Cấu hình máy chủ Ubuntu RADIUS với freeRADIUS
Ubuntu Server là một trong những bản phân phối Máy chủ Linux mã nguồn mở phổ biến nhất. Nó ổn định và đáng tin cậy hơn các bản phân phối Linux khác. Vì vậy, ứng dụng cấp doanh nghiệp có thể được lưu trữ trên Ubuntu Server. Ubuntu RADIUS Server được sử dụng phổ biến để xác thực từ xa và chủ yếu được sử dụng với ứng dụng RAIDUS mã nguồn mở miễn phíRADIUS.
freeRADIUS là một trong những ứng dụng AAA (Ủy quyền, Xác thực và Kế toán) phổ biến và mạnh mẽ nhất. Bất kỳ doanh nghiệp nào (đặc biệt là công ty ISP) đều có thể sử dụng giải pháp freeRADIUS cho AAA và có thể phát triển hệ thống thanh toán. freeRADIUS có thể dễ dàng cài đặt và cấu hình trong Ubuntu Linux Server và có thể được sử dụng làm Ubuntu RADIUS Server.
Trong bài viết trước của tôi, tôi đã thảo luận về cách cài đặt Ubuntu Linux Server với LVM và trong bài viết này, tôi sẽ thảo luận về cách cài đặt và định cấu hình freeRADIUS daemon trong Ubuntu Linux Server và cách sử dụng Ubuntu RADIUS Server với freeRADIUS.
cài đặt freeRADIUS trong Ubuntu Server
gói freeRADIUS có sẵn trong kho lưu trữ gói Ubuntu Server. Tại thời điểm viết bài này, phiên bản có sẵn của freeRADIUS là freeRADIUS 3. Bạn có thể tìm thấy phiên bản có sẵn hiện tại bằng lệnh sau.
# sudo apt search freeradius
Với lệnh trên, bạn sẽ tìm thấy rất nhiều gói freeRADIUS có sẵn trong Kho lưu trữ Ubuntu. Trong số các gói này, ban đầu chúng tôi sẽ chỉ cài đặt gói freeradius và freeradius-utils cơ bản.
Đưa ra lệnh sau để cài đặt các gói cơ bản freeRADIUS trong Ubuntu Server.
# sudo apt install freeradius freeradius-utils -y
Trong vòng vài lần, trình nền freeRADIUS sẽ được cài đặt trong Máy chủ Ubuntu của bạn. Bạn có thể xác minh cài đặt freeRADIUS trong Ubuntu Server bằng lệnh sau.
# sudo apt list –installed | grep freeradius
Quản lý dịch vụ freeRADIUS trong Ubuntu Server
Dịch vụ freeradius sẽ được khởi động theo mặc định sau khi cài đặt gói freeradius. Chúng ta có thể thấy trạng thái của dịch vụ freeradius bằng lệnh sau.
Bây giờ chúng ta sẽ thấy rằng dịch vụ freeradius đang hoạt động và đang chạy. Để làm cho nó tự khởi động khi Ubuntu Server khởi động lại, hãy ra lệnh sau.
Chúng tôi cũng có thể bắt đầu hoặc khởi động lại dịch vụ freeradius bằng hai lệnh sau.
# sudo systemctl start freeradius
# sudo systemctl restart freeradius
Nếu chúng tôi cần dừng dịch vụ freeradius vì bất kỳ lý do gì, chúng tôi có thể đưa ra lệnh sau.
Kiểm tra Cài đặt RADIUS miễn phí và Cấu hình mặc định
Để kiểm tra và gỡ lỗi cài đặt và cấu hình freeRADIUS cũng như gửi và nhận dữ liệu freeRADIUS, chúng ta có thể chạy freeRADIUS ở chế độ gỡ lỗi. Để chạy freeradius dưới dạng chế độ gỡ lỗi trong Ubuntu Server, hãy đưa ra lệnh sau nhưng đảm bảo rằng dịch vụ freeradius đã dừng.
Với lệnh trên, bạn sẽ tìm thấy đầu ra sau ở phía dưới, điều đó có nghĩa là máy chủ của bạn đã sẵn sàng chấp nhận yêu cầu xác thực, ủy quyền và kế toán NAS.
Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Listening on auth address * port 1812 bound to server default
Listening on acct address * port 1813 bound to server default
Listening on auth address :: port 1812 bound to server default
Listening on acct address :: port 1813 bound to server default
Listening on proxy address * port 54279
Listening on proxy address :: port 52868
Ready to process requests
Cho phép Cổng RADIUS trong Tường lửa
Từ lệnh trên, bạn có thể thấy rằng freeradius đang lắng nghe yêu cầu auth (Ủy quyền và Xác thực) trên cổng UDP 1812 và yêu cầu acct (Kế toán) trên cổng UDP 1813. Vì vậy, chúng tôi phải tiếp tục cho phép các cổng UDP này trong tường lửa đã cài đặt của mình trong Máy chủ Ubuntu. Vì tôi yêu thích trình nền Firewalld để tạo tường lửa trong Ubuntu Server, nên tôi đang trình bày cách kích hoạt các cổng UDP này trong dịch vụ tường lửa. Nếu bạn sử dụng bất kỳ daemon tường lửa nào khác, hãy sử dụng dịch vụ đó để cho phép hai cổng UDP này.
Đưa ra lệnh sau để cho phép các cổng này trong dịch vụ tường lửa (trên vùng chung, nếu bạn có bất kỳ vùng nào khác, hãy bật các cổng này trên vùng đó nếu cần).
# sudo firewall-cmd –zone=public –add-port=1812/udp
# sudo firewall-cmd –zone=public –add-port=1813/udp
freeRADIUS Server Cấu hình cơ bản trong Ubuntu Server
Bây giờ chúng ta sẽ thực hiện cấu hình cơ bản FreeRADIUS bao gồm máy khách RADIUS (NAS) và cấu hình Người dùng RADIUS. Trong Ubuntu FreeRADIUS Server, tất cả các tệp cấu hình được đặt trong thư mục /etc/freeradius/version_number . Vì vậy, hãy vào thư mục này và mở tệp client.conf.
# cd /etc/freeradius/3.0/
# vim clients.conf
Trong tệp này, ứng dụng khách RADIUS mặc định có tên localhost được định cấu hình theo mặc định cho mục đích thử nghiệm. Vì vậy, chúng tôi sẽ sử dụng ứng dụng khách này để kiểm tra cấu hình FreeRADIUS. Cấu hình mặc định của máy khách localhost trông giống như các dòng sau.
client localhost {
ipaddr = 127.0.0.1
secret = testing123
require_message_authenticator = no
nas_type = other
}
Tương tự, chúng ta có thể thêm các thiết bị NAS khác như Bộ định tuyến MikroTik, Bộ định tuyến Cisco, v.v. Chúng ta sẽ thảo luận về cách thêm thiết bị NAS vào tệp cấu hình máy khách trong các hướng dẫn sắp tới. Bây giờ chúng tôi sẽ thêm người dùng thử nghiệm của mình vào FreeRADIUS Server.
Theo mặc định, người dùng sẽ được ủy quyền và xác thực từ tệp người dùng trong FreeRADIUS Server. Vì vậy, hãy mở tệp người dùng nằm trong thư mục này và thêm người dùng bob sau vào đầu tệp này. Ngoài ra, hãy đảm bảo rằng dòng thứ hai và thứ ba được thụt lề bởi một ký tự tab.
Framed-IP-Address = 192.168.10.10,
Reply-Message = “Hello, %{User-Name}”
Trong thông tin người dùng ở trên, dòng đầu tiên chứa thông tin ủy quyền và xác thực là tên người dùng và mật khẩu, và dòng còn lại chứa AVP ( Cặp giá trị thuộc tính ) sẽ được trả về khi người dùng được xác thực.
Cấu hình cơ bản của FreeRADIUS đã hoàn tất. Bây giờ là lúc để kiểm tra cấu hình. FreeRADIUS cung cấp các công cụ radtest và radclient để kiểm tra người dùng và cấu hình của nó. Chúng tôi sẽ sử dụng công cụ radclient để kiểm tra người dùng bob của chúng tôi.
Vì vậy, hãy tải lại trình nền freeradius và đưa ra lệnh radclient sau đây và quan sát đầu ra của lệnh này.
Sent Access-Request Id 10 from 0.0.0.0:60243 to 127.0.0.1:1812 length 43
User-Name = “bob”
User-Password = “password”
Cleartext-Password = “password”
Received Access-Accept Id 10 from 127.0.0.1:1812 to 127.0.0.1:60243 length 38
Framed-IP-Address = 192.168.10.10
Reply-Message = “Hello, bob”
Đầu ra ở trên của lệnh radclient đang hiển thị cách yêu cầu xác thực được gửi đến máy chủ Radius và cách phản hồi được gửi đến máy khách Radius.
Vì vậy, Máy chủ RADIUS Ubuntu với freeRADIUS hiện đã sẵn sàng chấp nhận yêu cầu máy khách Radius (NAS) và gửi phản hồi tới NAS. Trong bài viết tiếp theo, chúng ta sẽ tìm hiểu cách thêm Bộ định tuyến MikroTik làm thiết bị NAS của Máy chủ RADIUS miễn phí và người dùng hệ thống RouterOS được xác thực từ Máy chủ RADIUS Ubuntu.
Cách cài đặt và cấu hình freeRADIUS Server trong Ubuntu Server đã được thảo luận trong bài viết này. Tôi hy vọng, bây giờ bạn sẽ có thể cài đặt và định cấu hình Máy chủ RADIUS miễn phí trong Máy chủ Ubuntu. Tuy nhiên, nếu bạn gặp phải bất kỳ vấn đề nào khi cài đặt và thực hiện cấu hình cơ bản của freeRADIUS Server, vui lòng thảo luận trong nhận xét hoặc liên hệ với tôi từ trang Liên hệ .