grabb Posted November 14, 2011 Posted November 14, 2011 Доброе вемя суток увожаемые форумчане! Срочно нужна ваша помошь! Учителем поставлена задача: 1. Имеется: - Win Server 2008: на нем домен с юзверями - точка доступа D-Link(c настройками разобрался) 2. Надо: -установить Ubuntu 10.04 (сделано!) - нанем установить OpenLdap, FreeRadius2 - с помощью этой беды настроить раздачу интернета для учинеков. при этом часть юзеров берется из Ldap, часть из Active Directory Вопросы: - есть ли для моего случая актуальный мануал? - что мне требуется еще кроме вышеуказаного(DNS, Kerberos, Samba)? - какова очередность установки (если это вобще актуально)? - как организовать учет трафика? - поможете ли вы мне? надеюсь на вас Форумчане и уповаю!! чувствую покусывания паники на мягком месте 8-( Вставить ник Quote
Ivan_83 Posted November 15, 2011 Posted November 15, 2011 Нет мануалов. Есть мануал по инструментам, с помощью которых решается задача. Само решение задачи - творческий процесс, хотя и формализированный. Полагаю смысл задания - освоить работу с радиусом и авторизацию 802.1x. Ставится фрирадиус, к нему вяжется точка доступа. Дальше на фрирадиусе настраиваете откуда проверять юзер/логин, и соответственно выдавать accept/reject (пусть через вайфай/посылать). Если точка сильно хороша, может там есть аккаунтинг - его отдельно в фрирадиусе настроить и через него будете узнавать кто сколько скачал. Если нет - будете собирать на роутере другими средствами. Кроме того, вам нужен будет дхцп сервер, для раздачи настроек подключённым клиентам, днс сервер-ресолвер/кеш, хотя можно отдавать публичный типа 8.8.8.8 и тоже будет работать. Возьмите dnsmasq там и днс и дхцп есть, настроек не много. На убунте его поставите и сделаете из неё роутер. В иптаблес настроите нат. Включите ротинг/форвандинг в ситеме. Из 2к8 можно брать по лдап а можно на 2к8 поднять IAS - это тот же радиус, и гонять запросы на него. Собственно, самое сложное, ИМХО, это настроить фрирадиус для связи с лдап и 2к8. unlang вам в помощь :) - примеры есть в самом фрирадиусе, папке сайтесаваибл. Пугаться кучи файло там не нужно, реально нужно radiusd.conf и то на что он ссылается, по дефолту там всё что только можно включено и вывод freradius -XXXxxx даёт километровую портянку с которая только в ужас и приводит :) Огласите бюджет! Доставайте зачётку, все вместе будем получать зачОт :) Вставить ник Quote
grabb Posted November 15, 2011 Author Posted November 15, 2011 (edited) доброго вам вечера!! спасибо за быстрые ответы. Огласите бюджет! за стоящую информацию могу подарить бутылку коньяка (греческого) :-) денег нет - так как студент :-( но зачет могу на всех поделить :-) да и готового решения не ищю так как хочеся понять как эта фигня работает... основная проблемма скрыта в плохом знании (читай незнании) англицкого языка... Ivan_83 спасибо большое за вашу помощь, но теперь появилось еще больше вопросов 8-о вы все правельно поняли, основная задача освоить работу радиуса и лдап, ну и как я теперь понял днс и дхцп и т.п. с общей работай радиуса как протокола я как мог разобрался, лдап тоже, все в общих чертах. если я правильно понял то dhcp мне нужен для раздачи ip-адресов юзерам, для каких целей мне нужен днс? радиус сервер и лдап будут на одной машине, можно ли их по по локалхосту связать? мне очень стыдно но что такое 2к8? хотелось бы все сделать как можно прозрачней для учеников: вобчем потключился к АР -> выскочило окошко (ну или открылась страничка) с полями для ника и пароля, задал -> ты уже в сети. вобщем без установки сертификатов... в этой связи подумывал о PEAP-EAP-TLS. будет ли этот протокол работать с Active Directory? сразу скажу что мое первое знакомство с линуксом состоялось примерно 4 месяца назад, так что сильно не судите... препод научил только как файлы из папки в папку копировать и раздал задачи вот теперь бьюсь.... кстати моя точка доступа: D-Link DWL-G700AP Edited November 15, 2011 by grabb Вставить ник Quote
Ivan_83 Posted November 15, 2011 Posted November 15, 2011 dhcp выдаёт не только ип адреса, он может выдавать всё что нужно для работы в сети. днс - почитайте для чего он вообще. Можно указать чужой, например провайдера, главное чтобы он делал рекурсию. 2к8 = виндовс 2008. к=1000, м=1 000 000..., общепринятые соглашения. PEAP-EAP-TLS - будет спрашивать пароль при подключении к вайфаю, никаких вебстраниц. Веб страницы - это искать в гугле "хотспот", и здесь в разделе вайфая, были какие то комбайны где всё в одном. Читайте ещё раз прошлый пост: будет, для поигратся можно в винде IAS поднять (это радиус виндовый), прописать его в точке и пробовать, в винде должно авторизовывать. Вам нужно будет через фрирадиус запросы проксировать либо в лдап гнать, в зависимости от того что юзер введёт. В последней родной прошивке: Version: v2.13 Firmware Date: Fri, 30 Mar 2007 работа с радиусом есть, называется просто WPA. Вставить ник Quote
grabb Posted January 25, 2012 Author Posted January 25, 2012 Здравствуйте так вот мой маленький отчет а потом куча вопросов(как всегда) 1. Установил DNS-DHCP 2. Установил и настроил LDAP в связке с Samba (NT-Password и тд) 3. Установил и частично настроил Freeradius 2.0 * Подключил LDAP, соединение защищено TLS. * Под ключил и настроил Точку доступа. * для защиты соединения выбрал PEAP-EAP-MSCHAPv2(Требуется только серверный сертификат) Прочитал все что можно было про зашиту подключения, но ничего ненашол про о общее устройство FREERADUS... Про то что он делает куча информации, но про то КАК практически не чиго нет... Ни на Русском ни на немецком, а аглицкий я нЭможу... Точнее что меня интересует: * Например каккая связь существует между eap.conf, ../sites-enabled/default и /sites-enabled/inner-tunnel * Каким местом к этому всему относится proxy.conf * Что это за виртуальные сервера такие? * ........ Еще один вопрос можно ли RADIUS так настроить чтобы он сначала Юзера в LDAP искал а потом при ненахождении соединялся с AD... идея была от Ivan_83 , вобщем чтоб FREERADIUS в этом случае служил как прокси-сервер, а на 2k8 поднять IAS и настроить на прием пакетов..... Неимею даже понятия где и как это настраивается.... ну и наконец, Как включить гогирование в MYSQL: вобщем в ДБ дожно записыватся какой юзер под каким IP в какое время заходил.... Надеюсь ктонибудь поможет а то здавать 01.02. Спасайте мужики!! Спаибо Вставить ник Quote
s.lobanov Posted January 25, 2012 Posted January 25, 2012 К провайдингу эта тема имеет какое отношение? Лучше сходите на opennet, lor и т.п., там как раз большинство админов таким офисным говном и занимаются - всякие samba, ad, сквиды под офис и прочее. Вставить ник Quote
Ivan_83 Posted January 26, 2012 Posted January 26, 2012 sites-enabled - читайте основной конфиг фрирадиуса. С этой папки он берёт конфиги и делает то что в них написано, туда предполагается ложить конфиги для виртуальных серверов. В дефаулт - просто скидана куча всего сразу и всё, я его херю чтобы не засорял вывод при отладке километровыми портянками ненужных сервисов. Виртуальные сервера - это для того чтобы можно было разные радиус фичи одновременно поднять, или те же радиус/аккаунтинг сервера на разные порты/интерфейсы с разными настройками посадить. С логами в базе - не уверен, я видел только селекты, но и не искал в этом направлении. Читайте конфиги - там очень много коментов, фактически вся документация там. Вставить ник Quote
grabb Posted January 26, 2012 Author Posted January 26, 2012 Уменя огромная проблема!! Я в английском не_взуб_ногой! :-( По немецки без проблем а вот энглиш ни как... Я уже понял что все в коментариях стоит, но...... Пытался уже и googleм переводить но один фиг не въежаю... я тут вычитал что /sites-enabled/inner-tunnel иcпользуется только для TTLS, a /sites-enabled/default для TLS я использую PEAP-EAP-MSCHAPv2 связку еще вычитал что при ипользовании PEAP трафик всеравно загоняется в TLS-тунель только мне теперь ненужен сертификат клиента (только сервера) настраивал по http://www.lissyara.su/articles/freebsd/security/wpa2_radius+eap-tls_eap-peap/ только минимально переделал /usr/local/etc/raddb/eap.conf ################################## default_eap_type = peap ........ tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = SERVERPASSWORD private_key_file = ${certdir}/server.name.local.pem certificate_file = ${certdir}/server.name.local.pem CA_file = ${cadir}/root.pem dh_file = ${certdir}/dh random_file = ${certdir}/random } peap { default_eap_type = mschapv2 } #################### /usr/local/etc/raddb/modules/mschap ################################### mschap { use_mppe = yes require_encryption = yes require_strong = yes with_ntdomain_hack = yes } ##################################### /usr/local/etc/raddb/sites-available/default #################################### authorize { ......... # suffix ntdomain # если правельно понимаю здесь подклучается нижестоящий реалм ......... } ################################### /usr/local/etc/raddb/modules/realm # где-то вычитал что здесь отсекается домен или имя компьютера #################################### realm ntdomain { format = prefix delimiter = "\\" } ################################### /usr/local/etc/raddb/proxy.conf # Дагадываюсь что это работает в паре с предыдущим, вобщем здесь все запросы с отсеченым Доменом(комп-именем) отправляются к радиусу ################################## realm DEFAULT { type = radius authhost = LOCAL accthost = LOCAL } ################################### также гдето вычитал что сертификат сервера передается клиенту при первом подключении, чего у меня не произошло... С данными настройками мог подключится (win7) только при отключении проверки сертификата на клиенте... Также тут чьи-то мысли в слух на эту же тему http://admin.ashl1.ru/2011/08/wifi-80211i-wpa2-enterprise-radius.html Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.