В этой статье я расскажу как установить и настроить сервер аутентификации FreeRadius в среде Vmware и pfSense. Мы также заведем аутентификацию беспроводных клиентов на нашем сервере. Давайте сделаем краткую ремарку, как и где может быть полезна аутентификация на RADIUS сервере. В домашнем исполнении, да и в небольшом офисе наверное нет смысла разворачивать сервер аутентификации. Достаточно использовать для доступа к беспроводной сети WPA-2-PSK с шифрованием AES + ключ шифрования длиной в 15 символов, этого будет более чем достаточно. Но как быть если количество пользователей неумолимо растет? А если текучка кадров? Что каждый раз менять ключ шифрования на точке и клиентах? Что если мы имеем дело с доменной инфраструктурой и прежде чем подключиться к домену беспроводной клиент должен быть аутентифицирован в сети? Здесь однозначно нужен другой метод аутентификации. И как раз в таких случаях выбор за RADIUS сервером. Ну что, теперь к делу.

Подключаемся к веб-интерфейсу pfsense и переходим в менеджер пакетов(system-pakages). Находим пакет «FreeRadius» и отмечаем его плюсом справа для установки, пакет скачается и установится.

pakagemanager

После установки приступаем к настройке сервера. Для этого переходим Services-FreeRadius. В настройках RADIUS сервера всего три вкладки: users — пользователи которых нужно аутентифицировать, clients — здесь располагаются аутентификаторы(точки доступа, маршрутизаторы и т. д.) и вкладка settings — настройки сервера. Кратко пробежимся по каждой из вкладок, попутно рассматривая настройки.

Settings, здесь, как можно видеть на рисунке ниже, настраивается интерфейс на котором сервер слушает порт, собственно сам номер порта и логирование событий — успешной либо не успешной аутентификации.

radiusSettings

Clients, в этой вкладке задаются реквизиты аутентификатора: IP адрес, имя(должно совпадать с реальным именем), секретный пароль и необязательное поле — описание.

clientsradius

Users, непосредственно сами пользователи, которых сервер будет аутентифицировать, здесь несколько больше параметров нежели в предыдущих вкладках, обязательные опять-же отмечены жирным цветом, это: имя пользователя(username), пароль(password) и число активных соединений этого пользователя. Те параметры, которые не являются обязательными, о них я тоже сейчас расскажу:
1.IP address — собственно название само за себя говорит, адрес с которого подключается клиент.
2.Expiration — дата завершения действия аккаунта пользователя.
3.Session time- время одной сессии пользователя, через которое происходит переподключение.
4.Online time- время в течении которого пользователь получает доступ к сети(здесь можно указывать дни недели и время в часах и минутах).
5.Description- описание.
6.VLAN ID- идентификатор виртуальной сети.
7.Additional RADIUS options- дополнительные пользовательские опции.

usersradius

Аутентификацию на сервере, как видно из скриншотов выше, будем настраивать по логину и паролю(EAP-PEAP), в доменной среде необходимо использовать метод EAP-TLS, но для его использования должна быть развернута инфраструктура открытых ключей PKI. В случае с EAP-PEAP установка соединения начинается так же как и в EAP-TLS, с открытия зашифрованного сеанса протокола TLC(Transport Layer Security).
Подробней о PEAP можно прочитать в Техническом центре Microsoft:
technet.microsoft.com
Для обеспечения максимальной безопасности в беспроводных сетях аутентификация должна осуществляться в двустороннем режиме: клиент должен доверять сертификату сервера, а сервер доверять сертификату клиента.
Ну что, приступим к настройке конфигурационных файлов. Перейдем к командному интерпретатору, выбрав в консоли управления pfSense пункт меню 8.

pfsenseconsole

Теперь перейдем в каталог с конфигурационными файлами FreeRadius:

console2

Для редактирования настроек используем текстовый редактор, по умолчанию в системе vi, для тех кто испытывает сложности в управлении с этим редактором, можно установить тот с которым вы привыкли работать, например с помощью следующей команды я установлю nano:

# pkg_add -r nano
# rehash

Займемся конфигурацией главного файла настроек сервера «radiusd.conf».
В разделе Modules{ }, есть подраздел mschap { }, в нем нужно раскомментировать/выставить значения на следующие параметры:

use_mppe = yes 
 
require_encryption = yes 
 
require_strong = yes 
 
with_ntdomain_hack = yes

Параметрами выше, мы задействовали сильное шифрование по протоколу mppe и исправили возможные проблемы с аутентификацией windows клиентов. Протокол EAP настраивается в файле «eap.conf».
В разделе eap{} включаем EAP-PEAP:

default_eap_type = peap