Monthly Archives: May 2012

Radius Servers Installation Guide (FreeRADIUS + Ubuntu + MySQL)

Posted on by

To install FreeRADIUS on Ubuntu and do some basic testings, you should follow the steps below:
1)     Install lamp-server: 
Actually, install MySQL and PHP are enough already. But to make sure that there are no dependencies errors later,
I prefer installing the whole      package (lamp-server stands for Linux-Apache-MySQL-PHP server).
We install lamp-server using the command below:
sudo tasksel install lamp-server
(you will need to enter root password, which is “setupRADIUS” by default, to continue the installation)
2)     Install freeradius package
sudo apt-get install freeradius
(Enter password when asked. When you are asked to continue, type ‘y’, then press Enter)
3)     Install freeradius with ldap authentication
sudo apt-get install freeradius-ldap
4)     Install freeradius to run with mysql
sudo apt-get install freeradius-mysql
5)     After finishing the above installations, restart the FreeRADIUS service
sudo /etc/init.d/freeradius restart
6)     Now, you can test the Radius Server using radtest, the command will be as below:

At this stage, you will get an error as follow:

If that’s the case, you can do the steps in part II.1/ to fix the error. The correct result should be as follow:

7)     Now, we create the database for FreeRADIUS and an user account which will be used by FreeRADIUS to access into database. We run the following command:

  • Login MySQL Database

(Enter the password for root user)

  • Then you can create user, database, and set permissions as follow:

8)     Then, you copy the folder sql (comes along with this document in the folder “necessary setup files”) into the folder /etc/freeradius/

9)     Import current schema of the database for FreeRADIUS into the “radius” database (the current Radius database schema for our project can be found in the file radius.sql, which comes along with this document in the folder “necessary setup files”)

10)    Configure the file /etc/freeradius/sites-enabled/default so that the FreeRADIUS can startup, creates a default virtual host, and connects to MySQL Database. We follow the below steps:
Run the command:
sudo gedit /etc/freeradius/sites-enabled/default
In the file “default”, you check if the following settings are correct or not (the settings in the below pictures are correct settings):
In the authorize{} module

(uncomment the sql setting)
In the accounting{} module

In the session{} module

In the post-auth{} module

11)    Now, we configure the “radiusd.conf”. This file contains general settings for the Radius Server. We follow the below steps:
sudo gedit /etc/freeradius/radiusd.conf
Then, we check if the settings in the file radiusd.conf are correct or not.
The port for radius server to listen for authentication request is 1812

Port for accounting is 1813

Some settings for logging username, password, etc

12)    Now, we configure the file “sql.conf”. This file contains information about how to connect to database, database tables that are used by the FreeRADIUS server, etc
Run the command:
sudo gedit /etc/freeradius/sql.conf
Then, you should check the following settings:

Check the setting that allow FreeRADIUS to read Radius Clients from database

In the module modules{}

13)    Now, you clear all contents in the file /etc/freeradius/clients.conf because when radius server start running, it will read Radius Clients from both clients.conf and database (current settings). So, we clear the file clients.conf so that radius server only load Radius Clients from database (and to avoid conflicts like clients.conf and database contain the same Radius Client)
14)    Now, the installation is finished. You can start using the Radius Server.
PS: sorry,the files about “necessary setup files” are some sql files,which are used to the sql table of the our project.
you just create table you used in MYSQL access.
ที่มา: http://www.mydeveloperblog.com/linux-tutorial/radius/radius-servers-installation-guide-freeradius-ubuntu-mysql/

Radius Servers Installation Guide (FreeRADIUS + Ubuntu + MySQL)

Posted on by

To install FreeRADIUS on Ubuntu and do some basic testings, you should follow the steps below:
1)     Install lamp-server: 
Actually, install MySQL and PHP are enough already. But to make sure that there are no dependencies errors later,
I prefer installing the whole      package (lamp-server stands for Linux-Apache-MySQL-PHP server).
We install lamp-server using the command below:
sudo tasksel install lamp-server
(you will need to enter root password, which is “setupRADIUS” by default, to continue the installation)
2)     Install freeradius package
sudo apt-get install freeradius
(Enter password when asked. When you are asked to continue, type ‘y’, then press Enter)
3)     Install freeradius with ldap authentication
sudo apt-get install freeradius-ldap
4)     Install freeradius to run with mysql
sudo apt-get install freeradius-mysql
5)     After finishing the above installations, restart the FreeRADIUS service
sudo /etc/init.d/freeradius restart
6)     Now, you can test the Radius Server using radtest, the command will be as below:

At this stage, you will get an error as follow:

If that’s the case, you can do the steps in part II.1/ to fix the error. The correct result should be as follow:

7)     Now, we create the database for FreeRADIUS and an user account which will be used by FreeRADIUS to access into database. We run the following command:

  • Login MySQL Database

(Enter the password for root user)

  • Then you can create user, database, and set permissions as follow:

8)     Then, you copy the folder sql (comes along with this document in the folder “necessary setup files”) into the folder /etc/freeradius/

9)     Import current schema of the database for FreeRADIUS into the “radius” database (the current Radius database schema for our project can be found in the file radius.sql, which comes along with this document in the folder “necessary setup files”)

10)    Configure the file /etc/freeradius/sites-enabled/default so that the FreeRADIUS can startup, creates a default virtual host, and connects to MySQL Database. We follow the below steps:
Run the command:
sudo gedit /etc/freeradius/sites-enabled/default
In the file “default”, you check if the following settings are correct or not (the settings in the below pictures are correct settings):
In the authorize{} module

(uncomment the sql setting)
In the accounting{} module

In the session{} module

In the post-auth{} module

11)    Now, we configure the “radiusd.conf”. This file contains general settings for the Radius Server. We follow the below steps:
sudo gedit /etc/freeradius/radiusd.conf
Then, we check if the settings in the file radiusd.conf are correct or not.
The port for radius server to listen for authentication request is 1812

Port for accounting is 1813

Some settings for logging username, password, etc

12)    Now, we configure the file “sql.conf”. This file contains information about how to connect to database, database tables that are used by the FreeRADIUS server, etc
Run the command:
sudo gedit /etc/freeradius/sql.conf
Then, you should check the following settings:

Check the setting that allow FreeRADIUS to read Radius Clients from database

In the module modules{}

13)    Now, you clear all contents in the file /etc/freeradius/clients.conf because when radius server start running, it will read Radius Clients from both clients.conf and database (current settings). So, we clear the file clients.conf so that radius server only load Radius Clients from database (and to avoid conflicts like clients.conf and database contain the same Radius Client)
14)    Now, the installation is finished. You can start using the Radius Server.
PS: sorry,the files about “necessary setup files” are some sql files,which are used to the sql table of the our project.
you just create table you used in MYSQL access.
ที่มา: http://www.mydeveloperblog.com/linux-tutorial/radius/radius-servers-installation-guide-freeradius-ubuntu-mysql/

การติดตั้ง FreeRADIUS on Ubuntu 12.04

Posted on by

FreeRadius
Developer Web Site
These programs are run from a terminal
checkrad, freeradius, raddebug, radmin, radwatch

$ freeradius -v
freeradius: FreeRADIUS Version 2.1.10, for host x86_64-pc-linux-gnu, built on Nov 24 2011 at 07:53:12

$ sudo /etc/init.d/freeradius restart
* Stopping FreeRADIUS daemon freeradius                                 [ OK ]
* Starting FreeRADIUS daemon freeradius                                 [ OK ]
log file 
/var/log/freeradius/radius.log

/etc/freeradius

Webmin
http://www.webmin.com/
https://localhost:10000/

Dialup Admin Administration interface
http://freeradius.org/dialupadmin.html

Projects related to FreeRADIUS
http://freeradius.org/related/

ติดตั้ง freeradius บน ubuntu

Posted on by

บันทึกนี้ปรับปรุงล่าสุดเมื่อ 15-02-2555
ดูแลโดย WIPAT

หมายเหตุ:  ต้องระวัง การปรับแต่งค่า freeradius 2.x บน ubuntu เปลี่ยนแปลงไปจาก freeradius 1.x ไปมาก

    http://opensource.cc.psu.ac.th/wiki-opensource/skins/monobook/bullet.gif); color: rgb(0, 0, 0); font-family: sans-serif; font-size: 13px; background-color: rgb(255, 255, 255); “>

  • ทดสอบกับ ubuntu 10.04 และ freeradius 2.x
  • ต้นฉบับ freeradius อยู่ที่ http://opensource.cc.psu.ac.th/wiki-opensource/skins/monobook/external.png); background-attachment: initial; background-origin: initial; background-clip: initial; background-color: initial; padding-top: 0px; padding-right: 13px; padding-bottom: 0px; padding-left: 0px; background-position: 100% 50%; background-repeat: no-repeat no-repeat; “>http://freeradius.org
  • สมมติว่า radius server นี้มีหมายเลข ip เป็น 10.0.1.1
  1. ติดตั้งด้วยคำสั่ง sudo apt-get install freeradius freeradius-utils freeradius-mysql freeradius-ldap gawk
  2. สั่งให้ทำงานด้วยคำสั่ง sudo /etc/init.d/freeradius start
  3. ทดสอบว่า freeradius ติดตั้งใช้งานได้แล้วด้วยตัวอย่างคำสั่ง*** จากตัวอย่างให้แทนข้อความ your_root_password ด้วยรหัสผ่านของ root
    sudo radtest your_name your_password 127.0.0.1 0 testing123
    หากถูกต้องจะได้รับข้อความตอบกลับประมาณว่า
    Sending Access-Request of id 232 to 127.0.0.1 port 1812
    User-Name = “your-name”
    User-Password = “your_password”
    NAS-IP-Address = 255.255.255.255
    NAS-Port = 0
    rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=232, length=20

    ถึงตอนนี้แสดงว่า freeradius ใช้งานได้แล้ว แต่ใช้ได้เพียง localhost คือ 127.0.0.1

  4. หากต้องการอนุญาติให้ radius client เข้ามาใช้ radius server นี้ได้
    ต้องแก้ไขสิทธิ์ที่แฟ้ม /etc/freeradius/clients.conf  ปรับตั้งให้มีค่าดังประมาณตัวอย่างนี้
    client 10.0.1.0/24 {
    secret          = mytestkey
    shortname       = private-network
    }
    ตัวอย่างนี้คือให้ radius client ที่มีหมายเลข ip 10.0.1.x  สามารถเข้ามาใช้ด้วย secret key ว่า mytestkey
    เมื่อแก้ไขเสร็จแล้วให้ reload ใหม่ ด้วยคำสั่ง  sudo /etc/init.d/freeradius force-reload
    ลองทดสอบด้วยคำสั่งตัวอย่าง sudo radtest your_name your_password 10.0.1.1 0 mytestkey
    *** ค่า your_password คือ รหัสผ่านของ your_name และ 10.0.1.1 คือหมายเลข ip ของ radius server
    ได้ผลแสดงข้อความดังตัวอย่าง
    Sending Access-Request of id 246 to 10.0.1.1:1812
    User-Name = “your_name”
    User-Password = “your_password”
    NAS-IP-Address = 255.255.255.255
    NAS-Port = 0
    rad_recv: Access-Accept packet from host 10.0.1.1:1812, id=246, length=20ถึงขั้นตอนนี้เป็นอันเปิดบริการระบบ radius server ได้แล้ว
  5. ขั้นตอนการทำงานของ configuration ของ freeradius
    แฟ้ม /etc/freeradius/radiusd.conf  เป็นที่ปรับค่าของระบบต่างๆหากเป็น freeradius 2.x จะมีการแยกแฟ้มย่อยออกไปจาก /etc/freeradius/radiusd.conf
    ไปอยู่ที่ /etc/freeradius/sites-available/default  และ /etc/freeradius/modules
    หากเป็น freeradius 1.x ทุกอย่างจะกระจุกตัวในแฟ้ม /etc/freeradius/radiusd.conf

    เมื่อ radius server ได้รับการติดต่อจากผู้ใช้ radius client
    วิธีการตรวจสอบคุณสมบัติของผู้ใช้อยู่ในส่วนที่ชื่อ authorize {…}
    ภายใน authorize {…} นี้ ประกอบด้วยชื่อ modules ตรวจสอบต่างๆ

    หากคุณสมบัติไม่ตรง ปรกติแล้วระบบก็จะรีบดีดออกมาพร้อมแจ้ง reject
    แต่เราสามารถกำหนดให้ไปตรวจสอบต่อกับ authorize modules
    เรียงลำดับอันถัดๆไปที่เหลืออื่นๆได้อีก

    หากคุณสมบัติผ่าน ก็จะเข้าขั้นตอนตรวจสอบรหัสผ่านของผู้ใช้ว่าถูกต้องหรือไม่
    โดย authorize modules จะเลือก modules ที่ต้องการเอง จากส่วนที่ชื่อ authenticate {…}

    หากรหัสผ่านถูกต้อง ก็จะเข้าสู่ส่วนของ postauth {…}
    เป็นการตรวจสอบทิ้งท้ายก่อนส่งคืนค่ากลับให้แก่ radius client ที่ติดต่อมา

    การบันทึกประวัติใช้งานอยู่ในส่วน accounting {…}

    modules ทุกตัวที่ใช้งาน จะต้องได้รับการประกาศไว้ก่อนแล้ว
    หากเป็น freeradius 2.x จะแยก modules ออกเป็นแฟ้มย่อยๆอยู่ที่ directory ชื่อ /etc/freeradius/modules
    หากเป็น freeradius 1.x จะมี modules อยู่ในแฟ้ม /etc/freeradius/radiusd.conf พื้นที่ส่วนของชื่อ modules {…}

  6. หากต้องการตรวจสอบผู้ใช้กับ mail server ผ่าน imap/pop3 ให้ทำดังนี้ตัวอย่างนี้จะตรวจสอบกับ mail server ชื่อ your.mail.server
    ต้องติดตั้ง php และ php-imap ก่อนแล้ว ติดตั้งด้วยคำสั่ง sudo apt-get install php5 php5-imap php5-cli
    แก้ไขแฟ้ม /etc/php5/cli/conf.d/imap.ini ตรวจสอบ/เพิ่มให้มีบรรทัดตัวแปรว่า extension=imap.so

    ต่อไปสร้างแฟ้ม /etc/freeradius/imap.php ให้มีเนื้อหาว่า
    <?php
    error_reporting(0);
    $host = $argv[1];
    $username = $argv[2];
    $password = $argv[3];
    $service = $argv[4];
    $imap_host=”{” . $host . $service . “}”;
    $mbox = imap_open(“$imap_host”, “$username”, “$password”);
    $folders = imap_listmailbox($mbox, “$imap_host”, “*”);
    if ($folders == false) {
    echo “false”;
    } else {
    echo “true”;
    }
    imap_close($mbox);
    ?>

    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/imap-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    #exit 0 = valid ; exit 1 = invalid
    AUTHEN_SHADOW=”YES”
    AUTHEN_MAIL=”YES”
    AUTHEN_LDAP=”NO”
    AUTHEN_PSU_PASSPORT=”NO”
    NAME=$(echo ${USER_NAME} | cut -d'”‘ -f2)
    PASSWORD=$(echo ${USER_PASSWORD} | cut -d'”‘ -f 2-|sed “s/\”$//”)
    KEY=”false”
    if [ “${AUTHEN_SHADOW}” = “YES” ] ; then
    KEY=$(/bin/sh /etc/freeradius/check-shadow.sh “${NAME}” “${PASSWORD}”)
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_LDAP}” = “YES” ] ; then
    KEY=$(/bin/sh /etc/freeradius/check-ldap.sh “${NAME}” “${PASSWORD}”)
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_PSU_PASSPORT}” = “YES” ] ; then
    USER=$(echo ${NAME} | cut -d’@’ -f1)
    KEY=$(/usr/bin/php /etc/freeradius/soap-authen.php ${USER} ${PASSWORD} $1 $2})
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_MAIL}” = “YES” ] ; then
    IS_EMAIL=$(echo ${NAME}|grep “@”)
    if [ -n “${IS_EMAIL}” ] ; then
    USER=$(echo ${NAME} | cut -d’@’ -f1)
    DOMAIN=$(echo ${NAME} | cut -d’@’ -f2)
    else
    USER=${NAME}
    DOMAIN=”mail.psu.ac.th”
    fi
    case ${DOMAIN} in
    psu.ac.th)
    HOST=”mail.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    pharmacy.psu.ac.th)
    HOST=”mail.pharmacy.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    pn.psu.ac.th)
    HOST=”bunga.pn.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    gmail.com)
    HOST=”pop.gmail.com”
    SERVICE=”:995/pop3/ssl” ;;
    live.com)
    HOST=”pop3.live.com”
    USER=${NAME}
    SERVICE=”:995/pop3/ssl” ;;
    *)
    HOST=${DOMAIN}
    SERVICE=”:110/pop3/notls” ;;
    esac
    KEY=$(/usr/bin/php /etc/freeradius/imap.php ${HOST} ${USER} ${PASSWORD} ${SERVICE})
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    exit 1

    สร้างแฟ้มแบบ text ชื่อ /etc/freeradius/myusers มีเนื้อหาว่า
    DEFAULT Auth-Type := Accept
    Exec-Program-Wait=”/bin/sh /etc/freeradius/imap-authen.sh”

    หากเป็น freeradius 2.x ให้แก้ไขแฟ้ม /etc/freeradius/modules/files เติมข้อความต่อท้ายแฟ้มว่า
    files  myimap  {
    usersfile = ${confdir}/myusers
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ authorize {…} ประมาณบรรทัดที่ 152 ที่บริเวณข้อความขึ้นต้นด้วย authorize {

    #  Read the ‘users’ file
    files
    ให้ comment บรรทัด files เพื่อยกเลิกค่านี้  แล้วแทรกเพิ่มบรรทัดข้อความเพิ่ม กลายเป็นว่า
    #    files
    แทรกเพิ่มบรรทัดข้อความว่า myimap ต่อไปอีกบรรทัด กลายเป็นว่า
    #   files
    myimap

    เสร็จแล้วให้สั่งทำงานใหม่ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload
    แค่นี้ก็เสร็จแล้ว ทดสอบผลงานได้เลย

  7. หากต้องการว่าหลังผ่านการตรวจสอบ username/password ถูกต้องแล้ว
    จะทำการบันทึกลงแฟ้ม log file เก็บไว้ที่ /var/log/freeradius/myauthen และยังต้องการตรวจวิธีการพิเศษเฉพาะของตนเองเพิ่มเติมอีกตัวอย่างต้องการไม่อนุญาติให้ผู้ใช้ชื่อ demo และ abc ใช้งาน ให้ทำดังนี้
    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/my-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    ###exit 0 = valid ; exit1 = invalid
    ALL_PASS=”YES”
    CHECK_STAFF=”NO”
    CHECK_STUDENT=”NO”
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myauthen”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    MYFILE=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYFILE} ] ; then
    touch ${MYFILE}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;PASS” >> ${MYFILE}
    MYUSER=$(echo $USER_NAME | cut -d'”‘ -f2)
    if [ “${ALL_PASS}” = “YES” ] ; then
    exit 0
    fi
    if [ “${CHECK_STAFF}” = “YES” ] ; then
    case “${MYUSER}” in
    demo) exit 1 ;;
    *) exit 0 ;;
    esac
    fi
    if [ “${CHECK_STUDENT}” = “YES” ] ; then
    case “${MYUSER}” in
    demo) exit 1 ;;
    *) exit 0 ;;
    esac
    fi
    exit 1

    หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-auth {
    program = “/bin/sh /etc/freeradius/my-authen.sh %l %{Packet-Src-IP-Address}”
    wait = yes
    input_pairs = request
    output_pairs = reply
    packet_type = Access-Accept
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ post-auth {…} ประมาณบรรทัดที่ 439  ที่บริเวณข้อความขึ้นต้นด้วย post-auth {

    แทรกเพิ่มบรรทัดข้อความเพิ่ม
    my-auth

    เสร็จแล้วให้สั่งทำงานใหม่ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  8. การบันทึกประวัติการใช้งานของ radius โดย defualt จะบันทึกไว้ในพื้นที่  /var/log/freeradius/radacct
    โดยแยกเป็น directory ของแต่ละหมายเลข ip ของ radius client
    แล้วยังแตกย่อยออกเป็นแฟ้มของแต่วันอีก ซึ่งอาจไม่สะดวกต่อการวิเคราะห์ข้อมูล
    เราสามารถเพิ่ม module บันทึกประวัติการใช้งานเพิ่มเติมจากของเดิม ตัวอย่างคือ
    ต้องการบันทึกไว้ใน directory ชื่อ /var/log/freeradius/myaccount
    แล้วเก็บแฟ้มแยกเป็นรายวันในรูปแบบ 20060729 ภายในแฟ้มมีรูปแบบว่า
    20060729:15:54:05;”demo”;10.0.0.153;1154163245;”a5f56ebd6ebc1321″;Start;
    20060729:15:55:06;”demo”;10.0.0.153;1154163306;”a5f56ebd6ebc1321″;Stop;61ให้ทำดังนี้ สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/log-radius-account.sh มีเนื้อหาว่า
    #!/bin/bash
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myaccount”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    myfile=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYDIR} ] ; then
    touch ${MYDIR}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;${ACCT_UNIQUE_SESSION_ID};${ACCT_STATUS_TYPE};${ACCT_SESSION_TIME}” >> ${MYFILE}
    แฟ้ม shell script จบแค่นี้

    หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-log-account {
    wait = no
    program = “/bin/sh /etc/freeradius/log-radius-account.sh %l %{Packet-Src-IP-Address} ”
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ accounting  {…}ประมาณบรรทัดที่ 358  ที่บริเวณข้อความ accounting {

    detail
    ให้แทรกเพิ่มบรรทัดข้อความว่า
    my-log-account

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  9. radius server สามารถส่งค่าบอกเวลาที่ยังคงเหลือให้ใช้งาน
    โดยส่งค่ากลับมาที่ attribute ชื่อ Session-Timeout
    แต่ตัวมันเองคำนวณไม่เป็น ต้องหาวิธีอื่นในการคำนวณเวลา
    แล้วส่งกลับมาให้ radius ส่งคำตอบให้อีกทอดหนึ่งจากตัวอย่างข้อ 8 หากต้องการใส่ค่าเวลาที่เหลือในการใช้งาน
    ตัวอย่างเช่นเหลือ 120 วินาที ให้เพิ่มบรรทัดข้อความว่า
    echo “SESSION-TIMEOUT = \”120\””
    ลงไปก่อนบรรทัดข้อความ  exit 0 ดังตัวอย่าง
    #!/bin/bash
    ###exit 0 = valid ; exit1 = invalid
    MYUSER=$(echo $USER_NAME | cut -d'”‘ -f2)
    case “${MYUSER}” in
    demo) exit 1 ;;
    abc) exit 1 ;;
    *) echo “SESSION-TIMEOUT = \”120\””
    exit 0 ;;
    esac

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload
    แค่นี้ก็เสร็จแล้ว PC ที่ติดต่อเข้ามาจะได้รับคำตอบกลับไป
    ระบุว่าเหลือเวลาใช้งานอีกเท่าไร ขึ้นกับตัวเลขทีกำหนดส่งออกมา
    จากตัวอย่างให้แก้ไขตัวเลข 120 เป็นอื่นๆตามต้องการ

  10. การบันทึกประวัติการ authen radius ไว้ในพื้นที่  /var/log/freeradius/myauthen ให้ทำดังนี้
    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/log-radius-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myauthen”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    MYFILE=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYFILE} ] ; then
    touch ${MYFILE}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;CHECK_IN” >> ${MYFILE}
    แฟ้ม shell script จบแค่นี้หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-log-authen {
    wait = no
    program = “/bin/sh /etc/freeradius/log-radius-authen.sh %l %{Packet-Src-IP-Address} ”
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ authorize  {…}ประมาณบรรทัดที่ 152  ที่บริเวณข้อความ authorize {

    #   files
    myimap
    ให้แทรกเพิ่มบรรทัดข้อความ กลายเป็นว่า
    my-log-authen
    #   files
    myimap

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  11. ตัวอย่างคำสั่งการทดสอบด้วยคำสั่ง radclient
    ทดสอบการ authen คำสั่งประมาณว่า
    echo “User-Name=mama,User-Password=123456” | radclient 10.0.1.2 auth mytestkeyทดสอบการ accounting ตอนเข้า คำสั่งประมาณว่า
    echo “User-Name=mama,Acct-Status-Type=Start” | radclient 10.0.1.2 acct mytestkey

    ทดสอบการ accounting ตอนออก คำสั่งประมาณว่า
    echo “User-Name=mama,Acct-Status-Type=Stop” | radclient 10.0.1.2 acct mytestkey

ที่มา: http://opensource.cc.psu.ac.th/%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_freeradius_%E0%B8%9A%E0%B8%99_ubuntu

 

ติดตั้ง freeradius บน ubuntu

Posted on by

บันทึกนี้ปรับปรุงล่าสุดเมื่อ 15-02-2555
ดูแลโดย WIPAT

หมายเหตุ:  ต้องระวัง การปรับแต่งค่า freeradius 2.x บน ubuntu เปลี่ยนแปลงไปจาก freeradius 1.x ไปมาก

    http://opensource.cc.psu.ac.th/wiki-opensource/skins/monobook/bullet.gif); color: rgb(0, 0, 0); font-family: sans-serif; font-size: 13px; background-color: rgb(255, 255, 255); “>

  • ทดสอบกับ ubuntu 10.04 และ freeradius 2.x
  • ต้นฉบับ freeradius อยู่ที่ http://opensource.cc.psu.ac.th/wiki-opensource/skins/monobook/external.png); background-attachment: initial; background-origin: initial; background-clip: initial; background-color: initial; padding-top: 0px; padding-right: 13px; padding-bottom: 0px; padding-left: 0px; background-position: 100% 50%; background-repeat: no-repeat no-repeat; “>http://freeradius.org
  • สมมติว่า radius server นี้มีหมายเลข ip เป็น 10.0.1.1
  1. ติดตั้งด้วยคำสั่ง sudo apt-get install freeradius freeradius-utils freeradius-mysql freeradius-ldap gawk
  2. สั่งให้ทำงานด้วยคำสั่ง sudo /etc/init.d/freeradius start
  3. ทดสอบว่า freeradius ติดตั้งใช้งานได้แล้วด้วยตัวอย่างคำสั่ง*** จากตัวอย่างให้แทนข้อความ your_root_password ด้วยรหัสผ่านของ root
    sudo radtest your_name your_password 127.0.0.1 0 testing123
    หากถูกต้องจะได้รับข้อความตอบกลับประมาณว่า
    Sending Access-Request of id 232 to 127.0.0.1 port 1812
    User-Name = “your-name”
    User-Password = “your_password”
    NAS-IP-Address = 255.255.255.255
    NAS-Port = 0
    rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=232, length=20

    ถึงตอนนี้แสดงว่า freeradius ใช้งานได้แล้ว แต่ใช้ได้เพียง localhost คือ 127.0.0.1

  4. หากต้องการอนุญาติให้ radius client เข้ามาใช้ radius server นี้ได้
    ต้องแก้ไขสิทธิ์ที่แฟ้ม /etc/freeradius/clients.conf  ปรับตั้งให้มีค่าดังประมาณตัวอย่างนี้
    client 10.0.1.0/24 {
    secret          = mytestkey
    shortname       = private-network
    }
    ตัวอย่างนี้คือให้ radius client ที่มีหมายเลข ip 10.0.1.x  สามารถเข้ามาใช้ด้วย secret key ว่า mytestkey
    เมื่อแก้ไขเสร็จแล้วให้ reload ใหม่ ด้วยคำสั่ง  sudo /etc/init.d/freeradius force-reload
    ลองทดสอบด้วยคำสั่งตัวอย่าง sudo radtest your_name your_password 10.0.1.1 0 mytestkey
    *** ค่า your_password คือ รหัสผ่านของ your_name และ 10.0.1.1 คือหมายเลข ip ของ radius server
    ได้ผลแสดงข้อความดังตัวอย่าง
    Sending Access-Request of id 246 to 10.0.1.1:1812
    User-Name = “your_name”
    User-Password = “your_password”
    NAS-IP-Address = 255.255.255.255
    NAS-Port = 0
    rad_recv: Access-Accept packet from host 10.0.1.1:1812, id=246, length=20ถึงขั้นตอนนี้เป็นอันเปิดบริการระบบ radius server ได้แล้ว
  5. ขั้นตอนการทำงานของ configuration ของ freeradius
    แฟ้ม /etc/freeradius/radiusd.conf  เป็นที่ปรับค่าของระบบต่างๆหากเป็น freeradius 2.x จะมีการแยกแฟ้มย่อยออกไปจาก /etc/freeradius/radiusd.conf
    ไปอยู่ที่ /etc/freeradius/sites-available/default  และ /etc/freeradius/modules
    หากเป็น freeradius 1.x ทุกอย่างจะกระจุกตัวในแฟ้ม /etc/freeradius/radiusd.conf

    เมื่อ radius server ได้รับการติดต่อจากผู้ใช้ radius client
    วิธีการตรวจสอบคุณสมบัติของผู้ใช้อยู่ในส่วนที่ชื่อ authorize {…}
    ภายใน authorize {…} นี้ ประกอบด้วยชื่อ modules ตรวจสอบต่างๆ

    หากคุณสมบัติไม่ตรง ปรกติแล้วระบบก็จะรีบดีดออกมาพร้อมแจ้ง reject
    แต่เราสามารถกำหนดให้ไปตรวจสอบต่อกับ authorize modules
    เรียงลำดับอันถัดๆไปที่เหลืออื่นๆได้อีก

    หากคุณสมบัติผ่าน ก็จะเข้าขั้นตอนตรวจสอบรหัสผ่านของผู้ใช้ว่าถูกต้องหรือไม่
    โดย authorize modules จะเลือก modules ที่ต้องการเอง จากส่วนที่ชื่อ authenticate {…}

    หากรหัสผ่านถูกต้อง ก็จะเข้าสู่ส่วนของ postauth {…}
    เป็นการตรวจสอบทิ้งท้ายก่อนส่งคืนค่ากลับให้แก่ radius client ที่ติดต่อมา

    การบันทึกประวัติใช้งานอยู่ในส่วน accounting {…}

    modules ทุกตัวที่ใช้งาน จะต้องได้รับการประกาศไว้ก่อนแล้ว
    หากเป็น freeradius 2.x จะแยก modules ออกเป็นแฟ้มย่อยๆอยู่ที่ directory ชื่อ /etc/freeradius/modules
    หากเป็น freeradius 1.x จะมี modules อยู่ในแฟ้ม /etc/freeradius/radiusd.conf พื้นที่ส่วนของชื่อ modules {…}

  6. หากต้องการตรวจสอบผู้ใช้กับ mail server ผ่าน imap/pop3 ให้ทำดังนี้ตัวอย่างนี้จะตรวจสอบกับ mail server ชื่อ your.mail.server
    ต้องติดตั้ง php และ php-imap ก่อนแล้ว ติดตั้งด้วยคำสั่ง sudo apt-get install php5 php5-imap php5-cli
    แก้ไขแฟ้ม /etc/php5/cli/conf.d/imap.ini ตรวจสอบ/เพิ่มให้มีบรรทัดตัวแปรว่า extension=imap.so

    ต่อไปสร้างแฟ้ม /etc/freeradius/imap.php ให้มีเนื้อหาว่า
    <?php
    error_reporting(0);
    $host = $argv[1];
    $username = $argv[2];
    $password = $argv[3];
    $service = $argv[4];
    $imap_host=”{” . $host . $service . “}”;
    $mbox = imap_open(“$imap_host”, “$username”, “$password”);
    $folders = imap_listmailbox($mbox, “$imap_host”, “*”);
    if ($folders == false) {
    echo “false”;
    } else {
    echo “true”;
    }
    imap_close($mbox);
    ?>

    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/imap-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    #exit 0 = valid ; exit 1 = invalid
    AUTHEN_SHADOW=”YES”
    AUTHEN_MAIL=”YES”
    AUTHEN_LDAP=”NO”
    AUTHEN_PSU_PASSPORT=”NO”
    NAME=$(echo ${USER_NAME} | cut -d'”‘ -f2)
    PASSWORD=$(echo ${USER_PASSWORD} | cut -d'”‘ -f 2-|sed “s/\”$//”)
    KEY=”false”
    if [ “${AUTHEN_SHADOW}” = “YES” ] ; then
    KEY=$(/bin/sh /etc/freeradius/check-shadow.sh “${NAME}” “${PASSWORD}”)
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_LDAP}” = “YES” ] ; then
    KEY=$(/bin/sh /etc/freeradius/check-ldap.sh “${NAME}” “${PASSWORD}”)
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_PSU_PASSPORT}” = “YES” ] ; then
    USER=$(echo ${NAME} | cut -d’@’ -f1)
    KEY=$(/usr/bin/php /etc/freeradius/soap-authen.php ${USER} ${PASSWORD} $1 $2})
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    if [ “${AUTHEN_MAIL}” = “YES” ] ; then
    IS_EMAIL=$(echo ${NAME}|grep “@”)
    if [ -n “${IS_EMAIL}” ] ; then
    USER=$(echo ${NAME} | cut -d’@’ -f1)
    DOMAIN=$(echo ${NAME} | cut -d’@’ -f2)
    else
    USER=${NAME}
    DOMAIN=”mail.psu.ac.th”
    fi
    case ${DOMAIN} in
    psu.ac.th)
    HOST=”mail.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    pharmacy.psu.ac.th)
    HOST=”mail.pharmacy.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    pn.psu.ac.th)
    HOST=”bunga.pn.psu.ac.th”
    SERVICE=”:143/imap/notls” ;;
    gmail.com)
    HOST=”pop.gmail.com”
    SERVICE=”:995/pop3/ssl” ;;
    live.com)
    HOST=”pop3.live.com”
    USER=${NAME}
    SERVICE=”:995/pop3/ssl” ;;
    *)
    HOST=${DOMAIN}
    SERVICE=”:110/pop3/notls” ;;
    esac
    KEY=$(/usr/bin/php /etc/freeradius/imap.php ${HOST} ${USER} ${PASSWORD} ${SERVICE})
    if [ “${KEY}” = “true” ] ; then
    exit 0
    fi
    fi
    exit 1

    สร้างแฟ้มแบบ text ชื่อ /etc/freeradius/myusers มีเนื้อหาว่า
    DEFAULT Auth-Type := Accept
    Exec-Program-Wait=”/bin/sh /etc/freeradius/imap-authen.sh”

    หากเป็น freeradius 2.x ให้แก้ไขแฟ้ม /etc/freeradius/modules/files เติมข้อความต่อท้ายแฟ้มว่า
    files  myimap  {
    usersfile = ${confdir}/myusers
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ authorize {…} ประมาณบรรทัดที่ 152 ที่บริเวณข้อความขึ้นต้นด้วย authorize {

    #  Read the ‘users’ file
    files
    ให้ comment บรรทัด files เพื่อยกเลิกค่านี้  แล้วแทรกเพิ่มบรรทัดข้อความเพิ่ม กลายเป็นว่า
    #    files
    แทรกเพิ่มบรรทัดข้อความว่า myimap ต่อไปอีกบรรทัด กลายเป็นว่า
    #   files
    myimap

    เสร็จแล้วให้สั่งทำงานใหม่ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload
    แค่นี้ก็เสร็จแล้ว ทดสอบผลงานได้เลย

  7. หากต้องการว่าหลังผ่านการตรวจสอบ username/password ถูกต้องแล้ว
    จะทำการบันทึกลงแฟ้ม log file เก็บไว้ที่ /var/log/freeradius/myauthen และยังต้องการตรวจวิธีการพิเศษเฉพาะของตนเองเพิ่มเติมอีกตัวอย่างต้องการไม่อนุญาติให้ผู้ใช้ชื่อ demo และ abc ใช้งาน ให้ทำดังนี้
    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/my-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    ###exit 0 = valid ; exit1 = invalid
    ALL_PASS=”YES”
    CHECK_STAFF=”NO”
    CHECK_STUDENT=”NO”
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myauthen”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    MYFILE=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYFILE} ] ; then
    touch ${MYFILE}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;PASS” >> ${MYFILE}
    MYUSER=$(echo $USER_NAME | cut -d'”‘ -f2)
    if [ “${ALL_PASS}” = “YES” ] ; then
    exit 0
    fi
    if [ “${CHECK_STAFF}” = “YES” ] ; then
    case “${MYUSER}” in
    demo) exit 1 ;;
    *) exit 0 ;;
    esac
    fi
    if [ “${CHECK_STUDENT}” = “YES” ] ; then
    case “${MYUSER}” in
    demo) exit 1 ;;
    *) exit 0 ;;
    esac
    fi
    exit 1

    หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-auth {
    program = “/bin/sh /etc/freeradius/my-authen.sh %l %{Packet-Src-IP-Address}”
    wait = yes
    input_pairs = request
    output_pairs = reply
    packet_type = Access-Accept
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ post-auth {…} ประมาณบรรทัดที่ 439  ที่บริเวณข้อความขึ้นต้นด้วย post-auth {

    แทรกเพิ่มบรรทัดข้อความเพิ่ม
    my-auth

    เสร็จแล้วให้สั่งทำงานใหม่ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  8. การบันทึกประวัติการใช้งานของ radius โดย defualt จะบันทึกไว้ในพื้นที่  /var/log/freeradius/radacct
    โดยแยกเป็น directory ของแต่ละหมายเลข ip ของ radius client
    แล้วยังแตกย่อยออกเป็นแฟ้มของแต่วันอีก ซึ่งอาจไม่สะดวกต่อการวิเคราะห์ข้อมูล
    เราสามารถเพิ่ม module บันทึกประวัติการใช้งานเพิ่มเติมจากของเดิม ตัวอย่างคือ
    ต้องการบันทึกไว้ใน directory ชื่อ /var/log/freeradius/myaccount
    แล้วเก็บแฟ้มแยกเป็นรายวันในรูปแบบ 20060729 ภายในแฟ้มมีรูปแบบว่า
    20060729:15:54:05;”demo”;10.0.0.153;1154163245;”a5f56ebd6ebc1321″;Start;
    20060729:15:55:06;”demo”;10.0.0.153;1154163306;”a5f56ebd6ebc1321″;Stop;61ให้ทำดังนี้ สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/log-radius-account.sh มีเนื้อหาว่า
    #!/bin/bash
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myaccount”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    myfile=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYDIR} ] ; then
    touch ${MYDIR}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;${ACCT_UNIQUE_SESSION_ID};${ACCT_STATUS_TYPE};${ACCT_SESSION_TIME}” >> ${MYFILE}
    แฟ้ม shell script จบแค่นี้

    หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-log-account {
    wait = no
    program = “/bin/sh /etc/freeradius/log-radius-account.sh %l %{Packet-Src-IP-Address} ”
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ accounting  {…}ประมาณบรรทัดที่ 358  ที่บริเวณข้อความ accounting {

    detail
    ให้แทรกเพิ่มบรรทัดข้อความว่า
    my-log-account

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  9. radius server สามารถส่งค่าบอกเวลาที่ยังคงเหลือให้ใช้งาน
    โดยส่งค่ากลับมาที่ attribute ชื่อ Session-Timeout
    แต่ตัวมันเองคำนวณไม่เป็น ต้องหาวิธีอื่นในการคำนวณเวลา
    แล้วส่งกลับมาให้ radius ส่งคำตอบให้อีกทอดหนึ่งจากตัวอย่างข้อ 8 หากต้องการใส่ค่าเวลาที่เหลือในการใช้งาน
    ตัวอย่างเช่นเหลือ 120 วินาที ให้เพิ่มบรรทัดข้อความว่า
    echo “SESSION-TIMEOUT = \”120\””
    ลงไปก่อนบรรทัดข้อความ  exit 0 ดังตัวอย่าง
    #!/bin/bash
    ###exit 0 = valid ; exit1 = invalid
    MYUSER=$(echo $USER_NAME | cut -d'”‘ -f2)
    case “${MYUSER}” in
    demo) exit 1 ;;
    abc) exit 1 ;;
    *) echo “SESSION-TIMEOUT = \”120\””
    exit 0 ;;
    esac

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload
    แค่นี้ก็เสร็จแล้ว PC ที่ติดต่อเข้ามาจะได้รับคำตอบกลับไป
    ระบุว่าเหลือเวลาใช้งานอีกเท่าไร ขึ้นกับตัวเลขทีกำหนดส่งออกมา
    จากตัวอย่างให้แก้ไขตัวเลข 120 เป็นอื่นๆตามต้องการ

  10. การบันทึกประวัติการ authen radius ไว้ในพื้นที่  /var/log/freeradius/myauthen ให้ทำดังนี้
    สร้างแฟ้มคำสั่ง shell script ชื่อ  /etc/freeradius/log-radius-authen.sh มีเนื้อหาว่า
    #!/bin/bash
    export LANG=en.US
    MYDIR=”/var/log/freeradius/myauthen”
    if [ ! -d ${MYDIR} ] ; then
    mkdir -p ${MYDIR}
    fi
    TODAY=$(date “+%Y%m%d”)
    MYFILE=”${MYDIR}/${TODAY}”
    if [ ! -e ${MYFILE} ] ; then
    touch ${MYFILE}
    fi
    MYTIME=$(echo $1|awk ‘{print strftime(“%Y%m%d:%H:%M:%S”,$1)}’)
    echo “${MYTIME};${USER_NAME};$2;$1;CHECK_IN” >> ${MYFILE}
    แฟ้ม shell script จบแค่นี้หากเป็น freeradius 2.x  ให้แก้ไขแฟ้ม /etc/freeradius/modules/exec เติมข้อความต่อท้ายแฟ้มว่า
    exec my-log-authen {
    wait = no
    program = “/bin/sh /etc/freeradius/log-radius-authen.sh %l %{Packet-Src-IP-Address} ”
    }
    แล้วแก้ไขแฟ้ม /etc/freeradius/sites-available/default
    ที่ส่วนของ authorize  {…}ประมาณบรรทัดที่ 152  ที่บริเวณข้อความ authorize {

    #   files
    myimap
    ให้แทรกเพิ่มบรรทัดข้อความ กลายเป็นว่า
    my-log-authen
    #   files
    myimap

    เสร็จแล้วให้สั่งทำงานใหม่ ด้วยคำสั่ง sudo /etc/init.d/freeradius force-reload

  11. ตัวอย่างคำสั่งการทดสอบด้วยคำสั่ง radclient
    ทดสอบการ authen คำสั่งประมาณว่า
    echo “User-Name=mama,User-Password=123456” | radclient 10.0.1.2 auth mytestkeyทดสอบการ accounting ตอนเข้า คำสั่งประมาณว่า
    echo “User-Name=mama,Acct-Status-Type=Start” | radclient 10.0.1.2 acct mytestkey

    ทดสอบการ accounting ตอนออก คำสั่งประมาณว่า
    echo “User-Name=mama,Acct-Status-Type=Stop” | radclient 10.0.1.2 acct mytestkey

ที่มา: http://opensource.cc.psu.ac.th/%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_freeradius_%E0%B8%9A%E0%B8%99_ubuntu

 

Radius server คืออะไร

Posted on by

RADIUS เป็นคำย่อของ Remote Authentication Dial-In User Service (RADIUS) คือ client/server security protocol ซึ่งเป็นผลงานของLucent InterNetworking Systems ที่ได้ทำการคิดค้นขึ้นมา เพื่อรวบรวม account ของ users ให้อยู่แต่เพียงที่เดียว เพื่อง่ายต่อการบริหาร ไม่ต้องทำหลายจุดหลายเซิฟเวอร์ เวลามี users ที่เซิฟเวอร์อื่นๆ ต้องการใช้งาน ก็จะส่งข้อมูลมาตรวจเช็คที่ RADIUS Server นี้
ทำไมถึงต้องใช้ RADIUS
หาก ในระบบของท่านมีผู้ใช้งานอินเตอร์เน็ตจำนวนมาก ซึ่งยากต่อการควบคุมการใช้งาน โดยเฉพาะ ในสถานศึกษาที่มีผู้ใช้งานมากๆ RADIUS Server จึงมีความสำคัญเป็นอย่างมาก

ข้อดีของ RADIUS Server

– ควบคุมการใช้อินเตอร์เน็ตของ User ได้อย่างมีประสิทธิภาพ
– สามารถเก็บ Log File เพื่อตรวจสอบหลังได้ ตามกฎหมายใหม่กำหนดdesktop
– ตรวจสอบ User ที่กำลังใช้งานได้ แบบ Real time
– กำหนดระยะเวลาการใช้งานของ User ได้ เช่น 1 ชั่วโมง, 2 วัน, 3 เดือน หรือ 10 นาที เป็นต้น
– สามารถ Clear User ที่ไม่ต้องการให้ใช้งานในขณะ On line ได้

RADIUS Server เหมาะสำหรับที่ไหน?
– อพาร์ทเม้น ที่ให้บริการ อินเตอร์เน็ต ทั้งแบบฟรี และเก็บค่าบริการ
– โรงแรม ที่ให้บริการ อินเตอร์เน็ต ทั้งแบบฟรี และเก็บค่าบริการ
– โรงเรียน, สถานศึกษา ที่มีบริการอินเตอร์เน็ต หรือ เพื่อการเรียนการสอน เพื่อป้องการแอบใช้อินเตอร์เน็ต ขณะรับการสอน
– ผู้ให้บริการ Wireless Internet (WiFi HotSpot)

ที่มา : http://www.star-internet.com/web/content/view/35/1/
มารู้จักกับ RADIUS กัน

คือ วิธีการมาตรฐานของการแลกเปลี่ยนข้อมูลระหว่างอุปกรณ์ที่ควบคุมการใช้งานเน็ตเวิร์ค  (Network Access Server)    กับผู้ใช้งาน  (Access Clients)   และอุปกรณ์ที่ทำหน้าที่ตรวจสอบสิทธิ์การใช้งาน (Radius Server)

องค์ประกอบพื้นฐานของ RADIUS Server

1. Access Clients
คือ เครื่องคอมพิวเตอร์หรืออุปกรณ์ที่ผู้ใช้งานสั่งให้ติดต่อระบบเพื่อใช้งาน เช่น เครื่องคอมพิวเตอร์ที่ลูกค้า Individual ใช้งาน โดยใช้ โปรแกรม Dial-Up Net working สั่งงาน Modem ให้ Connect เพื่อใช้งานอินเทอร์เน็ต

2. Network Access Servers (NAS )
คือ อุปกรณ์ที่ทำหน้าที่เชื่อมต่อและจัดการการติดต่อระหว่าง Access Clients และ RADIUS Server ซึ่ง NAS จะทำหน้าที่เป็น Client เชื่อมต่อกับ RADIUS Server ส่งผ่านและจัดการข้อมูลที่ใช้ในการตรวจสอบสิทธิ์ กำหนดสิทธิ์ ของ Access Clients เมื่อ Access Clients ร้องขอการต่อเชื่อมซึ่งจะต้องต่อเชื่อมมายัง NAS ผ่านโพรโตคอลที่ใช้ในการต่อเชื่อมต่าง ๆ เช่น PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Extensible Protocol อื่น ๆ เป็นต้น
ซึ่งจำเป็นต้องมีการส่งผ่าน Username และ Password จาก Access Clients มายัง NAS  หลังจากนั้น NAS จะส่งข้อมูลที่จำเป็นต่าง ๆ เช่น Username, Password, NAS IP Address, NAS Port Number และข้อมูลอื่น ๆ ไปที่ RADIUS Server เพื่อขอตรวจสอบสิทธิ์ (Request Authentication)

3. RADIUS Server
ทำการตรวจสอบสิทธิ์โดยใช้ข้อมูลที่ NAS ส่งมา (Access-Request) กับข้อมูลที่จัดเก็บไว้ใน RADIUS Server เอง หรือจากฐานข้อมูลภายนอก อื่น ๆ เช่น MS SQL Server, Oracle Database, LDAP Database หรือ RADIUS Server อื่น (ซึ่งเรียกการส่งผ่านการตรวจสอบสิทธิ์แบบนี้ว่า Proxy)
ในกรณีที่ข้อมูลทั้งหมดถูกต้อง RADIUS Server จะส่งผลยินยอมการเชื่อมต่อ (Access-Accept) หรือ ไม่ยินยอม (Access-Reject) ในกรณีที่ข้อมูลไม่ถูกต้อง แก่ NAS หลังจากนั้น NAS จะเชื่อมต่อหรือยกเลิกการการต่อเชื่อมตามผลที่ได้รับจาก RADIUS Server ซึ่งตามปรกติแล้ว NAS จะขอบันทึกข้อมูลต่าง ๆ เช่น วันที่ เวลา Username และข้อมูลอื่น ๆ ไปที่ RADIUS Server (Accounting Request) เพื่อให้ RADIUS Sever จัดเก็บข้อมูลหรือส่งต่อไปที่ RADIUS Server อื่น จัดเก็บเพื่อใช้ในการประมวลผลอื่น ๆ ต่อไป

RADIUS Package

คือ ข้อมูลที่ถูกส่งหรือรับระหว่าง RADIUS Server และ RADIUS Client  (หมายถึง NAS) มีรูปแบบที่ถูกกำหนดไว้ตามมาตรฐานของ RFC 2685 Remote Authentication Dial In User Service (RADIUS) และ 2866 RADIUS Accounting.

มีคุณสมบัติดังนี้

เป็นข้อมูลที่ส่งหรือรับกันระหว่าง RADIUS Server และ RADIUS Client
อยู่ในรูปแบบของการร้องขอและตอบกลับ (Request /Response) คือ RADIUS Client ส่งการร้องขอไปยัง RADIUS Server และ RADIUS Server ตอบกลับการร้องขอของ RADIUS Client
แต่ละ Package จะต้องระบุจุดประสงค์ของการติดต่อ คือ Authentication หรือ Accounting
แต่ละ Package จะบรรจุข้อมูลที่เรียกว่า Attributes ซึ่งใช้ในการตรวจสอบสิทธิ์กำหนดสิทธิ์ และเก็บบันทึกการใช้งาน

การกำหนดค่าเบื้องต้น

สำหรับ RADIUS Server และ Client
RADIUS Server
กำหนดเพื่อให้ RADIUS Server สามารถติดต่อกับ RADIUS Client แต่ละตัวได้ ซึ่งมีข้อมูลที่ต้องกำหนดให้ RADIUS Server ดังนี้

IP Address ของ NAS
RADIUS shared secret
ยี่ห้อ และ รุ่นของ NAS  ที่ใช้ในกรณีที่ไม่มีหรือไม่ทราบให้เลือกเป็น – Standard Radius -.

** RADIUS Server จำเป็นต้องระบุ UDP Port เพื่อใช้สำหรับรับและส่ง Authentication และ Accounting Package ระหว่าง RADIUS Server และ RADIUS Client

RADIUS Client
ต้องกำหนดค่าต่าง ๆ บน NAS  เพื่อให้สามารถติดต่อกับ RADIUS Server   ซึ่งต้องกำหนดค่าต่าง ๆ เหล่านี้บน NAS ทุกตัวที่ติดต่อกับ RADIUS Server

IP Address ของ RADIUS Server
RADIUS shared secret
UDP Port  เพื่อใช้สำหรับส่งและรับ  Authentication และ Accounting Package

** สำหรับ RADIUS shared secret และ UDP Port จะต้องกำหนดให้ตรงกับที่ระบุไว้ที่ RADIUS Server

RADIUS Shared Secret

ใช้สำหรับตรวจสอบความถูกต้องของการติดต่อระหว่าง RADIUS Server กับ RADIUS Client ซึ่ง Shared Secret จะเป็นตัวหนังสือ (ตัวเล็กและตัวใหญ่มีความแตกต่างกัน) หรือตัวเลขที่ต้องกำหนดให้ตรงกันทั้ง RADIUS Server และ RADIUS Client  แต่ RADIUS Client แต่ละตัวไม่จำเป็นต้องกำหนด Shared Secretให้เหมือนกัน

RADIUS Shared Secret จะกำหนดได้ 2 ตัว ดังนี้

Authentication Shared Secret
Accounting Shared Secret

ในขณะที่มีการขอตรวจสอบสิทธิ์ (Authentication) การจัดส่ง Package Access-Request ระหว่าง NAS และ RADIUS Server เนื่องจากการส่ง Password จะต้องมีความปลอดภัยดังนั้นจึงมีการกำหนดโพรโตคอลเพื่อใช้ในการส่งและรับข้อมูล โพรโตคอลที่นิยมใช้คือ PAP, SHAP, MS-SHAP, MS-SHAP V2 และ EAP ซึ่งเป็นโพรโตคอลที่เกิดขึ้นใหม่ยังไม่แพร่หลายในขณะนี้

อ้างถึง

ตัวอย่าง ในโพรโตคอล  PAP NAS จะต้องเข้ารหัส (Encrypt) Password ก่อนโดยใช้ Shared Secret และส่ง Package Access-Request นั้นออกไป เมื่อ RADIUS Server รับ Package Access-Request แล้วจะทำการถอดรหัส (Decrypt) Password ที่ถูกเข้ารหัสไว้โดยใช้ Shared Secret แล้วนำไปตรวจสอบ
สำหรับในการส่งข้อมูล Accounting จะไม่มีการ Encrypt ข้อมูลแต่ RADIUS Server จะใช้ Shared Secret ในการตรวจสอบความถูกต้องของ NAS ที่จะติดต่อด้วย

RADIUS Port

RADIUS Server   จำเป็นต้องระบุ UDP Port   เพื่อใช้สำหรับรับและส่ง Authentication  และ  Accounting Package   ระหว่าง RADIUS Server  และ RADIUS Client   ซึ่งเริ่มต้นที่ RADIUS   ได้ถูกพัฒนาขึ้นผู้พัฒนาได้ใช้ Port 1645   สำหรับการส่งและรับ Package Authentication  และ 1646  สำหรับการส่งและรับ Package Accounting   แต่เนื่องจากมาตรฐานนั้นได้มีการกำหนด Port   ดังกล่าวสำหรับ   “datametrics”

ดังนั้น Port ที่เป็นมาตรฐานในปัจจุบันนี้ คือ

– 1812  สำหรับการส่งและรับ  Package Authentication
– 1813  สำหรับการส่งและรับ  Package Accounting

Password Protocols
เนื่องจากการส่ง Access-Request  ในขณะที่มีการขอ Authentication มีการส่ง Password จาก NAS ไปยัง RADIUS Server จึงจำเป็นต้องคำนึงถึงความปลอดภัยของ Password ดังกล่าว ดังนั้นจึงมีการสร้างโพรโตคอลสำหรับใช้งานในส่วนนี้ขึ้นซึ่งได้แก่

PAP  (Password Authentication Protocol)
ในขณะที่มีการขอเชื่อมต่อ(User Negotiates) จาก Access Clients มายัง NASการส่ง Password ในขั้นตอนนี้จะยังไม่มีการเข้ารหัส (encrypt) ใด ๆ Password จะจัดส่งในรูปแบบ “Clear Text”

เมื่อ NAS รวบรวมข้อมูลที่เพียงพอสำหรับสร้าง Access-Request แล้ว NAS จะ Encrypt Password โดยใช้ Authentication Shared Secret ที่ถูกกำหนดไว้ แล้วส่ง Access-Request ดังกล่าวไปยัง RADIUS Server

เมื่อ RADIUS Server ได้รับ Access-Request จาก NAS แล้วจะทำการ Decrypt Password ที่ได้รับโดยใช้ Authentication Shared Secret ที่จัดเก็บไว้สำหรับ NAS ตัวดังกล่าว

** โพรโตคอล PAP สามารถใช้ได้กับ RADIUS Server ทุกตัว

CHAP  (Challenge Handshake Authentication Protocol)
สำหรับ CHAP ได้ถูกสร้างขึ้นเพื่อหลีกเลี่ยงการส่ง Password แบบ “Clear Text” ในขณะที่ User Negotiates เมื่อ NAS รับทราบแล้ว NAS จะสร้าง Challenge โดยสุ่มตัวอักษร แล้วส่งกลับไปยัง Access Client

เมื่อ Access Client ได้รับ Challenge จะทำการสร้าง Digest คือ นำ Challenge ที่ได้รับมาต่อท้าย Password แล้วทำการ Encrypt แบบ one-way Encryption (MD5 Algorithm) แล้วส่ง Digest นั้นแทน Password ไปยัง NAS

NAS สร้าง Access-Request สำหรับการ Authentication และส่งไปยัง RADIUS Server

เนื่องจาก Digest ถูกสร้างแบบ one-way Encryption ไม่สามารถ Decrypt ได้

RADIUS Server จึงจำเป็นต้องใช้ Attribute ที่เกี่ยวกับ CHAP Protocol ที่ถูกจัดส่งมาใน Access-Request Package ที่ได้รับจาก NAS ซึ่งมี 2 Attributes ที่เกี่ยวข้องดังนี้

CHAP-Password             :  Attribute สำหรับ Digest (Password ที่ต่อท้ายด้วย Challenge แล้ว Encrypt ด้วย MD5 Algorithm)

CHAP-Challenge             :  Attribute สำหรับ Challenge ที่ถูกสุ่มขึ้นโดย NAS

RADIUS Server ใช้ Challenge จาก CHAP-Challenge ต่อท้าย Password ที่จัดเก็บไว้นำมา Encrypt ด้วยวิธี MD5 แล้วเปรียบเทียบกับ CHAP-Password ที่ได้รับ

MS-CHAP และ MS-CHAP-V2
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
ทั้ง 2 เวอร์ชั่น  ของ MS-CHAP ใช้วิธีการของโพรโตคอล CHAP แต่มีส่วนเพิ่มเติมขึ้นโดย Microsoft ข้อมูลเพิ่มเติมให้ดูที่ RFC 2433 2548 และ 2759.
สรุปขั้นตอนการ Authentication
วิธีและการกำหนดลำดับการ Authenticate (Authentication Method)

Native User Authentication คือการตรวจสอบ Username Password หรือ ข้อมูลอื่น ๆ  จากข้อมูลที่ RADIUS Server จัดเก็บไว้ที่ตัวเอง ซึ่งเราเรียกสั้น ๆ ว่า Native User

Pass-Through Authentication   คือการส่งผ่านการ Authenticate ไปยังระบบการตรวจสอบอื่น ๆ เช่น Windows NT Database , Active Directory ใน Windows 2000 , ACE/Server (SecurID) หรือ TACACS+ Server

Proxy RADIUS Authentication คือการส่งผ่านการ Authenticate ไปยัง RADIUS Server ตัวอื่นเพื่อทำหน้าที่ตรวจสอบแทน และส่ง Access-Accept หรือ Access-Reject กลับมาที่ RADIUS Server ตัวเดิม เพื่อจัดส่งให้กับ NAS ต่อไป

External Authentication คือการตรวจสอบที่เป็นการทำงานร่วมกันระหว่าง RADIUS Server กับฐานข้อมูลต่าง ๆ เช่น Microsoft SQL, Oracle Database หรือ LDAP Server Database RADIUS Server จะขอข้อมูลที่ต้องการ เช่น Username, Password จากฐานข้อมูล

แล้วนำมาเปรียบเทียบกับ Access-Request

Authenticate-Only Request เราสามารถกำหนดให้ RADIUS Server แจ้งเฉพาะผลการ Authenticate เท่านั้นใน Access-Accept หรือ Access-Reject โดยการกำหนดค่า Service-Type ที่ NAS เป็น AuthenticateOnly (Cool

นอกจาก RADIUS Sever สามารถ Authenticate ได้หลายวิธีตามที่กล่าวข้างต้นแล้ว เรายังสามารถกำหนดลำดับ Authentication Method ดังกล่าวให้ทำงานร่วมกันได้ด้วย เช่น กำหนดให้ RADIUS Server Authenticate ตามลำดับขั้นดังนี้

Native User
External 1 (SQL Database)
External 2 (Oracle Database)

การ Authenticate จะมีขั้นตอนดังนี้
RADIUS Server จะตรวจสอบที่ Native User ก่อนในกรณีที่ไม่พบหรือไม่ถูกต้องจะเลื่อนไปตรวจสอบที่ SQL Database และ Oracle Database ตามลำดับ ซึ่ง RADIUS Server จะยังไม่ส่ง Access-Reject จนกว่าจะทำจนครบทุก Method ที่กำหนดไว้

แต่ในกรณีที่ถูกต้องตามเงื่อนไขที่กำหนด RADIUS Server จะส่ง Access-Accept ไปที่ NAS ทันทีโดยไม่ต้องตรวจสอบจนครบทุก Method

ที่มา: http://guru.google.co.th/guru/thread?tid=072dc825b556c923&pli=1