Beiträge zu dem Tag: “radius”

Unify AP Lite und Freeradius

Seit einiger Zeit betreibe ich unser WLAN mit einem UniFi AP-AC-Lite. Für den gibt es eine Linux basierende Kontrollersoftware und eine Android App mit der man den Access Point einrichten kann. Bisher verwendete ich die Android App. Da ich jedoch einen Radius Server anbinden möchte brauchte ich die Controller Software. Diese ist schnell nach Anleitung installiert und bietet deutlich mehr Möglichkeiten als die Android App. Wenn man den AP auf Werkseinstellungen zurücksetzt wird er schnell gefunden und “adoptiert”.

Meine ersten erfolglosen Versuche mit WLAN und Freeradius sind schon etwas ältern aber jetzt scheint es zu klappen. Jetzt also zur Anbindung des Freeradius Servers den ich hier installiert habe.

Zuerst richten wir in der Unify Controller Software den bereits vorhandenen Radius Server im Reiter “Profiles” ein.

Dann definieren wir ein neues WLAN (oder editieren ein vorhandenes). Dort wählen wir WPA Enterprise aus und geben das gerade definierte Freeradius Profile an.

Das wars auch schon und wir können uns mit einem Benutzer der im Freeradius definiert ist am WLAN anmelden.

19.7.17
Weitere Beiträge zu: unify   AP-AC-Lite   radius  

Einen Freeradius Server auf Debian aufsetzen

Einen Radius Server kann man auf Debian/Raspian recht einfach aufsetzen. Warum man das macht?

Ich möchte zukünftig einige Dienste (WLAN/OpenVPN) nicht mehr mit einem sogenannten Pre Shared Key (PSK) absichern sondern durch persönliche Kennwörter.

Wir haben hier jetzt demnächst vier Personen im Haushalt und da wäre mir etwas mehr “personalisierte” Sicherheit lieber. Dazu aber mehr wenn es so weit ist.

Ich wollte das schon länger angehen aber die Beschreibungen waren mir immer zu aufwendig (mysql, ldap, AD). In diesem Video habe ich gesehen das es auch ganz einfach geht und das man die Benutzer auch in einer einfachen Textdatei speichern kann. Bei vier Personen ist das ok.

Hier die Schritte:

apt-get update
apt-get install freeradius -y
vi /etc/freeradius/clients.conf

     client 0.0.0.0/0 {
     secret = schluesselfuerberechtigteclients
     shortname = any
     }

und etwas weiter unten den Eintrag für localhost löschen

Der Schlüssel ist der Schlüssel mit dem sich zukünftig Geräte die einen Login prüfen wollen (AP, Switch) beim Radius Server anmelden. Ich bin da recht “freizügig”.

Die Nutzer kommen in eine Textdatei:

vi /etc/freeradius/users
    hbauer Cleartext-password :="geheimeskennwort"

Ja ich weiß Klartext Kennwörter sind doof und das geht anders aber wenn jemand auf diesem Rechner toben kann habe ich ein anderes Problem.

Zum debuggen startet man am Anfang den Server am besten freeradius -X um die Fehlermeldungen schön zu sehen.

 freeradius -X

Testen kann man dann schön mit

radtest hbauer geheimeskennwort dein.radius.server 0 schluesselfuerberechtigteclients
Sending Access-Request of id 65 to 127.0.0.1 port 1812
User-Name = "hbauer"
User-Password = "geheimeskennwort"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=65, length=20

Danach kann man der Server “richtig starten”

service freeradius restart
18.7.17
Weitere Beiträge zu: raspbian   debian   radius  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License