FreeRadius3のインストール

自己メモ。

前回エントリから丸一年。なにもしてない。。。

freeradius2.0.xでEAP-TLS認証しようとしたらトラストアンカー?だか何だかのエラーがでてにっちもさっちもいかなくなったので、freeradius3をインストールしました。


※このエントリは編集中です。


ソースのダウンロード
ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-3.0.10.tar.gz

tar zxvf freeradius-server-3.0.10.tar.gz

./configure
make
make install

修正するコンフィグファイルは
# vi radiusd.conf
# デフォルトでは認証のたびにログに吐き出すわけではないので、
# logセクション内のauthはyesにしておく
log{
....
#auth = no
auth = yes
....
}
# securityセクション内のopensslの脆弱性問題に対応しておく
# 必ず確認すること!
# opensslのバージョン表示オプションでは脆弱性内包バージョンだが、
# 実際には対応ずみのバージョンのため、下記オプションを設定する必要がある。
security{
....
#allow_vulnerable_openssl = no
allow_vulnerable_openssl = yes
....
}


# vi clients.conf
# ここはテストがおわったら削除してもよい
client localhost {
ipaddr = 127.0.0.1
secret = testing123
nastype = other # localhost isn't usually a NAS...
}
# ここで認証元のサーバを指定しておく
client MyHomeClient {
ipaddr = 192.168.0.0
netmask = 16
secret = SECRET
}

# ln -s users mods-config/files/authorized

# mkdir mods-config/files/userlist

# vi users
$INCLUDE /usr/local/etc/raddb/mods-config/files/userlist/users.login
$INCLUDE /usr/local/etc/raddb/mods-config/files/userlist/users.eap

# vi mods-config/files/userlist/users.login
foo Auth-Type := PAP , Cleartext-Password := "bar"
hoge Auth-Type := PAP , MD5-Password := "319f4d26e3c536b5dd871bb2c52e3178"

MD5パスワードを利用する場合は
# echo -n PASSWORD | openssl md5
(stdin)= 319f4d26e3c536b5dd871bb2c52e3178

動作テストとしてデバッグモードで立ち上げる
# radiusd -X

別ターミナルからradtestコマンドで試験する
# radtest foo bar localhost 123 SECRET

このとき、radiusd -X の表示がなにもない場合、iptablesなどFWではじかれている可能性がある。
# vi /etc/sysconfig/iptables

  • A INPUT -p udp --dport 1812 -j ACCEPT

デーモンのための設定
ログファイル、PIDファイルの保管場所
# mkdir -p /usr/local/var/log/radius
# mkdir -p /usr/local/var/run/radiusd


起動スクリプトの設置
# cp redhat/freeradius-radiusd-init /etc/init.d/radiusd

# vim /etc/init.d/radiusd
exec=${exec:=/usr/local/sbin/$prog}
config_dir=${config_dir:=/usr/local/etc/raddb}
config=${config:=$config_dir/radiusd.conf}
pidfile=${pidfile:=/usr/local/var/run/$prog/$prog.pid}
lockfile=${lockfile:=/var/lock/subsys/radiusd}


# service radiusd start
# chkconfig radiusd on