"
NAS-IP-Address = tu-servidor
NAS-Port = 2
rad_recv: Access-Accept packet from host 192.168.0.1:1812, id=191, length=20