{"id":256,"date":"2011-01-28T21:44:42","date_gmt":"2011-01-28T20:44:42","guid":{"rendered":"http:\/\/janscholten.de\/blog\/?p=256"},"modified":"2011-01-28T21:44:42","modified_gmt":"2011-01-28T20:44:42","slug":"konfiguration-freeradius-fuer-dot1x-teil-2","status":"publish","type":"post","link":"https:\/\/janscholten.de\/blog\/2011\/01\/konfiguration-freeradius-fuer-dot1x-teil-2\/","title":{"rendered":"Konfiguration freeradius f\u00fcr dot1x Teil 2"},"content":{"rendered":"<p>Weiter gehts.<br \/>\nIch m\u00f6chte dot1x Authentifizierung am Switchport machen. Man braucht dazu ein Zertifikat, damit EAP-TLS funktioniert, das baut man dank entsprechender Tools von freeradius ganz einfach:<br \/>\nMan l\u00f6scht die Links und den ganzen kram aus \/etc\/certs und kopiert die Tools:<br \/>\n<code>rm \/etc\/freeradius\/certs\/*<br \/>\ncp \/usr\/share\/docs\/freeradius\/examples\/certs\/* \/etc\/freeradius\/certs<br \/>\n<\/code><\/p>\n<p>Dann passt man die Dateienn server.cnf und ca.cnf an.<br \/>\nin ca.cnf:<br \/>\n<code>[ CA_default ]<br \/>\ndefault_days            = 3660<br \/>\n[ req ]<br \/>\ninput_password          = meinpass<br \/>\noutput_password         = meinpass<br \/>\n[certificate_authority]<br \/>\ncountryName             = DE<br \/>\nstateOrProvinceName     = radius@jan<br \/>\nlocalityName            = daheim<br \/>\norganizationName        = Radius-Teste<br \/>\nemailAddress            = me@example.com<br \/>\ncommonName              = \"Radiustest\"<\/code><\/p>\n<p>Damit gilt das Zertifikat 10 Jahre. Das Password muss man auch in der<em> \/etc\/freeradius\/eap.conf<\/em>  bei<em> private_key_password <\/em>angeben<br \/>\n (per default steht es dort auf  &#8222;Whatever&#8220;), damit der Schl\u00fcssel nachher geladen werden kann.<\/p>\n<p>In die server.cnf \u00fcbernimmt man Laufzeit und die Daten aus der Ceritificate authority.<\/p>\n<p>mit<br \/>\n<code>make all<\/code><br \/>\n baut man seine Zeritifkate<\/p>\n<p>Wichtig: <em>ca.der<\/em> auf memory stick o.\u00e4. kopieren, das ist unser Stammzertifikat und das brauchen wir auf den Clients, damit diese nachher eine TLS Tunnel aufbauen k\u00f6nnen.<\/p>\n<p>Um die Konfig erstmal nicht mehr anpassen zu m\u00fcssen machen wir noch eine \u00c4nderung die es sp\u00e4ter erlauben wird VLANs f\u00fcr User zur\u00fcckzugeben. Daf\u00fcr setzten wir in<br \/>\n<em>\/etc\/freeradius\/eap.conf <\/em><br \/>\nDie in ttls und peap \u00e4ndern wir den Parameter von &#8222;no&#8220; auf &#8222;yes&#8220;<br \/>\n<code>use_tunneled_reply = yes<\/code> <\/p>\n<p>Damit sollte die Konfiguration von Freeradius fertig sein. <\/p>\n<p>Jetzt spielt man das Zertifikat im Computer ein, bei XP durch Doppelklick, bei Windows 7 mu\u00df man h\u00e4ndisch den  &#8222;Vertrauensw\u00fcrdigen Zertifikatsspeicher&#8220; w\u00e4hlen.<\/p>\n<p>Wie man den Cisocswitch aktiviert und Windows einstellt kommt im n\u00e4chsten Artikel.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Weiter gehts. Ich m\u00f6chte dot1x Authentifizierung am Switchport machen. Man braucht dazu ein Zertifikat, damit EAP-TLS funktioniert, das baut man dank entsprechender Tools von freeradius ganz einfach: Man l\u00f6scht die Links und den ganzen kram aus \/etc\/certs und kopiert die Tools: rm \/etc\/freeradius\/certs\/* cp \/usr\/share\/docs\/freeradius\/examples\/certs\/* \/etc\/freeradius\/certs Dann passt man die Dateienn server.cnf und ca.cnf an. &hellip; <a href=\"https:\/\/janscholten.de\/blog\/2011\/01\/konfiguration-freeradius-fuer-dot1x-teil-2\/\" class=\"more-link\"><span class=\"screen-reader-text\">Konfiguration freeradius f\u00fcr dot1x Teil 2<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,7,12,13],"tags":[51,30,52,29],"class_list":["post-256","post","type-post","status-publish","format-standard","hentry","category-cisco","category-erfahrungen","category-job","category-linux","tag-cisco","tag-dot1x","tag-linux","tag-radius"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/256","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=256"}],"version-history":[{"count":5,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/256\/revisions"}],"predecessor-version":[{"id":261,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/256\/revisions\/261"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=256"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=256"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=256"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}