FreeRADIUS – це потужний і широко використовуваний сервер RADIUS (Remote Authentication Dial-In User Service) з відкритим вихідним кодом, що забезпечує централізоване управління аутентифікацією, авторизацією та обліком (AAA) для доступу до мережі. Завдяки широкому набору функцій, гнучкості та масштабованості FreeRADIUS став основним рішенням для багатьох організацій, які прагнуть забезпечити безпеку своїх мереж.
Попередні умови
Перш ніж ми приступимо до процесу встановлення, переконайтеся, що у вас є такі необхідні умови:
- Сервер під управлінням однієї з таких операційних систем: Fedora 40.
- Рекомендується використовувати свіжу інсталяцію ОС, щоб запобігти можливим проблемам.
- Для виконання команд вам знадобиться доступ до терміналу. Fedora надає для цього додаток Terminal. Його можна знайти в меню «Додатки».
- Стабільне інтернет-з’єднання для завантаження необхідних пакетів.
- Некореневий користувач sudo або доступ до кореневого користувача. Ми рекомендуємо використовувати не root-користувача sudo, оскільки при необережному поводженні з правами root ви можете пошкодити систему.
Встановлення FreeRADIUS на Fedora 40
Крок 1. Оновіть систему.
Щоб процес інсталяції пройшов гладко, переконайтеся, що ваша система Fedora 40 оновлена. Відкрийте термінал і виконайте таку команду:
sudo dnf clean all
sudo dnf updateКрок 2. Увімкніть RPM Fusion.
Щоб почати процес встановлення, спочатку потрібно увімкнути репозиторії RPM Fusion у системі Fedora 40. Ці репозиторії містять додаткові пакети, необхідні для FreeRADIUS. Відкрийте термінал і виконайте такі команди:
sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm
sudo dnf install https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpmПісля увімкнення репозиторіїв оновіть систему, щоб переконатися в наявності останніх пакетів:
sudo dnf updateКрок 3. Встановлення FreeRADIUS на Fedora 40.
Тепер, коли вашу систему оновлено, ви можете приступити до встановлення основних пакетів FreeRADIUS і додаткових модулів. Виконайте таку команду:
sudo dnf install freeradius freeradius-utils freeradius-ldap freeradius-mysql freeradius-postgresqlЦя команда встановить основний сервер FreeRADIUS, утиліти та модулі для інтеграції з LDAP, MySQL і PostgreSQL.
Крок 4. Налаштування FreeRADIUS.
Після завершення встановлення необхідно налаштувати FreeRADIUS відповідно до вимог вашої мережі. Основний файл конфігурації знаходиться за адресою /etc/raddb/radiusd.conf. Відкрийте цей файл за допомогою зручного текстового редактора:
sudo nano /etc/raddb/radiusd.confПерегляньте налаштування і внесіть необхідні зміни, наприклад, вкажіть IP-адресу і порт, на якому має прослуховуватися FreeRADIUS. Збережіть файл і вийдіть із редактора.
Далі налаштуйте віртуальний сервер за замовчуванням, відредагувавши файл /etc/raddb/sites-available/default. Цей файл визначає політики аутентифікації та авторизації для клієнтів RADIUS. Налаштуйте параметри відповідно до налаштувань вашої мережі та збережіть зміни.
Щоб вказати клієнтів RADIUS (мережеві пристрої), яким дозволено надсилати запити на аутентифікацію на сервер FreeRADIUS, відредагуйте файл /etc/raddb/clients.conf. Додайте IP-адреси або мережеві діапазони ваших клієнтів і призначте загальний секрет для безпечного зв’язку.
Крок 5. Генерація SSL-сертифікатів.
Для забезпечення безпечного зв’язку між FreeRADIUS і мережевими пристроями рекомендується використовувати шифрування SSL/TLS. Згенеруйте самопідписаний SSL-сертифікат, виконавши таку команду:
sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/raddb/certs/server.key -out /etc/raddb/certs/server.pem -days 365 -nodesВкажіть запитувану інформацію, таку як країна, штат, організація та загальне ім’я, щоб згенерувати сертифікат.
Далі налаштуйте FreeRADIUS на використання згенерованого сертифіката, відредагувавши файл /etc/raddb/mods-enabled/eap. Відкрийте та змініть такі рядки:
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pemКрок 6. Налаштування методів аутентифікації.
FreeRADIUS підтримує різні методи аутентифікації, що дає змогу інтегрувати його з наявними базами даних користувачів або системами аутентифікації. Давайте розглянемо кілька поширених методів аутентифікації.
Локальна автентифікація користувачів
Для аутентифікації користувачів за локальним файлом можна використовувати файл користувача, розташований за адресою /etc/raddb/users. Додайте записи про користувачів у такому форматі:
username Cleartext-Password := "password"Замініть ім’я користувача та пароль на потрібні облікові дані. Збережіть файл після додавання записів користувачів.
Аутентифікація за LDAP
Якщо у вас є наявний LDAP-сервер, ви можете налаштувати FreeRADIUS на аутентифікацію користувачів за ним. Спочатку переконайтеся, що модуль freeradius-ldap встановлено. Потім відредагуйте файл /etc/raddb/mods-available/ldap, щоб вказати дані вашого LDAP-сервера, такі як URL сервера, базовий DN і мандати прив’язки.
Відкоментуйте та змініть такі рядки:
server = "ldap://your-ldap-server.com"
base_dn = "dc=example,dc=com"
bind_dn = "cn=admin,dc=example,dc=com"
bind_password = "your-bind-password"Замініть заповнювачі на інформацію про ваш реальний LDAP-сервер. Збережіть зміни та створіть символічне посилання для ввімкнення модуля LDAP:
sudo ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/
Аутентифікація за базою даних (MySQL/PostgreSQL)
FreeRADIUS також може аутентифікувати користувачів за базою даних, наприклад MySQL або PostgreSQL. Щоб налаштувати аутентифікацію за базою даних, виконайте такі дії:
- Встановіть сервер бази даних (MySQL або PostgreSQL) на систему Fedora 40.
- Створіть базу даних RADIUS і необхідні таблиці, використовуючи надані файли схем у каталозі /etc/raddb/mods-config/sql/main/.
- Відредагуйте відповідний конфігураційний файл (/etc/raddb/mods-available/sql), щоб вказати деталі підключення до бази даних, як-от ім’я хоста сервера, ім’я бази даних, ім’я користувача та пароль.
- Увімкніть модуль SQL, створивши символічне посилання:
sudo ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/Крок 7. Запуск служби FreeRADIUS.
Щоб запустити службу FreeRADIUS і ввімкнути її автоматичний запуск під час завантаження системи, виконайте такі команди:
sudo systemctl start radiusd
sudo systemctl enable radiusdПереконайтеся, що служба успішно працює, перевіривши її стан:
sudo systemctl status radiusdКрок 8. Тестування аутентифікації.
Щоб перевірити функціональність аутентифікації сервера FreeRADIUS, можна скористатися утилітою radtest. Виконайте таку команду, замінивши ім’я користувача і пароль на дійсні облікові дані:
radtest username password localhost 0 testing123Якщо аутентифікація пройшла успішно, ви повинні побачити повідомлення «Access-Accept» у вихідних даних.
Вітаємо! Ви успішно встановили FreeRADIUS. Для отримання додаткової або корисної інформації ми рекомендуємо вам відвідати офіційний сайт FreeRADIUS.
