Co je server freeRADIUS?
RADIUS je protokol AAA (autentizace, autorizace a účtování), který pomáhá při řízení přístupu k síti. Jinými slovy, protokol RADIUS se používá pro správu připojení mezi serverem Network Access Server (NAS) a Authentication serverem.
Spojení mezi dvěma konci (NAC-NAS nebo NAS-Authentication server) je zahájeno po úspěšném vyjednávání na síťové vrstvě výměnou paketů obsahujících potřebné informace, jako je identifikace NAS, číslo autentizačního portu atd.
Jednoduše řečeno, lze říci, že RADIUS poskytuje autentizaci, autorizaci a informace o účtu z Authentication serveru do zařízení požadujícího přístup.
FreeRADIUS podporuje všechny tyto tři funkce protokolu AAA – autentizaci, autorizaci a účtování. Aby bylo možné řídit, k jakému typu síťového přístupu lze připojit, používá FreeRADIUS různé moduly. Pokud je NAS například router, nemůže uživateli poskytnout žádnou autentizaci, což znamená, že v tomto případě je autorizace prováděna pouze klientským modulem (moduly) PPP nebo PPTP a zbytek kroků je řešen jinými moduly.
FreeRADIUS také poskytuje podporu pro všechny důležité databáze používané pro účty, uživatele atd., včetně MariaDB/MySQL, PostgreSQL, Microsoft SQL Server, Oracle Database atd.
Co je to daloRADIUS?
daloRADIUS je pokročilé webové rozhraní poskytující kompletní správu uživatelů s nejnovějšími funkcemi, jako je automatizace pro koncové uživatele i správce systému. Zjednodušuje každodenní správu vaší instalace FreeRADIUS.
daloRADIUS lze použít ke konfiguraci parametrů systému/NAS, vytváření nových uživatelských účtů a správě NAS. Je to jediné rozhraní, které poskytuje kompletní správu uživatelů pro koncové uživatele i správce.
Proč daloRADIUS?
Přináší moderní webové rozhraní na server FreeRADIUS s nejnovějšími funkcemi, jako je automatizace pro koncové uživatele a správce, vše z jednoho místa. Usnadňuje správcům sítě správu jejich sítí z jakéhokoli zařízení, které má přístup k internetu, a zároveň poskytuje koncovým uživatelům moc nad jejich přihlašovacími údaji a předvolbami připojení.
V této příručce se naučíte nainstalovat FreeRADIUS na Ubuntu 20.04 LTS a používat daloRADIUS jako webové rozhraní.
Předpoklady
- Nový server Ubuntu 20.04 LTS
- Uživatel s právy sudo
Aktualizace systému
Připojte se k serveru jako uživatel root přes SSH a aktualizujte všechny balíčky systému spuštěním následujícího příkazu:
sudo apt-get update -y
sudo apt-get upgrade -y
Jakmile bude váš server aktuální, můžete přejít k dalšímu kroku.
Instalace webového serveru Apache
Nainstalujte webový server apache a potřebné moduly spuštěním následujícího příkazu:
sudo apt install apache2 -y
Po dokončení instalace spusťte službu Apache a povolte, aby se spouštěla při spouštění systému:
sudo systemctl start apache2 sudo systemctl enable apache2
Chcete-li ověřit externí přístup k Apache, použijte svůj oblíbený webový prohlížeč a přejděte na výchozí stránku Apache na adrese http://ip-vašeho-serveru na samostatné kartě. Měli byste vidět výchozí stránku Apache
Instalace databázového serveru MariaDB pro FreeRADIUS
MariaDB je open-source systém pro správu databází, který bude použit jako backendové úložiště pro FreeRADIUS. V této příručce bude freeRADIUS používat MariaDB k ukládání uživatelských účtů, nastavení atd.
Nainstalujte server MariaDB spuštěním následujícího příkazu:
sudo apt install software-properties-common mariadb-server mariadb-client -y
Po dokončení instalace spusťte službu MariaDB a povolte, aby se spustila při spouštění systému:
sudo systemctl start mysql sudo systemctl enable mysql
Chcete-li zabezpečit instalaci MariaDB, můžete spustit níže uvedený skript mysql_secure_installation tak, že na výzvu poskytnete heslo uživatele root. Tím odstraníte anonymní uživatelské účty, zakážete vzdálené přihlášení root, zakážete nulová hesla atd. Doporučuje se to nakonfigurovat předem, aby byl základ zabezpečení silný pro jakékoli budoucí nasazení.
mysql_secure_installation
Stav serveru MariaDB můžete ověřit spuštěním následujícího příkazu:
sudo systemctl status mariadb
Instalace PHP 8 pro FreeRADIUS
Potřebujeme nainstalovat PHP 8, které je vyžadováno pro webové rozhraní daloRADIUS. Ve výchozím nastavení je PHP 7 k dispozici v úložišti Ubuntu 20.04 LTS, ale ne PHP 8. Budeme muset přidat PPA třetí strany, abychom získali nejnovější verzi PHP.
sudo add-apt-repository ppa:ondrej/php
Aktualizujte své repozitáře spuštěním následujícího příkazu:
sudo apt update -y
Po přidání PPA můžete nainstalovat PHP 8 a další potřebné moduly spuštěním následujícího příkazu:
sudo apt install php8.0 libapache2-mod-php8.0
sudo apt install php-gd php-mail php-mail-mime php-mysql php-pear php-db php-mbstring php-xml php-curl
Zkontrolujte verzi PHP a ověřte instalaci spuštěním následujícího příkazu:
php -v
Po dokončení instalace restartujte Apache
sudo systemctl restart apache2
Instalace FreeRADIUS
Nyní, když jsou splněny všechny předpoklady, můžete přistoupit k instalaci FreeRADIUS. Ve výchozím nastavení je balíček FreeRADIUS dostupný v repozitářích, verze freeradius dostupné ve vašem Ubuntu můžete zobrazit spuštěním následujícího příkazu:
sudo apt policy freeradius
Získáte výstup podobný níže
Server FreeRADIUS můžete nainstalovat spuštěním následujícího příkazu:
sudo apt-get install freeradius freeradius-mysql freeradius-utils -y
Abychom rychle zkontrolovali, zda je FreeRADIUS spuštěn a běží, spustíme FreeRADIUS v režimu ladění.
Chcete-li spustit freeRADIUS v režimu ladění, použijte následující příkaz:
sudo systemctl stop freeradius
sudo freeradius -X
Výstup by měl vypadat nějak takto:
Ve spodní části vidíte řádek „Připraveno ke zpracování požadavků“, takže instalace FreeRADIUS je úspěšná.
Vytváření databáze pro FreeRADIUS
Nyní, když je FreeRADIUS spuštěn, pojďme vytvořit databázi pro FreeRADIUS. K tomu použijeme konzoli MariaDB.
Pro přístup ke konzole MariaDB spusťte následující příkaz:
mysql -u root -p
Po zobrazení výzvy k ověření pomocí serveru MariaDB zadejte heslo uživatele root.
Spusťte následující příkaz k vytvoření databáze freeRADIUS:
CREATE DATABASE radius;
Udělte práva k nově vytvořené databázi provedením níže uvedeného dotazu, nahraďte [email protected] svým heslem.
GRANT ALL ON radius.* to [email protected] IDENTIFIED BY "[email protected]";
Znovu načtěte oprávnění a ukončete konzolu MariaDB spuštěním následujícího příkazu:
FLUSH PRIVILEGES;
quit;
Jakmile je databáze vytvořena, musíte importovat předem vytvořené schéma databáze, které obsahuje tabulky FreeRADIUS MySQL.
Nyní byste měli upravit daloradius.conf soubor upravit databázi MySQL následovně:
sudo nano /var/www/html/daloradius/library/daloradius.conf.php
Restartujte službu FreeRADIUS pomocí následujícího příkazu:
sudo systemctl restart freeradius
Instalace daloRADIUS webového rozhraní
Nainstalujeme webové rozhraní daloRADIUS za účelem konfigurace serveru FreeRADIUS pomocí prohlížeče. Provedením následujícího příkazu stáhněte daloRADIUS z úložiště Github
wget https://github.com/lirantal/daloradius/archive/master.zip
Po dokončení stahování rozbalte archiv.
unzip master.zip
Přesuňte extrahovanou složku do kořenového adresáře vašeho webu.
mv daloradius-master /var/www/html/daloradius
Importujte předem vytvořené schéma databáze do databáze FreeRADIUS vytvořené výše
sudo mysql -u root -p radius< contrib/db/fr2-mysql-daloradius-and-freeradius.sql
sudo mysql -u root -p radius< contrib/db/mysql-daloradius.sql
Potom nastavte správná oprávnění pro konfigurační soubor daloradius a změňte oprávnění instalačního adresáře daloradius.
sudo chown -R www-data:www-data /var/www/html/daloradius
sudo chmod -R 755 /var/www/html/daloradius
sudo chmod 664 /var/www/html/daloradius/library/daloradius.conf.php
Nyní byste měli upravit daloradius.conf před přístupem k webovému rozhraní daloRADIUS z prohlížeče.
sudo nano /var/www/html/daloradius/library/daloradius.conf.php
Restartujte službu FreeRADIUS pomocí následujícího příkazu:
sudo systemctl restart freeradius
Přístup k webovému rozhraní daloRADIUS
Pro přístup k webovému rozhraní daloradius otevřete http://ip-address/daloradius/login.php ve vašem prohlížeči. Budete vyzváni k zadání uživatelského jména a hesla. Výchozí uživatelské jméno je správce, výchozí heslo je radius
Jakmile se přihlásíte do webového rozhraní daloradius, můžete začít přidávat uživatele, virtuální servery RADIUS, typy EAP atd. Můžete také vytvořit nové uživatele a skupiny, které budou použity k ověření uživatelů pomocí typů ověřování EAP dostupných ve FreeRADIUS.
Závěr
V tomto tutoriálu jsme se naučili, jak nainstalovat FreeRADIUS s webovým rozhraním daloRADIUS na serveru Ubuntu 20.04 LTS. Dále jsme se naučili, jak importovat předem sestavené schéma databáze. I když byl tento návod napsán pro server Ubuntu 20.04 LTS, měl by s několika úpravami fungovat i na jiných distribucích Ubuntu nebo Debianu.