Sie befinden sich hier: eisfair / Pack-Eis
News News News

Navigation

Content

Dateianzeige für freeradius (1.0.5)

usr/share/doc/freeradius/freeradius.txt
freeradius - package for eisfair ================================ FreeRadius Version: 2.1.10 ==== for english documentation scroll down ====== FreeRADIUS (c) Stephan Manske Einleitung RADIUS (Akronym fuer Remote Authentication Dial-In User Service, Authentifizierungsdienst fuer sich einwaehlende Benutzer) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient. (Momentan unterstuetzt das freeradius Paket kein Accounting.) Ein Radiusserver bietet zusammen mit einem passenden AccessPoint und entsprechender Client-Software (zumeist in aktuellen Betriebssystemen integriert) eine 802.1X Authentifikation. Es koennen verschiedene Authentifikationsmethoden konfiguriert werden, z.B. EAP/TLS oder PEAP. Einsatz im WLAN Ein Hauptzweck des freeradius Paketes duerfte der Einsatz in einem WLAN sein. Klassischerweise wird dafuer mittels WPA-PSK oder WPA2-PSK (pre-shared-key) ein fuer alle Nutzer einheitliches Passwort, ein sogenanntes "gemeinsames Geheimnis" verwendet. Damit muss bei Aenderungen oder dem Ausscheiden eines Nutzer das Passwort veraendert und allen Nutzern neu mitgeteilt werden. Zudem wird zumeist empfohlen, die vollen moeglichen 63 bzw. 64 Zeichen fuer das Passwort auszunutzen. Die Alternative besteht nun darin, nicht allen das gleiche Passwort zu geben, sondern mittels RADIUS individuelle Benutzer/Kennwort-Kombinationen zu verteilen oder gleich auf ein komplett Zertifikat-gestuetztes System umzustellen: WPA(2) Enterprise. Terminologie Diese Dokumentation und die Konfigurationsdatei verwendet folgende Terminologie: Der Serverdienst, also der zentrale und damit fuer verschiedene Anmeldedienste einheitliche Authentifizierungsserver, laeuft auf dem Eisfair-Rechner. Die Nutzer, die sich an einem Netzwerk (etwa einem WLAN oder einem VPN) anmelden wollen, werden als User oder Supplicanten (Bittsteller) bezeichnet. Zwischen User und Server steht ein sog. Client oder Authenticator, der die Anfrage des Users entgegennimmt und beim Server auf Port 1812 um die Authentifizierung anfragt. Der RADIUS-Server uebernimmt dann fuer den Client die Authentifizierung, das heisst die Ueberpruefung von Benutzername und Kennwort (PEAP)oder per User-Zertifikat. Fuer ein WLAN uebernimmt diese Aufgabe ein dazu faehiger AccessPoint. Grundsaetzlich kann aber jedes IEEE 802.1X unterstuetzende Geraet von dem Server bedient werden (z.B. ein Switch fuer den Zugang zu einem LAN). Weitergehende Information finden sich z.B. unter http://de.wikipedia.org/wiki/IEEE_802.1X http://en.wikipedia.org/wiki/IEEE_802.1X Zertifikate / PKI Fuer die Absicherung der Kommunikation zwischen Server, Client und User wird eine Public-Key-Infrastruktur mittels openssl aufgebaut. Dazu wird eine Zertifizierungsstelle (Certificate Authority, CA) generiert, mit deren Zertifikat (CA cert) im weiteren die Zertifikate fuer den RAIDIUS server (Server Cert) und ggf. die Nutzer (User Cert) unterschrieben werden. Vorraussetzungen Das freeradius Paket benoetigt die folgenden Pakete: * libssl * libltdl * perl * ein beliebiges Mail Paket, wenn die entsprechenden Funktionen genutzt werden sollen Installation Das freeradius -Paket wird ueber das Setup-Menue im Untermenue ''Package administration'' installiert. Wird eine aeltere Package-Version vorgefunden, so wird deren Konfiguration und vorhandene Zertifikate gesichert und das alte Paket deinstalliert bevor die neuen Programmdateien installiert und die Konfiguration und die Zertifikate uebernommen werden. Bei einer Neuinstallation wird automatisch die default-Konfiguration erstellt. Nach Beendigung diese Schrittes werden die Konfigurationsdateien generiert und der radiusd Daemon gestartet. Die Konfigurationsdatei In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind die in den folgenden Unterabschnitten beschriebenen Parameter vorhanden. Allgemeine Konfiguration START_FREERADIUS Ueber diese Variable kann gesteuert werden, ob der FreeRADIUS server gestartet werden soll, oder nicht. Standardeinstellung: START_FREERADIUS='no' Zertifikations-Einstellungen FREERADIUS_CERT_COUNTRY country code fuer alle Zertifikate, z.B. DE, FR, GB oder US Standardeinstellung: FREERADIUS_CERT_COUNTRY='DE' FREERADIUS_CERT_ORGNAME Name der Organisation, die den RADIUS betreibt. Diese Einstellung wird die CA, den Server und die User Zertifikate einheitlich benutzt. Standardeinstellung: FREERADIUS_CERT_ORGNAME='myName EIS' FREERADIUS_CERT_MAIL Kontakt-Adresse fuer das CA und Server Zertifikat Standardeinstellung: FREERADIUS_CERT_MAIL='admin@mail.example' FREERADIUS_CERT_MAILME Sollen neu erzeugte Zertifikate (CA, Server, User) an die in FREERADIUS_CERT_MAIL angegebene Adresse gemailt werden? Standardeinstellung: FREERADIUS_CERT_MAILME='yes' FREERADIUS_CERT_CA_NAME Name der CA fuer die RADIUS PKI - unterschreibt alle anderen Zertifikate Standardeinstellung: FREERADIUS_CERT_CA_NAME='my Home Radius CA' FREERADIUS_CERT_SERVER_NAME Name des Servers (ist unabhaengig von Host/Domain-Namen!) Standardeinstellung: FREERADIUS_CERT_SERVER_NAME='my Home Radius' FREERADIUS_CERT_CA_TIME Lebensdauer des CA Zertifikats in Tagen - sollte relativ lang gewaehlt werden, da ein neues Zertifikat ueber einen gesicherten Kommunikationsweg an alle Nutzer verteilt werden muss. Standardeinstellung: FREERADIUS_CERT_CA_TIME_CA='3650' (10 Jahre) FREERADIUS_CERT_SERVER_TIME Lebensdauer des Server Zertifikats in Tagen - kann deutlich kuerzer sein, da es immer vom Server mitgeschickt wird. Seine Echtheit wird ueber die Unterschrift der CA garantiert. Standardeinstellung: FREERADIUS_CERT_SERVER_TIME='365' (1 Jahr) FREERADIUS_CERT_USER_TIME Lebensdauer eines User Zertifikats in Tagen. Standardeinstellung: FREERADIUS_CERT_USER_TIME='750' (2 Jahre +x) FREERADIUS_MAKE_NEW_CERTS_NOW Soll mit den oben eingegebenen (ggf. neuen) Daten eine neue PKI fuer den RADIUS-Dienst erzeugt werden? ACHTUNG: Wenn schon Zertifikate erzeugt wurden, dann werden jetzt ALLE bisherigen Zertifikate des RADIUS-Dienstes geloescht! Die User muessen auf jeden Fall den neuen CA ueber einen gesicherten Kommunikationsweg erhalten und ggf. auch ihr User Zertifikat. Es erfolgt zur Sicherheit noch eine weitere Abfrage im Generierungs- prozess. Standardeinstellung: FREERADIUS_MAKE_NEW_CERTS_NOW='no' Client-Einstellungen FREERADIUS_CLIENT_N Anzahl an Clients (z.B. Anzahl der WLAN AccesSPoints) Standardeinstellung: FREERADIUS_CLIENT_N='1' FREERADIUS_CLIENT_%_NAME Name des x. Clients. Sinnvollerweise sollte der erste Client fuer Testzwecke localhost sein, AccessPoints etc. dann ab CLIENT_2. Grundsaetzlich kann hier ein beliebiger Name stehen. Allerdings wird die Angabe einer IP-Adresse des Clients benoetigt (s.u.), wenn der Name nicht per DNS local aufgeloest werden kann. Standardeinstellung: FREERADIUS_CLIENT_%_NAME='localhost' FREERADIUS_CLIENT_%_ACTIVE Variable zum Aktivieren oder Deaktivieren des Clients, ohne dass er geloescht werden muss. Standardeinstellung: FREERADIUS_CLIENT_%_ACTIVE='yes' FREERADIUS_CLIENT_%_SECRET Passwort mit dem sich der Client beim Server anmeldet. Er sollte nicht zu kurz sein, empfohlen werden mehr als 15 Zeichen. Standardeinstellung: FREERADIUS_CLIENT_%_SECRET='' FREERADIUS_CLIENT_%_IP IP des Client - muss zwingend angegeben werden, wenn FREERADIUS_%_NAME nicht per DNS aufgeloest werden kann. Allerdings ist es auch fuer den Fall eines DNS-Ausfalls oder wenn der Client im dhcp server Paket konfiguriert wurde, ratsam die IP anzugeben. ACHTUNG: Andernfalls startet der Server nicht! Standardeinstellung: FREERADIUS_CLIENT_%_IP='127.0.0.1' FREERADIUS_CLIENT_%_NASTYPE Der NASTYPE gibt Auskunft ueber bestimmte Client-Typen. moegliche Werte: other, cisco, computone, livingston, max40xx, multitech, netserver, pathras, patton, portslave, tc, usrhiper ACHTUNG: Die oft genutzten Linksys-Geraete sind trotz der Zugehoerigkeit zu CISCO mit other zu versehen! Standardeinstellung: FREERADIUS_CLIENT_%_NASTYPE='other' User-Einstellungen FREERADIUS_USER_N Anzahl an Usern. Standardeinstellung: FREERADIUS_USER_N='1' FREERADIUS_USER_%_NAME Benutzername des x. Users Standardeinstellung: FREERADIUS_USER_%_NAME='name' FREERADIUS_USER_%_ACTIVE Variable zum Aktivieren oder Deaktivieren des Users, ohne dass er geloescht werden muss. Standardeinstellung: FREERADIUS_USER_%_ACTIVE='no' FREERADIUS_USER_%_PASS Benutzerkennwort. Es wird entweder zum Anmelden mit dem Benutzernamen verwendet oder es dient zum Entschluesseln des privaten User-Zertifikats. Standardeinstellung: FREERADIUS_USER_%_PASS='' FREERADIUS_USER_%_CERT_ONLY Normalerweise ist die Anmeldung mit Name/Kennwort oder ggf. Zertifikat moeglich. Mit diesem Variable wird die Anmeldung mit einem Zertifikat erzwungen. Standardeinstellung: FREERADIUS_USER_%_CERT_ONLY='no' FREERADIUS_USER_%_CERT_SERIAL Diese Variable enthaelt ggf. die Seriennummer des zugeordneten Zertifikats. ACHTUNG: Diese Variable darf NICHT veraendert werden! Ausnahme: Wenn der Nutzername veraendert wurde oder der Nutzer insgesamt neu angelegt wurde, dann MUSS, sofern diese Variable einen Inhalt hat, dieser geloescht werden! Standardeinstellung: FREERADIUS_USER_%_CERT_SERIAL='' FREERADIUS_USER_%_MAIL Mail-Adresse des Users fuer ein ggf. genutztes Zertifikat Standardeinstellung: FREERADIUS_USER_%_MAIL='user@mail.example' FREERADIUS_USER_%_MAILME Soll ein ggf. erzeugtes Zertifikat an die User-Mail-Adresse (zusammen mit dem CA Zertifikat) gemailt werden? Standardeinstellung: FREERADIUS_USER_%_MAILME='no' Experten-Einstellungen FREERADIUS_USER_%_CUSTOM_N Fuer Experten: Anzahl zusaetzlicher Parameter fuer den User Standardeinstellung: FREERADIUS_USER_%_CUSTOM_N='0' FREERADIUS_USER_%_CUSTOM_%% Fuer Experten: Inhalt des Parameters, z.B. Reply-Message = "Hello, %{User-Name}" Aber Vorsicht: Ungueltige Parameter koennen den Server-Start verhindern! Standardeinstellung: FREERADIUS_USER_%_CUSTOM_%%='' FREERADIUS_REJECT_DELAY Zeit in Sekunden, die der Server abwartet, wenn er einen Zugang verweigert. Damit kann eine DOS oder Brut Force Attacke ausgebremst werden. Standardeinstellung: FREERADIUS_REJECT_DELAY='2' Menue * Help and documentation + View documentation Anzeige dieser Dokumentation. + Version changes Anzeige der Versionsgeschichte + Help to Config a Windows User computer * Configuration + Edit configuration Konfiguration von FreeRADIUS ueber die eisfair-Konfigurationsebene bearbeiten. + Advanced configuration file handling Versionsverwaltung der FreeRADIUS Konfiguration. * Server Handling + Show Status Zeigt den aktuellen Status des FreeRADIUS Servers an. + Restart Startet den FreeRADIUS Server neu. + Start Startet den FreeRADIUS Server. + Stop Stopt den FreeRADIUS Server * Certificate Managment + List all certificates and users Anzeige aller erzeugten Zertifikate, getrennt nach expired (abgelaufen), revoked (gesperrt) und active (aktiv) sowie einer Liste aller angelegten User (egal ob aktiv oder nicht) zusammen mit der Seriennummer eines dazugehoerigen Zertifikats. + Make a user certificate Erstellt automatisiert fuer einen angelegten User ein Zertifikat + Revoke a user certificate Sperren eines User-Zertifikates, z.B. wegen Schluesselverlustes beim User. + Export all Certificates (noch ohne Funktion) Exportiert alle Zertifikate (z.B. in ein bestimmtes Verzeichnis auf dem Server) zur weiteren Verwendung. + Renew outdated certificates Verlaengert / erneuert abgelaufene Zertifikate - Renew for CA - Renew for Server - Renew for Users + Revoke orphaned / unused user certificates Wenn User in der Konfiguration entfernt wurden, dann bleiben deren Zertifikate im System zurueck. Damit ist zwar kein unberechtiges Anmelden des ehemaligen Users moeglich, aber dennoch sollten entsprechend "verwaiste" Zertifikate bei Gelegenheit gesperrt werden. Z.B. fuer den Fall, dass spaeter einmal ein anderer Nutzer gleichen Namens angelegt werden sollte. ==== english documentation ====== FreeRADIUS (c) Stephan Manske Introduction Working in a WLAN Terminologie This documentation and the configuration file uses this Terminologie(?): xxx For more Information e.g. http://en.wikipedia.org/wiki/IEEE_802.1X Certificates / PKI Requirements Freeradius package need the following packages: * libssl * one of the mail packages, if mail function is used Installation COnfiguration file general configuration START_FREERADIUS Using this variable to start FreeRADIUS server or not. default value: START_FREERADIUS='no' certificate configuration FREERADIUS_CERT_COUNTRY Country code for all certificates, e.g. DE, FR, GB or US default value: FREERADIUS_CERT_COUNTRY='DE' FREERADIUS_CERT_ORGNAME Name of the the FreeRADIUS operator organisation. This name will be used for CA, server and user certificates. default value: FREERADIUS_CERT_ORGNAME='myName EIS' FREERADIUS_CERT_MAIL Operator mail address for CA and server certificate. default value: FREERADIUS_CERT_MAIL='admin@mail.example' FREERADIUS_CERT_MAILME Should new certificates (CA, server, user) be mailed to FREERADIUS_CERT_MAIL address after creation? default value: FREERADIUS_CERT_MAILME='yes' FREERADIUS_CERT_CA_NAME Name of CA for RADIUS PKI - will sign all other certificates default value: FREERADIUS_CERT_CA_NAME='my Home Radius CA' FREERADIUS_CERT_SERVER_NAME Name of FreeRADIUS server (independant from host/domain name!) default value: FREERADIUS_CERT_SERVER_NAME='my Home Radius' FREERADIUS_CERT_CA_TIME CA certificate lifetime in days - default 3650 (10 years). An extended period is prefered to avoid distribution of new certificates to all users, using a secured communication channel. default value: FREERADIUS_CERT_CA_TIME_CA='3650' (10 years) FREERADIUS_CERT_SERVER_TIME Server certificate lifetime in days - automaticaly supplied by the server, and can be much shorter. Certificate validity is verified through the CA verification. ATTENTION: If the lifetime of the certificate exceeds the lifetime of the CA, the windows client will not accept the certificate! default value: FREERADIUS_CERT_SERVER_TIME='365' (1 year) FREERADIUS_CERT_USER_TIME User certificate lifetime in days. default value: FREERADIUS_CERT_USER_TIME='750' (2 years + some days) FREERADIUS_MAKE_NEW_CERTS_NOW Do you want to create a whole new PKI for RADIUS service using the parameters above? ATTENTION: All existing certificates used by the RADIUS service will be deleted! The new CA certificate has to be distributed to all users (via secured communication channel!) User certificates have to be renewed and distributed also. The next step will double-check your confirmation. default value: FREERADIUS_MAKE_NEW_CERTS_NOW='no' client configuration FREERADIUS_CLIENT_N Number of clients (e.g. numer of wlan access points) default value: FREERADIUS_CLIENT_N='1' FREERADIUS_CLIENT_%_NAME x. client's name. For testing purposes the first client should be localhost. Accespoints will start from CLIENT_2 onwards. ATTENTION: FREERADIUS_CLIENT_%_NAME MUST be the name of a local host or enter a FREERADIUS_CLIENT_%_IP! Otherwise FreeRADIUS will not start! default value: FREERADIUS_CLIENT_%_NAME='localhost' FREERADIUS_CLIENT_%_ACTIVE Activate or deactivate the client, without deleting the client. default value: FREERADIUS_CLIENT_%_ACTIVE='yes' FREERADIUS_CLIENT_%_SECRET Client password for FreeRADIUS login. Should not be to short (15 chars or more) default value: FREERADIUS_CLIENT_%_SECRET='' FREERADIUS_CLIENT_%_IP Client's ip - MUST be entered if FREERAIDUS_%_NAME is not resolved via dns. In case of dns failure or if the client is configured within the dhcp server package the client's ip address should added as a appropriate precaution. ATTENTION: leaving these values empty can result in the server refusing to start! default value: FREERADIUS_CLIENT_%_IP='127.0.0.1' FREERADIUS_CLIENT_%_NASTYPE NASTYPE is used to specify an existing NAS. Linksys units should be identified with 'other' NOT 'cisco' default value: FREERADIUS_CLIENT_%_NASTYPE='other' user configuration FREERADIUS_USER_N Number of Freeradius users default value: FREERADIUS_USER_N='1' FREERADIUS_USER_%_NAME Username x. Users default value: FREERADIUS_USER_%_NAME='name' FREERADIUS_USER_%_ACTIVE Activate user. Deactivating a specific user does not erase the account. default value: FREERADIUS_USER_%_ACTIVE='no' FREERADIUS_USER_%_PASS User password. Enables the user to login on the server and/or to activate the user certificate. default value: FREERADIUS_USER_%_PASS='' FREERADIUS_USER_%_CERT_ONLY Login to a FreeRADIUS server can be accomplished via user/password sequence or certificate. Setting this value to 'yes' forces the user to use his certificate. default value: FREERADIUS_USER_%_CERT_ONLY='no' FREERADIUS_USER_%_CERT_SERIAL This parameter contains the serial of an assigned certificate. ATTENTION: This parameter MUST NOT be modified! Exception: If username is modified or this is a whole new user - in that case, the existing serialnumber MUST be erased. default value: FREERADIUS_USER_%_CERT_SERIAL='' FREERADIUS_USER_%_MAIL User Mail address default value: FREERADIUS_USER_%_MAIL='user@mail.example' FREERADIUS_USER_%_MAILME Enables new certificates to be sent to the users Mail address. default value: FREERADIUS_USER_%_MAILME='no' FREERADIUS_USER_%_CUSTOM_N Experts only! Number of additional user parameters. ATTENTION: invalid parameters can disable server startup. default value: FREERADIUS_USER_%_CUSTOM_N='0' FREERADIUS_USER_%_CUSTOM_% Experts only! Additional user parameters. e.g. Reply-Message = "Hello, %{User-Name}" default value: FREERADIUS_USER_%_CUSTOM_%%='' FREERADIUS_REJECT_DELAY Delay in seconds after failed login attempts. Usefull to counteract Brute Force or Denial-of-Service (DOS) attempts. default value: FREERADIUS_REJECT_DELAY='2' Menue * Help and documentation + View documentation + Version changes + Help to Config a Windows User computer * Configuration + Edit configuration Config FreeRADIUS using eisfair config frontend. + Advanced configuration file handling History of config files. * Server Handling + Show Status Show status of FreeRADIUS server. + Restart Restart FreeRADIUS Server. + Start Start FreeRADIUS Server. + Stop Stopp FreeRADIUS Server. * Certificate Managment + List all certificates and users Show all generated certificates, subdivided into expired, revoked and active certs. And a list of all users in the config (no matter if activ or not) with the serial number of their cert. + Make a user certificate Wizard to make a certificate for an user in the config. + Revoke a user certificate Revoke a user certificate, e.g. because of key loss or leak. + Export all Certificates (w/o function in the moment) + Renew outdated certificates Renew for outdated certificates: - Renew for CA - Renew for Server - Renew for Users + Revoke orphaned / unused user certificates I an user is removed from config, his certificate is still in the system. Such a user is not able to login, but anyhow such certificates should be revoked. E.g. in the case there will be another user in the future who has the same name.