Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
wiki:sicherheit:wlan_mit_radius [2012/10/08 14:31] – Externe Bearbeitung 127.0.0.1 | wiki:sicherheit:wlan_mit_radius [2013/03/26 21:21] – [Windows einrichten] wikiadmin | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
====== WLAN-Anmeldung über Radiusserver ====== | ====== WLAN-Anmeldung über Radiusserver ====== | ||
+ | in diesem Tutorial soll beschrieben werden, wie man Zugänge zu WLANs per radius absichern kann | ||
- | Im folgenden Tutorial | + | ====== Installation ====== |
+ | |||
+ | < | ||
+ | |||
+ | ====== Konfiguration ====== | ||
+ | |||
+ | Alle Konfigurationsdateien befinden sich im Verzeichnis ''/ | ||
+ | |||
+ | ===== Gerätekonfiguration ===== | ||
+ | |||
+ | Zunächst muss man dem Radius erklären, welcher WLAN Zugangspunkt überhaupt zugriff gewährt werden soll. Dies geschieht in der Datei '' | ||
+ | |||
+ | <file shell> | ||
+ | client 192.168.0.0/ | ||
+ | secret | ||
+ | shortname | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Dieser Eintrag gewährt allen WLAN Zugrangspunkten mit der Adresse 192.168.0.x Zugang zum Radiusserver. Die Kommunikation von Radius und Accesspoint | ||
+ | |||
+ | Sollten mehrere AccessPoints verwendet werden, kann man diese auch mit separaten Kennworten ansprechen. | ||
+ | |||
+ | <file shell> | ||
+ | client ap1 { | ||
+ | ipaddr = 192.168.0.20 | ||
+ | netmask = 32 | ||
+ | secret = testing_ap1 | ||
+ | } | ||
+ | |||
+ | client ap2 { | ||
+ | ipaddr = 192.168.0.21 | ||
+ | netmask = 32 | ||
+ | secret = testing_ap2 | ||
+ | } | ||
+ | </ | ||
+ | ===== Userkonfiguration ===== | ||
+ | |||
+ | Als nächstes sollte man sich die Datei '' | ||
+ | |||
+ | <file shell> | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | </ | ||
+ | |||
+ | Alle User haben das Passwort geheim. Der User2 kann sich aber nur wochentags von 7:00 - 18:00 anmelden, der User3 an allen Tagen von 10:00 - 17:00. Weitere Attribute findet man unter [[http:// | ||
+ | |||
+ | ===== Zertifikate ===== | ||
+ | |||
+ | Als nächstes muss man die Zertifikate erzeugen, mit denen das am Laptop eingegebene Passwort sicher zum AccessPoint übertragen werden soll. Dazu muss man ins Verzeichnis ''/ | ||
+ | < | ||
+ | |||
+ | Als zweiten Schritt kopiert man sich den Inhalt des Verzeichnises ''/ | ||
+ | |||
+ | ===== Zertifikate generieren ===== | ||
+ | |||
+ | |||
+ | Die Datei ca.cnf stellt die Einstellungen für die Certification Authority dar. Folgende Inhalte sollten nach eigene Wünschen angepasst werden: | ||
+ | |||
+ | <file shell> | ||
+ | [ CA_default ] | ||
+ | default_days | ||
+ | |||
+ | [ req ] | ||
+ | input_password | ||
+ | output_password | ||
+ | |||
+ | [certificate_authority] | ||
+ | countryName | ||
+ | stateOrProvinceName | ||
+ | localityName | ||
+ | organizationName | ||
+ | emailAddress | ||
+ | commonName | ||
+ | </file> | ||
+ | |||
+ | Die gleichen Einstellungen sollte man auch in der Datei '' | ||
+ | |||
+ | Zur Zertifikatserstellung führt man in dem Verzeichnis '' | ||
+ | |||
+ | < | ||
+ | make all | ||
+ | </ | ||
+ | |||
+ | aus. Alle benötigten Dateien werden in dem Verzeichnis erzeugt. Die Datei '' | ||
+ | |||
+ | ===== Zertifikatsbenutzung ===== | ||
+ | |||
+ | |||
+ | Da das Zertifikat mit einem Passwort (testing123) gesichert ist, muss man freeradius dazu bringen, dieses Passwort beim lesen des Zertifikats zu nutzen. | ||
+ | Dazu muss in der Datei '' | ||
+ | |||
+ | ====== Radius testen ====== | ||
+ | |||
+ | Zunächst sollte man sich das Radius Log-file unter ''/ | ||
+ | |||
+ | < | ||
+ | / | ||
+ | freeradius -X | ||
+ | </ | ||
+ | |||
+ | Das Paket radius-utils enthält das sehr nützliche Programm radtest. Mit diesem Werkzeug kann man die Passwortkonfigurationen testen. Benutzt wird es wie folgt: | ||
+ | < | ||
+ | radtest < | ||
+ | </ | ||
+ | In meinem Fall baut sich der Befehlt wie folgt auf | ||
+ | <file bash> | ||
+ | radtest Patrick Geheim 127.0.0.1 1812 testing123 | ||
+ | </ | ||
+ | |||
+ | ====== AccessPoint vorbereiten ====== | ||
+ | |||
+ | Im AccessPoint muss der Verschlüsselungsalgorithmus auf WPA2-Enterprise gestellt werden. Weiterhin muss die IP und der Port des Radiusservers eingetragen werden, sowie das oben definierte Paswort (testing123). | ||
+ | |||
+ | Fertig | ||
+ | |||
+ | ====== Clients einrichten ====== | ||
+ | |||
+ | Zunächst sollte man sich die Datei '' | ||
+ | |||
+ | Auf dem Client muss dieses Installiert werden. Auf Windows XP Systemen muss man den Assistenten nur durchklicken. Bei Windows 7 und 8 muss man den Zertifikatsspeicher manuell auf " | ||
+ | |||
+ | Jetzt muss noch ein Profil für das WLAN erzeugen. In einem Profil stehen alle Daten, die für eine Authentifizierung wichtig sind: | ||
+ | * AccessPoint Name / SSID | ||
+ | * passendes Zertifikat | ||
+ | * Verchlüsselungsalgorithmus | ||
+ | |||
+ | ===== Windows 7 ===== | ||
+ | |||
+ | Zunächst muss man im Netzwerk- und Freigabecenter einen Neue Verbindung oder anderes Netzwerk einrichten | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Im neuen Fenster muss man den netzwerknamen und die Verschlüsselung angeben und auf weiter klicken | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Die Verbindung wurde erfolgreich hinzugefügt. Weiter zu den Einstellungen | ||
+ | {{: | ||
+ | |||
+ | Die Netzwerkauthentifizierung muss auf Geschütztes EAP (PEAP) gestellt werden. Bei einem klick auf Einstellungen kommt man zum nächsten Fenster | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Hier muss man das Serverzertifikat anhacken, das man erstellt und importiert hat. Außerdem muss die Authentifizierungsmethode auf EAP-MSCHAP v2 gestellt werden. Beim Klick auf konfigurieren öffnet sich das nächste Fenster | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Hier muss der Hacken entfernt werden und mit OK bestätigen werden. | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Das Fenster " | ||
+ | |||
+ | Unter Erweiterte Einstellungen kommt man zum nächsten Fenster. Der Authentifizierungsmodus muss auf Benutzer- und Computerauthentifizierung gestellt werden. | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ===== Android ===== | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | |||
+ | ====== SQL-Anbindung und daloRADIUS ====== | ||
+ | |||
+ | |||
+ | [[http:// | ||
+ | |||
+ | |||
+ | ====== Quellen ====== | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
- | Weitere Informationen findet man [[http:// |