Как установить FreeRADIUS на Rocky Linux

FreeRADIUS играет важную роль в управлении службами AAA (Authentication, Authorization, and Accounting) для контроля доступа к сети. Будь то поддержка корпоративных Wi-Fi подключений или аутентификация VPN-логинов, FreeRADIUS входит в число наиболее популярных серверных решений RADIUS с открытым исходным кодом. Его надежность, масштабируемость и гибкость делают его лучшим выбором как для малых предприятий, так и для крупных организаций. Rocky Linux 9, известная своей стабильностью и готовностью к работе на предприятиях, представляет собой исключительную платформу для спокойной работы FreeRADIUS.

RADIUS является важнейшим компонентом при работе с централизованными службами аутентификации и авторизации. Со временем он оказался особенно полезен в средах, требующих стандартизации и безопасности управления пользователями. Использование FreeRADIUS в Rocky Linux 9 обеспечивает доступ к обновлениям и долгосрочным улучшениям, что очень важно для сохранения надежной безопасности и высокой производительности. Системные администраторы часто предпочитают решения с открытым исходным кодом, поскольку они позволяют настраивать систему и получают поддержку от процветающих онлайн-сообществ. В этом руководстве рассматривается все, начиная с предварительных требований к системе и заканчивая расширенными настройками, что обеспечивает прочную основу для инфраструктуры аутентификации любой организации.

Введение

FreeRADIUS — это сервер RADIUS с открытым исходным кодом, предназначенный для выполнения задач аутентификации, авторизации и учета. Он высоко ценится в сетевых кругах и помогает предприятиям централизовать учетные данные пользователей и устройств. Внедрив FreeRADIUS в Rocky Linux 9, администраторы могут легче управлять безопасностью сети, позволяя использовать многоуровневые методы аутентификации, такие как 802.1X, VPN и аутентификация на основе LDAP.

Rocky Linux 9, альтернатива CentOS, созданная сообществом, унаследовала сильный акцент на поддержку и надежность. Эта среда обеспечивает стабильную основу для таких сервисов, как FreeRADIUS, гарантируя минимальное время простоя и надежную защиту данных. Совместимость с SELinux и функциями безопасности Rocky Linux еще больше повышает надежность вашего развертывания AAA. Следуя приведенным ниже инструкциям, новички в FreeRADIUS или системном администрировании смогут создать гибкий и безопасный сервер аутентификации относительно простым способом.

Предварительные условия

Перед установкой FreeRADIUS убедитесь, что выполнены все необходимые условия, чтобы избежать препятствий при настройке:

• Сервер или виртуальная машина под управлением Rocky Linux 9 с надлежащим доступом к сети.
• Привилегии Sudo или root-уровня для внесения общесистемных изменений.
• Базовое понимание командной строки Linux, включая редактирование файлов и управление службами.
• Достаточное количество дискового пространства и памяти для выполнения операций RADIUS, особенно при наличии большой базы данных пользователей.
• Необязательно, но рекомендуется: полное доменное имя (FQDN) для производственных сред.

Подготовка системы

Подготовка системы помогает обеспечить бесперебойную работу во время и после установки. Для начала обновите существующие репозитории пакетов до последних версий. Актуальность пакетов повышает безопасность и стабильность:

sudo dnf update -y

Далее настройте важные параметры, например имя хоста, если вы еще не сделали этого. Установка описательного имени хоста помогает легко идентифицировать сервер:

sudo hostnamectl set-hostname radius-server.example.com

Синхронизация системных часов с сервером NTP, хотя и необязательна, помогает поддерживать последовательность журналов и точные временные метки. Этот шаг можно выполнить, установив и настроив Chrony:

sudo dnf install chrony -y
sudo systemctl enable --now chronyd

Кроме того, проверьте настройки сети, чтобы гарантировать, что сервер может взаимодействовать с клиентскими устройствами и любыми внешними серверами баз данных, если вы планируете использовать MySQL или LDAP на более позднем этапе. Убедитесь, что ваш брандмауэр разрешает входящий трафик на необходимых UDP-портах (1812 для аутентификации, 1813 для учета по умолчанию), что также будет важно для последующих шагов.

Процесс установки

После настройки среды Rocky Linux 9 приступайте к установке FreeRADIUS и сопутствующих пакетов. Официальные репозитории предоставляют простой способ начать работу. Чтобы установить FreeRADIUS, используйте стандартный менеджер пакетов dnf:

sudo dnf install freeradius freeradius-utils -y

Эта команда обычно устанавливает серверное программное обеспечение, различные модули и утилиты. Некоторые дистрибутивы разделяют функциональные возможности на отдельные пакеты, поэтому нелишним будет проверить, какие компоненты вам действительно нужны. Например, если вам требуется поддержка MySQL или LDAP, убедитесь, что вы установили соответствующие пакеты:

sudo dnf install freeradius-mysql freeradius-ldap -y

После установки включите и запустите службу FreeRADIUS:

sudo systemctl enable radiusd
sudo systemctl start radiusd

Убедитесь, что служба запущена:

systemctl status radiusd

Если она показывает «active (running)», вы успешно установили FreeRADIUS на сервер Rocky Linux 9. Если служба не запущена, подсказку могут дать журналы в /var/log/messages, /var/log/radius/ или вывод journalctl -u radiusd. На этом предварительном этапе у вас есть функциональный RADIUS-сервер, но настоятельно рекомендуется выполнить дополнительные шаги по настройке параметров клиента, политик безопасности и методов аутентификации.

Базовая конфигурация

Следующим шагом будет настройка основных параметров для обеспечения безопасной и корректной работы. По умолчанию файлы конфигурации находятся в каталоге /etc/raddb. Понимание этих каталогов очень важно для эффективного управления сервером.

Понимание структуры каталогов

В каталоге /etc/raddb вы найдете такие файлы, как radiusd.conf, clients.conf, а также подкаталоги mods-available, mods-enabled и sites-available. Файл radiusd.conf содержит глобальные конфигурации, в то время как модули или виртуальные хосты включаются путем связывания их из директорий «available» в директории «enabled». Этот подход похож на то, как многие веб-серверы обрабатывают конфигурации сайтов.

Настройка клиентов

В файле clients.conf укажите IP-адреса или диапазоны сетей для устройств, которые будут запрашивать аутентификацию у сервера RADIUS. Для каждого клиента укажите секрет, разделяемый между клиентом и сервером:

client switch-01 {
    ipaddr = 192.168.10.5
    secret = VerySecretKey
    require_message_authenticator = no
}

Замените switch-01 и IP-адрес на значимые значения, соответствующие вашей среде. Для повышения безопасности рекомендуется использовать случайный и сильный секрет.

Редактирование файла Users

Файл users в /etc/raddb/ содержит учетные записи пользователей, сопоставленные с различными методами аутентификации. Чтобы создать пользователя с именем «testuser» и паролем «testpassword», добавьте запись, подобную следующей:

testuser Cleartext-Password := «testpassword»

Эта настройка относится к простейшему сценарию, когда учетные данные хранятся в плоском файле. В последующих разделах будет рассказано, как подключить FreeRADIUS к более надежным системам хранения данных, таким как MySQL или LDAP-каталоги.

Базовые настройки безопасности

Хотя для тестирования может быть удобно использовать минимальные конфигурации, не забывайте с самого начала использовать надежные пароли и секреты. Кроме того, убедитесь, что политики SELinux соблюдаются. Если SELinux блокирует трафик RADIUS, вы можете проверить или изменить контексты с помощью semanage и restorecon, если это необходимо. Хорошо определенная политика брандмауэра, ограничивающая протоколы RADIUS только известными клиентами, еще больше укрепляет безопасность.

Расширенная конфигурация

Хотя аутентификация на основе локальных файлов подходит для небольших развертываний, предприятиям часто требуются более сложные конфигурации с использованием внешних баз данных или служб каталогов. FreeRADIUS поддерживает несколько бэкэндов, что позволяет управлять пользователями в широком масштабе.

Использование MySQL или MariaDB

MySQL или MariaDB часто используется для хранения профилей пользователей, назначений групп и учетных данных. После установки модуля freeradius-mysql создайте выделенную базу данных и пользователя для FreeRADIUS:

CREATE DATABASE radius_db;
CREATE USER 'radius_user'@'localhost' IDENTIFIED BY 'StrongPassword123';
GRANT ALL PRIVILEGES ON radius_db.* TO 'radius_user'@'localhost';
FLUSH PRIVILEGES;

Затем импортируйте стандартные файлы схем, предоставленные FreeRADIUS. Обычно эти файлы находятся в каталоге /etc/raddb/mods-config/sql/main/mysql/schema.sql или в другом месте с аналогичным названием. Затем настройте sql.conf с деталями подключения к базе данных и включите sql в mods-enabled.

Интеграция LDAP

Организации, использующие Active Directory или OpenLDAP для централизованного управления пользователями, могут предпочесть интеграцию LDAP. После установки freeradius-ldap определите данные LDAP-сервера в mods-available/ldap, укажите базовые DN и задайте правильные мандаты привязки. Затем включите модуль, перейдя из mods-available в mods-enabled и указав ссылку на него в sites-enabled/default.

Настройка сертификатов TLS

Для методов EAP (Extensible Authentication Protocol), таких как PEAP или EAP-TLS, вам понадобятся действительные сертификаты TLS. Самоподписанные сертификаты по умолчанию находятся в файле /etc/raddb/certs, но для использования в производственных целях сгенерируйте или приобретите действительные сертификаты в центре сертификации. Обновите eap.conf, чтобы указать на новые сертификаты и ключи для повышения доверия и безопасности.

Усиление безопасности

Поддержание надежной защиты имеет первостепенное значение для сервера RADIUS, поскольку он обычно обрабатывает очень важные учетные данные. Несколько мер снижают риски и повышают глубину защиты.

• Надежные секреты и пароли: Убедитесь, что все секреты клиентов RADIUS и учетные данные базы данных являются случайными и сложными.
• Конфигурация брандмауэра: Ограничьте трафик RADIUS разрешенными подсетями или определенными IP-адресами клиентов с помощью команды firewall-cmd. Например:

sudo firewall-cmd --add-port=1812/udp --permanent
sudo firewall-cmd --add-port=1813/udp --permanent
sudo firewall-cmd --reload

• Политики SELinux: Если SELinux включен, проверьте журналы отказов в /var/log/audit/audit.log и настройте контексты или политики, чтобы разрешить легитимные транзакции RADIUS.
• Блокировка учетных записей: Рассмотрите возможность применения методов блокировки учетных записей или средств обнаружения вторжений для защиты от атак методом грубой силы.
• Частые обновления: Регулярно обновляйте Rocky Linux 9 и FreeRADIUS, чтобы устранить известные уязвимости и обеспечить стабильную работу.

Хорошо защищенная система охраняет не только учетные данные пользователей, но и важнейшие корпоративные ресурсы. Небольшие ошибки в конфигурации или слабая политика паролей могут привести к вторжениям и утечке данных. Регулярно просматривайте журналы, файлы конфигурации и рекомендации по безопасности, чтобы выявить потенциальные угрозы на ранней стадии.

Тестирование и верификация

После завершения начальной настройки логичным следующим шагом будет проверка корректности работы сервера. Утилита radtest — отличный инструмент для тестирования аутентификации. Например:

radtest testuser testpassword 127.0.0.1 0 testing123

Замените testuser, testpassword и секрет testing123 на реальные учетные данные, определенные в вашей конфигурации. Если результат показывает «Access-Accept», базовый поток аутентификации работает.

При устранении ошибок обратитесь к журналам в /var/log/radius/radius.log или используйте режим отладки:

sudo systemctl stop radiusd
sudo radiusd -X

В режиме отладки FreeRADIUS работает в фоновом режиме, выводя подробные данные о каждом запросе. Проверьте все признаки неправильной конфигурации, отсутствия модулей или проблем с подключением к базе данных, а затем внесите соответствующие изменения. Такая тщательная проверка обеспечивает стабильную базовую линию перед началом расширенного или крупномасштабного развертывания.

Примеры интеграции

Универсальность сервера RADIUS делает его применимым для множества различных сетевых служб. Ниже приведены несколько распространенных сценариев интеграции, показывающих, как FreeRADIUS может служить надежной платформой аутентификации.

Интеграция сетевых устройств

Коммутаторы, маршрутизаторы и беспроводные контроллеры часто поддерживают RADIUS для AAA. Настроив параметры RADIUS на устройстве, укажите IP-адрес сервера и соответствующий секрет. Настройте устройство на пересылку запросов аутентификации и учета в экземпляр FreeRADIUS. Этот метод централизованного управления полезен для крупных кампусных сетей.

Беспроводная аутентификация (WPA2-Enterprise)

При настройке Wi-Fi шифрования корпоративного уровня (WPA2-Enterprise) сервер FreeRADIUS проверяет подлинность пользователей с помощью 802.1X. Точки доступа направляют запросы EAP на FreeRADIUS, который проверяет учетные данные в файлах пользователей, базах данных или LDAP, а затем автоматически предоставляет или отказывает в доступе. Этот процесс гарантирует, что неавторизованные устройства не смогут присоединиться к сети.

Интеграция с VPN-сервером

Многие продукты VPN, такие как OpenVPN или решения на базе IPsec, позволяют определить сервер RADIUS для аутентификации пользователей. Направляя запросы на вход в VPN на FreeRADIUS, организации поддерживают единое, централизованное хранилище идентификационных данных, охватывающее как локальный, так и удаленный доступ. Такой последовательный подход упрощает инициализацию пользователей и аудит.

Обслуживание и мониторинг

После достижения стабильной конфигурации регулярное обслуживание и мониторинг позволяют поддерживать бесперебойную работу службы. Последовательно выполняйте следующие задачи:

• Применять обновления: Используйте sudo dnf update по расписанию для защиты от новых уязвимостей. Это также обеспечивает совместимость модулей в более широкой экосистеме Rocky Linux.
• Мониторинг журналов: Следите за журналами FreeRADIUS по адресу /var/log/radius/ на предмет подозрительной активности или повторяющихся ошибок.
• Настройка производительности: Если сервер обрабатывает большие объемы трафика, подумайте о настройке параметров threadpool в radiusd.conf или об оптимизации SQL-запросов. Настройка кэширования может повысить скорость и снизить нагрузку.
• Резервные копии: Регулярно создавайте резервные копии файлов конфигурации и баз данных бэкэнда. Пренебрежение резервным копированием может привести к значительной потере данных в случае сбоя оборудования или повреждения файлов из-за неправильной конфигурации.

Организованная стратегия обслуживания позволяет предотвратить разрастание мелких проблем. Например, игнорирование предупреждений журнала об ошибках аутентификации может быть признаком атаки методом «грубой силы». Регулярные проверки обеспечивают надежность инфраструктуры AAA вашей организации и предупреждают администраторов о возникающих угрозах или проблемах с пользователями.

Руководство по устранению неполадок

Общие сообщения об ошибках

Сообщения об ошибках типа «Cannot find a config item» или «Module not found» обычно означают отсутствие или неработоспособность модуля в mods-enabled. Убедитесь, что он правильно подключен к mods-available и что установлены зависимости.

Режим отладки

Запуск FreeRADIUS в режиме отладки (radiusd -X) выводит подробные журналы, которые проясняют процесс аутентификации. Этот подход рекомендуется для диагностики сложных сбоев входа в систему или ошибок загрузки модулей.

Анализ журналов

Просмотрите журналы в /var/log/radius/ или используйте journalctl -u radiusd, чтобы найти детали ошибок. Как правило, в журналах указываются неверные секреты, недействительные сертификаты или ссылки на несуществующих пользователей.

Шаги по устранению

После выявления причины перепроверьте clients.conf, определения пользователей или учетные данные SQL/LDAP. Перезагрузите или перезапустите службу FreeRADIUS, чтобы проверить, устранило ли это исправление проблему:

sudo systemctl restart radiusd

Поздравляем! Вы успешно установили FreeRADIUS. Для получения дополнительной или полезной информации мы рекомендуем вам посетить официальный сайт FreeRADIUS.