Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: Беспроводная сеть WPA: freeradius и модуль rlm_eap_tls  (Прочитано 3807 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн klirichek

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
  • Jaunty 86x64 на AMD Phenom 9600 QuadCore, HDD 400+
    • Просмотр профиля
Преамбула
Захотелось поднять WPA с авторизацией через RADIUS. Нашёлся по этому поводу очень толковый мануал: http://www.ixbt.com/comm/prac-wpa-eap.shtml
Единственное отличие на убунте - конфигурация находится не в /etc/raddb, а в /etc/freeradius. Всё остальное совпадает!
Однако по окончании правки конфигов согласно этому мануалу, freeradus вылетает при запуске в тестовом режиме с сообщением об отсутствии модуля rlm_eap_tls.

При ближайшем рассмотрении оказывается, что модуль отсутствует изначально в .deb пакете. Я решил пересобрать модуль из исходников, однако, как выяснилось, это вовсе сводится к запуску "apt-build install freeradius" вместо "apt-get install freeradius".

Далее - добытый опытным путём мануал, как же всё-таки установить freeradius с rlm_eap_tls.

# apt-get install apt-build- убеждаемся, что пути к исходникам (deb-src) есть в списке репозитариев (/etc/apt/sources.list)
# apt-build source freeradius
Заходим в папку debian в скачанном исходнике freeradius
# cd /var/cache/apt-build/freeradius-1.1.6/debian
(Примечание: версия после freeradius может быть другой)

Открываем для правки файл rules и внимательно читаем то, что написано на первом экране по поводу комментирования/раскомментирования двух строчек, относящихся к rlm_sql_postgresql и libssl. Можно просто поступить так, как предлагается. Мне же не нужен был модуль rlm_sql_postresql, а всего лишь хотелось включить поддержку tls. поэтому я оставил эти две строчки вот такими:

buildssl= --without-rlm_sql_postgresql
modulelist=krb5 ldap sql_mysql sql_iodbc


(Примечание: в файле изменений (changelog) сказано, что libssl-dev отмечена как конфликтная из-за проблем с krb5 и ldap -модулями. Поэтому, видимо, ещё лучше будет убрать и эти модули, покуда мы ими не пользуемся:

modulelist=sql_mysql sql_iodbc
)

Так же редактируем файл control в той же папке. В самом верху в Build-Depends дописываем в конец строки libssl-dev, а строчкой ниже - в Build-Conflicts - убираем libssl-dev

Продолжаем:

#apt-build install freeradius
В результате выполнения получаем ошибку о неудовлетворённой зависимости от libssl-dev. Самое странное, что это сообщение вы получите даже если предварительно установите этот пакет. И - на самом деле - мне в конечном итоге так и не удалось добиться устаровки freeradius с помощью apt-build. Однако есть в этом и плюс - поскольку помимо выдачи сообщения об ошибке apt-build всё же устранил все остальные зависимости. А потому - дальше делаем вот так:

#apt-get install libssl-dev
#cd /var/cache/apt-build/freeradius-1.1.6
#dpkg-buildpackage

- На этот раз всё проходит без заминок, и папкой выше (в /var/cache/apt-build) мы получаем набор собранных .deb пакетов.

После этого запускаем ещё раз:

#apt-build install freeradius
И получаем, наконец, freeradius c поддержкой tls. Тут apt-build видит уже собранные пакеты, и просто устанавливает их, ничего не пересобирая (а заодно перемещает в собственный дистрибутив).
Jaunty 86x64 на AMD Phenom 9600 QuadCore, HDD 400+700Gb, RAM 8Gb DDRII 1066, NVidia GeForce 8500.

Оффлайн sholoma

  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: Беспроводная сеть WPA: freeradius и модуль rlm_eap_tls
« Ответ #1 : 06 Апрель 2008, 17:53:39 »
у меня тоже сетка на wi-fi.
На точке доступа есть поддержка freeradius
А что это такое??

Оффлайн klirichek

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
  • Jaunty 86x64 на AMD Phenom 9600 QuadCore, HDD 400+
    • Просмотр профиля
Re: Беспроводная сеть WPA: freeradius и модуль rlm_eap_tls
« Ответ #2 : 07 Апрель 2008, 17:46:05 »
Если по-простому - это сервер авторизации.

Обычно в домашней сетке ставят авторизацию WPA-PSK (pre-shared key) - т.е. ты придумываешь пароль для доступа к wifi и раздаёшь его всем клиентам, а также прописываешь в саму точку. Это и есть общий "секрет", по которому точка "знает" своих клиентов и не пускает чужих. Для домашней сетки это нормальная схема. Однако в организации это не совсем удобно - допустим, один из сотрудников уволился, и нужно закрыть ему доступ к wifi. Что делать? Менять пароль и дёргать всех остальных клиентов, чтобы тоже поменяли?

Помимо этого есть авторизация, называемая обычно WPA-Enterprize. Там никаких общих "секретов" между точкой и клиентами нет, но зато в сетке живёт сервер radius, к которому подключена точка доступа. Клиент при подключении сперва направляется к серверу, и тот его авторизует - и потом тот уже говорит точке доступа, мол "это наш клиент, пускай!". Иначе говоря, тут уже не точка доступа, а отдельный сервер решает, пускать или нет. И в нём уже может использоваться другая авторизация - намного "навороченнее", чем просто общий пароль. Например, (и именно так описано в статье, на которую я ссылался) по ssl-сертификатам.

Недостаток у этого метода - в том, что нужно держать отдельный radius-сервер для авторизации. Т.е. в домашней сети это уже не столь удобно (хотя у меня freeradius крутится в отдельной vmware под убунтой). А достоинства, особенно для организаций, очевидны: во-первых, повышенная безопасность (покуда возможна взаимная проверка - не только точка доступа проверяет клиента, но и клиент проверяет, та ли это сеть, или кто-то настроил сеть-подделку для фишинга данных). Во-вторых - в случае авторизации по сертификатам и увольнения сотрудника сертификат можно аннулировать - и этот человек в сеть больше не войдёт, при этом других это никак не затронет. В-третьих - к одному серверу можно подключить несколько точек доступа, и весь этот "зоопарк" будет работать как единая сеть. В-четвёртых - несколько серверов radius можно "подружить", чтобы они обменивались запросами на авторизацию (например, это могут быть два провайдера, решившие сделать роуминг для клиентов - в этом случае клиент первого провайдера, находясь в сети второго, будет авторизован за счёт перенаправления запроса от второго провайдера к первому).
Jaunty 86x64 на AMD Phenom 9600 QuadCore, HDD 400+700Gb, RAM 8Gb DDRII 1066, NVidia GeForce 8500.

Оффлайн Deskin

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Добрый день, я  в линуксе новичёк, наверное поэтому я почти ничего не понял, немогли бы вы мне поподробней объяснить, как включить модуль для работы с peap? Заранее благодарен.

Оффлайн Deskin

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Ну неужели никто не подскажет? :-[

 

Страница сгенерирована за 0.06 секунд. Запросов: 24.