Wer viel mit Netzwerkger\u00e4ten arbeitet st\u00f6\u00dft fr\u00fcher oder sp\u00e4ter zwangsl\u00e4ufig auf das problem User authentifizieren zu wollen. In einem Netzwerk mit 50 Switchen ist es nicht zielf\u00fchrend lokale User auf jedem Switch einzutragen.
\nPasswort\u00e4nderung? Na klar auf 50 Switchen ist man dann besch\u00e4ftigt.
\nOder man will Netzwerkauthentifizierung nach 802.1X – Der User darf erst nach Eingabe seines Usernamen\/Passworts ans Netzwerk. Grade in gr\u00f6\u00dferen Firmen ist das Problem der unbewachten LAN Dose \u00f6fter Thema.
\nEin anderer Anwendungsbereich sind WLANs. PreShared Keys kennt und nutzt mittlerweile fast jeder – nur was machen wenn man dieses \u00e4ndern will? Jedem User das neue Passwort nennen? Ein Alptraum, geheim zu halten ist so ein PSK auch eher schwer. Hier gibt es die L\u00f6sung in Form von WPA2-Enterprise, wo ein Radius Server die User Authentifizierung \u00fcbernimmt, es also keine gemeinsamen Shared Secrets mehr gibt.<\/p>\n
F\u00fcr all sowas ben\u00f6tigt man einen Radiusserver, den man unter Linux auch als freie Version bekommt. Man sagt welcher Client sich anmelden darf (z.B. Switch, APs etc) und hat daf\u00fcr ein Shared Secret definiert, mit dem die Radius Connection verschl\u00fcsselt ist. Es handelt sich hier um Netzwerkger\u00e4te, nicht um ein Shared Secret, was der Endwanwender je zu Gesicht bekommt.<\/p>\n Den Client definiert man in Dann der Radius Server neu starten und das reicht zumindest schonmal um User an eine ASA zu anzumelden.<\/p>\n Die Einstellungen an der ASA:<\/p>\n Configuration > Device Management > Users\/AAA > AAA Server Groups<\/p>\n Dort eine Radius Servergruppe Anlegen und im unteren Fenster die IP hinzuf\u00fcgen. Auf der CLI testet man mit Wenn man Debug Ausgaben haben will startet man Radius mit dem Parameter X: Ich teste jetzt mit verschiedenen Switchen und versuche es auch mal mit WLAN und EAP-TLS und schreibe dann ein Update-Artikel.<\/p>\n","protected":false},"excerpt":{"rendered":" Wer viel mit Netzwerkger\u00e4ten arbeitet st\u00f6\u00dft fr\u00fcher oder sp\u00e4ter zwangsl\u00e4ufig auf das problem User authentifizieren zu wollen. In einem Netzwerk mit 50 Switchen ist es nicht zielf\u00fchrend lokale User auf jedem Switch einzutragen. Passwort\u00e4nderung? Na klar auf 50 Switchen ist man dann besch\u00e4ftigt. Oder man will Netzwerkauthentifizierung nach 802.1X – Der User darf erst nach … FreeRadius Server unter Linux f\u00fcr User-Authentication & dot.1X<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,7,12,13],"tags":[51,52,29],"class_list":["post-247","post","type-post","status-publish","format-standard","hentry","category-cisco","category-erfahrungen","category-job","category-linux","tag-cisco","tag-linux","tag-radius"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/247","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=247"}],"version-history":[{"count":5,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/247\/revisions"}],"predecessor-version":[{"id":252,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/247\/revisions\/252"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nIch will hier die notwendigen Konfigurationen f\u00fcr Freeradius unter Ubuntu 10.04 beschreiben.
\ninstallieren:
\naptitude install freeradius<\/code><\/p>\n
\n \/etc\/freeradius\/clients.conf<\/em>
\nclient 172.16.10.100\/32 {
\n secret = MeinPasswort
\n shortname = Cisco ASA
\n}<\/code>
\nalternativ kann man auch ganze Netze (z.B. mit AP Adressen oder Switchen mit dem gleichen Passwort freigeben:
\nclient 172.16.11.0\/24 {
\n secret = MeineSwitche
\n shortname = Meine Switche sind in dem Netz
\n}<\/code>
\nUser und Passw\u00f6rter brauchen wir auch, die legt man in der
\n \/etc\/freeradius\/users<\/em> an
\n\"jan\" Cleartext-Password := \"jankanns\"
\n\"test\" Cleartext-Password := \"test123\"<\/code><\/p>\n
\nRichtiges Interface w\u00e4hen, die Ports sind 1812 und 1813 das Shared Secret f\u00fcr diesen Client (in diesem Fall „asapass“) geh\u00f6rt in „Server Secret Key“.
\nDas „Common Password“ Feld bleibt frei.
\nMit dem „Test“ Button kann man die Authentication testen<\/p>\n
\nroot@server:~# radtest test test123 127.0.0.1 1812 testing123
\nSending Access-Request of id 158 to 127.0.0.1 port 1812
\n User-Name = \"test\"
\n User-Password = \"test123\"
\n NAS-IP-Address = 127.0.1.1
\n NAS-Port = 1812
\nrad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=158, length=20<\/code><\/p>\n
\n
\n\/etc\/init.d\/freeradius stop
\nfreeradius -X
\n<\/code>
\nUnd schon ergiessen sich viele Meter Debugausgaben.<\/p>\n