FreeRADIUS + SQL + DALORADIUS

INSTALACIÓN SERVIDOR FREERADIUS CON GESTIÓN WEB PASO A PASO

radius

     En el siguiente post vamos a mostrar paso a paso la instalación de un servidor FreeRADIUS básico y sencillo de gestionar, que será el encargado de gestionar el acceso a nuestra red que va a funcionar sobre UBUNTU 14.04.

El nombre de RADIUS es el acrónimo de “Remote Authentication Dial In User Sevice”, y éste protocolo no sólo logra el acceso a la red, sino que también gestiona cuentas de usuario.

A continuación voy a mostrar los pasos a seguir para instalar nuestro servidor FreeRADIUS con gestión web de forma muy esquematizada y sencilla paso a paso:

 

  1. Instalar FreeRADIUS.
  2. Preparar base de datos e insertarla.
  3. Configurar FreeRADIUS.
  4. Reiniciar sistema y testeo de FreeRadius
  5. Descargar daloRADIUS.
  6. Instalar dependencias daloRADIUS.
  7. Instalar y configurar daloRADIUS.
  8. Test de funcionamiento.
  9. Solución problema importar usuarios DaloRADIUS
  10. Dar de alta puntos de acceso
  11. Solución de problema autenticación de usuarios

 

  1. Instalar FreeRADIUS

El primer paso que deberemos realizar es instalar FreeRADIUS desde paquetes.

Para realizar esta tarea necesitamos acceder en modo root y actualizaremos el sistema para que las descargas e instalaciones sean más rápidas y sencillas. Para ello ejecutaremos el apt-get update y apt-get upgrade:

  • sudo-i
  • sudo apt-get update
  • sudo apt-get upgrade

 Ahora lanzamos el siguiente comando desde una terminal y confirmamos la instalación: 

  • apt-get install mysql-server
  • apt-get install freeradius freeradius-mysql freeradius-utils

 

  1. Preparar Base de datos e insertarla

Una vez instalado el servidor freeRADIUS, lo que haremos será preparar la base de datos que vayamos a utilizar en el servidor. Para realizar esta tarea, crearemos dicha base de datos que llamaremos “radius” y le asignaremos un nuevo usuario y password para acceder a ella:

  • #   mysql –u root –p
  • mysql>          create database radius;
  • mysql> grant all on radius.* to radius@localhost identified  by “123456”.

Ahora vamos a instalar FreeRADIUS para que conecte posteriormente:

  • # mysql –u root –p < /etc/freeradius/sql/mysql/schema.sql
  • # mysql –u root –p < /etc/freeradius/sql/mysql/nas.sql

Insertaremos un usuario en la base de datos de forma manual:

  • # mysql –u root –p
  • mysql>          use radius;
  • mysql>          INSERT INTO radcheck (UserName, Attribute, Value) VALUES (‘sqltest’, ‘Password’, ‘testpwd’);
  • mysql>          exit;

 

  1. Configurar FreeRADIUS

Tenemos que dejar preparado nuestro FreeRADIUS para que conecte posteriormente con la base de datos MySQL.

Para realizar esta tarea vamos a modificar varios archivos:

Los datos de conexión a la base de datos dejaremos los predeterminados que aparecen en /etc/freeradius/sql.conf y activaremos el soporte sql para autenticación y cuentas. Ejecutamos los siguientes comandos como root:

  • sudo nano /etc/freeradius/sql.conf

Cambiamos el usuario y contraseña a:             login=”radius”   password=”123456”

Y descomentamos la línea readclients=yes  (se quita el $ de principio de línea)

Procedemos a configurar /etc/freeradius/sites-enabled/default

  • sudo nano /etc/freeradius/sites-enabled/default

 En los apartados “authorize”, “accounting” , “sesión” y “post-auth” descomentamos las líneas sql.

Para activar el soporte SQL editaremos el fichero “radiusd.conf “ y descomentaremos la línea $INCLUDE sql.conf. Para ello como root ejecutamos el siguiente comando:

  • sudo nano /etc/freeradius/radiusd.conf

 Descomentamos la línea

$INCLUDE sql.conf

 Abrimos el inner-tunnel para que funcione correctamente la conexión con los puntos de acceso

  • sudo nano /etc/freeradius/sites-available/inner-tunnel

En la sección authorize section descomentamos sql

 Añadimos los puntos de acceso que vayamos a conectar en nuestra instalación:

Para ello editaremos el “clients.conf”:

  •  sudo nano /etc/freeradius/clients.conf

 Añadiremos los clientes, es decir, añadiremos todos los puntos de acceso que forman nuestra red:

 

client 155.0.0.60 {

        secret = 123456

        shortname = alu

}

 client 155.0.0.61 {

        secret = 123456

        shortname =alu

}

 client 155.0.0.62 {

        secret = 123456

        shortname =alu

}

  

  1. Reiniciar el sistema en modo depuración y testeo de conexión

 Paramos el freeradius

  •  # /etc/init.d/freeradius stop

 Reiniciamos en modo depuración

  • # freeradius –X

 Para posteriores reinicios insertaremos el siguiente comando

  • # sudo service freeradius restart

 Para realizar el testeo realizamos lo siguiente en una ventana nueva o con otro usuario:

  •  $ /etc/init.d/freeradius
  • $ radtest sqltest testpwd localhost 1812 testing123

  

  1. Descargar daloRADIUS

Ejecutamos los siguientes comandos como root:

  • cd /usr/local/src
  • wget “URL de daloradius” à Depende de la versión en cada momento

wget http://sourceforge.net/projects/daloradius/files/daloradius/daloradius0.9-9/daloradius-0.9-9.tar.gz

 

  1. Instalar dependencias daloRADIUS

Vamos a instalar el servicio Web, el de base de datos y un paquete para gestión de imágenes. Como root ejecutamos el siguiente comando:

  • apt-get install apache2 php5 php5-gd php-pear php-db libapache2-mod-php5 php-mail php5-mysql mysql-server

 

  1. Instalar y configurar daloRADIUS

Una vez instaladas las dependencias vamos a descomprimir la aplicación en el directorio de nuestro servicio Web y crearemos la base de datos con las tablas pertinentes. Como root ejecutamos los siguientes comandos:

  • cd /var/www

 Descargamos daloradius de la web y movemos el archivo descargado al directorio daloradius:

  • tar xzf /usr/local/src/<nombre archivo daloRADIUS.tar.gz>
  • mv -f <DIRECTORIO_daloRADIUS> daloradius/

 Ahora necesitamos establecer la base de datos. No necesitamos una nueva base de datos, lo que tenemos que hacer es dar acceso a nuestra base de datos al daloradius:

  • cd /var/www/daloradius/contrib/db
  • mysql -u root -p radius < mysql-daloradius.sql

 Una vez que la base de datos está correctamente cambiada, necesitamos cambiar la password:

  • sudo nano daloradius/library/daloradius.conf.php
  • $configValues[‘CONFIG_DB_PASS’] = ‘123456’;

  

  1. Test de funcionamiento

Ahora vamos a probar la instalación que hemos realizado, pero antes de nada vamos a reiniciar los servicios Web y FreeRADIUS para que se apliquen todos los cambios hechos anteriormente.

Para ello ejecutamos los siguientes comandos como root:

  • /etc/init.d/freeradius restart

A través de un explorador Web vamos a acceder a la gestión de nuestro daloRADIUS para crear un usuario y realizar una prueba desde consola.

Para ello ingresamos en la dirección http://<SERVIDOR>/daloradius.

Las credenciales son administrator/radius.

 p.e. http://192.168.1.1/daloradius

RADIUS1

Ahora que tenemos el usuario vamos a realizar un test de conexión desde la consola.

Para ello ejecutamos el siguiente comando como root y si nos devuelve Access-Accept es que todo ha ido bien:

  • radtest sqltest testpwd0.0.1 1812 testing123

 El parámetro testing123 es una contraseña que se usa para conectar al servidor RADIUS como cliente.

RADIUS2

  1. Solución problemas importar usuarios en DaloRADIUS

A la hora de importar usuarios para agilizar la gestión WEB de nuestro servidor Radius, puede que nos encontremos con el problema de no poder realizar dicha importación de forma automática, y que los usuarios no se puedan importar.

Para solucionar éste problema deberemos modificar el archivo mng-import-users.php y dejarlo tal como aparece en la siguiente imagen:

  • sudo nano /var/www/daloradius/mng-import-users.php

RADIUS3

  1. Dar de alta los PUNTOS DE ACCESO (AP)

Vamos a dar de alta nuestro servidor en los puntos de acceso que tengamos instalados para que funcione la autenticación correctamente.

Para ello, lo que deberemos realizar es entrar en la configuración del punto de acceso, en el apartado “WIRELESS SECURITY”, y decirle que queremos seguridad “WPA/WPA2 – Enterprise”, y le damos la dirección de nuestro servidor RADIUS, y la Password que le hemos asignado anteriormente al usuario. En nuestro caso la IP del servidor es la 155.0.20.100, y la Password que le hemos asignado era 123456.

RADIUS4

  1. Solución de problemas autenticación usuarios

A la hora de autenticarnos en la red, podemos tener problemas en algunas versiones de Windows anteriores a Windows 10.

A continuación pongo un pequeño manual de cómo solucionar estos problemas:

  1. Entramos en panel de control, centro de redes y recursos compartidos.
  2. Administrar redes inalámbricas à Agregar.
  3. Crear perfil de red manualmente
  4. Escribimos -> Nombre de la red: “alu” / Tipo de seguridad: WPA-Enterprise / Tipo de cifrado: AES / Marcamos la opción: Iniciar conexión automáticamente. Y pulsamos siguiente
  5. Aparece “aluse agregó correctamente”. Pulsamos sobre “Cambiar la configuración manualmente”
  6. En la pestaña Conexión, dejamos la configuración por defecto.
  7. Sobre la pestaña Seguridad à Tipo de conexión: WPA-Enterprise / Tipo de cifrado: AES / Elija un método de autenticación de red: Microsoft EAP protegido (PEAP) / Marcamos la opción: Recordar mis credenciales para esta conexión cada vez que se inicie sesión.
  8. Pulsamos sobre el botón configurar y aparece una ventana llamada “Propiedades de EAP protegido. Aquí desmarcamos la opción: Validar un certificado de servidor.

En seleccione el método de autenticación elegimos: Contraseña segura (EAP-MSCHAP v2).

Marcamos la opción: Habilitar reconexión rápida / Marcamos la opción: Aplicar Protección de acceso a redes.

  1. Pulsamos sobre el botón configurar y desmarcamos la opción: Usar automáticamente el nombre de inicio de sesión y la contraseña de Windows (y dominio, si existe alguno) y pulsamos aceptar.

Regresamos a la anterior pantalla y pulsamos aceptar.

  1. Regresamos a la pantalla ”propiedades de la red inalámbrica local” y pulsamos sobre el botón “Configuración avanzada”.
  2. Aparece la pantalla “Configuración avanzada”. Marcamos la opción: Habilitar inicio de sesión único en esta red, y dentro de este apartado

También activamos la opción: Realizar inmediatamente después de que el usuario inicie sesión.

Dentro de esta pantalla activamos también la opción: Permitir cuadros de diálogo adicionales durante el inicio de sesión único.

El resto de las opciones las dejamos sin activar. Pulsamos aceptar, y de nuevo aceptar y queda nuestro acceso inalámbrico “alu” configurada con respecto a nuestro servidor de autenticación RADIUS.

Un Saludo.

Raul.

 

 

 

19,205 total views, 53 views today