Configurando um servidor Freeradius + openLDAP

Instalação e configuração básica de um servidor Radius (Freeradius) com um servidor LDAP (openLDAP).

[ Hits: 59.571 ]

Por: Victor Frazão em 24/09/2011


Configurando



Basicamente irei configurar quatro arquivos:
  • /etc/raddb/modules/ldap
  • /etc/raddb/sites-available/default
  • /etc/raddb/clients.conf
  • /etc/raddb/radiusd.conf

Deixe os arquivos EXATAMENTE como está nesta configuração, ajustando apenas as informações relativas aos seus servidores. Qualquer linha que exista além destas, COMENTE-A!

As linhas em vermelho são as que você deve alterar para os seus servidores.

Arquivo /etc/raddb/modules/ldap

Este primeiro arquivo contém a configuração da conexão do servidor Radius ao servidor Ldap.

prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = /var/log/radius
raddbdir = /etc/raddb
radacctdir = /var/log/radius/radacct
name = radiusd
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
db_dir = ${raddbdir}
libdir = /usr/lib64/freeradius
pidfile = ${run_dir}/${name}.pid
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
listen {
        type = auth
        ipaddr = *
        port = 0
}
listen {
        ipaddr = *
        port = 0
        type = acct
}
hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log {
        destination = files
        file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = no
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
}
checkrad = ${sbindir}/checkrad
security {
        max_attributes = 200
        reject_delay = 1
        status_server = yes
}
proxy_requests  = yes
$INCLUDE proxy.conf
$INCLUDE clients.conf
thread pool {
        start_servers = 5
        max_servers = 32
        min_spare_servers = 3
        max_spare_servers = 10
        max_requests_per_server = 0
}
modules {
        $INCLUDE ${confdir}/modules/
        $INCLUDE eap.conf
}
instantiate {
        exec
        expr
        expiration
        logintime
}
$INCLUDE policy.conf
$INCLUDE sites-enabled/

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando
   3. Testando
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Rede Tor para iniciantes

Política de Segurança para Dispositivos Móveis

Segurança em Redes Wifi: Hacking x Defesa!

Armitage: a nova interface gráfica do Metasploit

Não precisamos de antivírus, eles sim

  
Comentários
[1] Comentário enviado por diegowalisson em 19/12/2011 - 14:09h

Exatamente o que estava procurando!
Funfou legal no Ubuntu 11.04.

[2] Comentário enviado por americo2kx em 26/12/2011 - 16:24h

Caro Victor
Lendo seu material achei interessante e estou tentando fazer em uma ambiente de teste.

estou tendo o seguinte problema, na hora do radtest dá falha...
no LOG: Auth: Login incorrect ( [ldap] User not found): [u041272/123456] (from client localhost port 0)

tem noção do que possa ser?
_____ATUALIZADO___________
já verifiquei.. a informação esta sendo enviada para o LDAP (gerando log no ldap)
parece ser algo tipo o parâmetro (usuario ou senha)... tem como ver o ldif de quando vc criou o usuário de teste?

[3] Comentário enviado por vfrazao em 03/01/2012 - 10:14h

Caro Americo,

Eu criei um usuário normalmente em minha base ldap. Eu utilizei uma base já existente onde autentico outros serviços.
Você pode testar com algum usuário já cadastrado ou olhar com mais calma o arquivo de configuração. Pode ser que seu ldap esteja configurado para receber somente conexões seguras.
Ou alguma configuração mais específica do seu servidor deve ser ajustada no arquivo de configuração.
Abraços!

[4] Comentário enviado por malkav_k em 06/06/2012 - 10:43h

Desenvolvi uma aplicação complemento ao Freeradius (o Arapuca) que usa como base de dados o Postgresql para guardar todas as informações do Freeradius e algumas informações mais.

Estava pensando em passá-lo para uma versão LDAP. Mas me surgiram dúvidas:

1. O Freeradius pode consultar o servidor LDAP para recuperar informações dos NAS?
2. A consulta de usuário pode ser personalizada (filtragem por grupo ou desabilitar contas)?
3. Existiu algum motivo específico para colocar a parte de "accounting" no Unix?
4. Tem como jogar o log para dentro do LDAP (a fim de unificar a base de consulta)?

[5] Comentário enviado por marcelocp78 em 19/08/2014 - 15:19h

Boa Tarde, fiz todas configurações conforme o tutorial. No teste pelo RADTEST e NTRadPing funciona certinho "response: Access-Accept", porém configurando o ap retorna o seguite erro no freeradius -X "ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user" o que poderia ser? pelas ferramentas de teste aparece o metodo de auntenticação LDAP.

[6] Comentário enviado por crystiansch em 09/09/2022 - 18:03h

Boa tarde, estava lendo seu tutorial e vi que vc comentou em alterar quatro arquivos mas só vejo o ARQUIVO /ETC/RADDB/MODULES/LDAP aqui no tutorial. Estou fazendo alguma coisa errada para não estar vendo as configurações de todos os arquivos?
Outra dúvida é se esse seu tutorial serve para conexão com outros servidores ldap?
Estou à meses procurando por configuração do Freeradius com ldap que funcione para conexão de wifi com windows, macOS e android, mas até agora consigo fazer funcionar ou android e MacOS ou Android e Windows, os três não consegui fazer funcionar até agora. Só funciona se eu criar usuário local no Radius, mas precisaria que funcionasse com conexão de cada usuário por ldap.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts