Content
Dateianzeige für freeradius (1.0.5)
usr/share/doc/freeradius/freeradius.txtfreeradius - package for eisfair
================================
FreeRadius Version: 2.1.10
==== for english documentation scroll down ======
FreeRADIUS
(c) Stephan Manske
Einleitung
RADIUS (Akronym fuer Remote Authentication Dial-In User Service,
Authentifizierungsdienst fuer sich einwaehlende Benutzer) ist ein
Client-Server-Protokoll, das zur Authentifizierung, Autorisierung
und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen
in ein Computernetzwerk dient. (Momentan unterstuetzt das freeradius Paket
kein Accounting.)
Ein Radiusserver bietet zusammen mit einem passenden AccessPoint und
entsprechender Client-Software (zumeist in aktuellen Betriebssystemen integriert)
eine 802.1X Authentifikation. Es koennen verschiedene Authentifikationsmethoden
konfiguriert werden, z.B. EAP/TLS oder PEAP.
Einsatz im WLAN
Ein Hauptzweck des freeradius Paketes duerfte der Einsatz in einem WLAN sein.
Klassischerweise wird dafuer mittels WPA-PSK oder WPA2-PSK (pre-shared-key)
ein fuer alle Nutzer einheitliches Passwort, ein sogenanntes "gemeinsames Geheimnis"
verwendet.
Damit muss bei Aenderungen oder dem Ausscheiden eines Nutzer das Passwort veraendert
und allen Nutzern neu mitgeteilt werden. Zudem wird zumeist empfohlen, die
vollen moeglichen 63 bzw. 64 Zeichen fuer das Passwort auszunutzen.
Die Alternative besteht nun darin, nicht allen das gleiche Passwort zu geben,
sondern mittels RADIUS individuelle Benutzer/Kennwort-Kombinationen zu verteilen
oder gleich auf ein komplett Zertifikat-gestuetztes System umzustellen:
WPA(2) Enterprise.
Terminologie
Diese Dokumentation und die Konfigurationsdatei verwendet folgende Terminologie:
Der Serverdienst, also der zentrale und damit fuer verschiedene Anmeldedienste
einheitliche Authentifizierungsserver, laeuft auf dem Eisfair-Rechner.
Die Nutzer, die sich an einem Netzwerk (etwa einem WLAN oder einem VPN) anmelden
wollen, werden als User oder Supplicanten (Bittsteller) bezeichnet.
Zwischen User und Server steht ein sog. Client oder Authenticator, der die
Anfrage des Users entgegennimmt und beim Server auf Port 1812 um die
Authentifizierung anfragt. Der RADIUS-Server uebernimmt dann fuer den Client
die Authentifizierung, das heisst die Ueberpruefung von Benutzername und Kennwort
(PEAP)oder per User-Zertifikat.
Fuer ein WLAN uebernimmt diese Aufgabe ein dazu faehiger AccessPoint. Grundsaetzlich
kann aber jedes IEEE 802.1X unterstuetzende Geraet von dem Server bedient werden
(z.B. ein Switch fuer den Zugang zu einem LAN).
Weitergehende Information finden sich z.B. unter
http://de.wikipedia.org/wiki/IEEE_802.1X
http://en.wikipedia.org/wiki/IEEE_802.1X
Zertifikate / PKI
Fuer die Absicherung der Kommunikation zwischen Server, Client und User wird eine
Public-Key-Infrastruktur mittels openssl aufgebaut.
Dazu wird eine Zertifizierungsstelle (Certificate Authority, CA) generiert, mit
deren Zertifikat (CA cert) im weiteren die Zertifikate fuer den RAIDIUS server
(Server Cert) und ggf. die Nutzer (User Cert) unterschrieben werden.
Vorraussetzungen
Das freeradius Paket benoetigt die folgenden Pakete:
* libssl
* libltdl
* perl
* ein beliebiges Mail Paket, wenn die entsprechenden Funktionen genutzt
werden sollen
Installation
Das freeradius -Paket wird ueber das Setup-Menue im Untermenue ''Package
administration'' installiert. Wird eine aeltere Package-Version
vorgefunden, so wird deren Konfiguration und vorhandene Zertifikate gesichert
und das alte Paket deinstalliert bevor die neuen Programmdateien installiert
und die Konfiguration und die Zertifikate uebernommen werden.
Bei einer Neuinstallation wird automatisch die default-Konfiguration
erstellt. Nach Beendigung diese Schrittes werden die
Konfigurationsdateien generiert und der radiusd Daemon gestartet.
Die Konfigurationsdatei
In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind
die in den folgenden Unterabschnitten beschriebenen Parameter
vorhanden.
Allgemeine Konfiguration
START_FREERADIUS
Ueber diese Variable kann gesteuert werden, ob der FreeRADIUS server
gestartet werden soll, oder nicht.
Standardeinstellung: START_FREERADIUS='no'
Zertifikations-Einstellungen
FREERADIUS_CERT_COUNTRY
country code fuer alle Zertifikate, z.B. DE, FR, GB oder US
Standardeinstellung: FREERADIUS_CERT_COUNTRY='DE'
FREERADIUS_CERT_ORGNAME
Name der Organisation, die den RADIUS betreibt. Diese Einstellung wird
die CA, den Server und die User Zertifikate einheitlich benutzt.
Standardeinstellung: FREERADIUS_CERT_ORGNAME='myName EIS'
FREERADIUS_CERT_MAIL
Kontakt-Adresse fuer das CA und Server Zertifikat
Standardeinstellung: FREERADIUS_CERT_MAIL='admin@mail.example'
FREERADIUS_CERT_MAILME
Sollen neu erzeugte Zertifikate (CA, Server, User) an die in
FREERADIUS_CERT_MAIL angegebene Adresse gemailt werden?
Standardeinstellung: FREERADIUS_CERT_MAILME='yes'
FREERADIUS_CERT_CA_NAME
Name der CA fuer die RADIUS PKI - unterschreibt alle anderen Zertifikate
Standardeinstellung: FREERADIUS_CERT_CA_NAME='my Home Radius CA'
FREERADIUS_CERT_SERVER_NAME
Name des Servers (ist unabhaengig von Host/Domain-Namen!)
Standardeinstellung: FREERADIUS_CERT_SERVER_NAME='my Home Radius'
FREERADIUS_CERT_CA_TIME
Lebensdauer des CA Zertifikats in Tagen - sollte relativ lang gewaehlt
werden, da ein neues Zertifikat ueber einen gesicherten Kommunikationsweg
an alle Nutzer verteilt werden muss.
Standardeinstellung: FREERADIUS_CERT_CA_TIME_CA='3650' (10 Jahre)
FREERADIUS_CERT_SERVER_TIME
Lebensdauer des Server Zertifikats in Tagen - kann deutlich kuerzer sein,
da es immer vom Server mitgeschickt wird. Seine Echtheit wird ueber die
Unterschrift der CA garantiert.
Standardeinstellung: FREERADIUS_CERT_SERVER_TIME='365' (1 Jahr)
FREERADIUS_CERT_USER_TIME
Lebensdauer eines User Zertifikats in Tagen.
Standardeinstellung: FREERADIUS_CERT_USER_TIME='750' (2 Jahre +x)
FREERADIUS_MAKE_NEW_CERTS_NOW
Soll mit den oben eingegebenen (ggf. neuen) Daten eine neue PKI fuer
den RADIUS-Dienst erzeugt werden?
ACHTUNG: Wenn schon Zertifikate erzeugt wurden, dann werden jetzt ALLE
bisherigen Zertifikate des RADIUS-Dienstes geloescht! Die User muessen
auf jeden Fall den neuen CA ueber einen gesicherten Kommunikationsweg
erhalten und ggf. auch ihr User Zertifikat.
Es erfolgt zur Sicherheit noch eine weitere Abfrage im Generierungs-
prozess.
Standardeinstellung: FREERADIUS_MAKE_NEW_CERTS_NOW='no'
Client-Einstellungen
FREERADIUS_CLIENT_N
Anzahl an Clients (z.B. Anzahl der WLAN AccesSPoints)
Standardeinstellung: FREERADIUS_CLIENT_N='1'
FREERADIUS_CLIENT_%_NAME
Name des x. Clients. Sinnvollerweise sollte der erste Client fuer Testzwecke
localhost sein, AccessPoints etc. dann ab CLIENT_2.
Grundsaetzlich kann hier ein beliebiger Name stehen. Allerdings wird die
Angabe einer IP-Adresse des Clients benoetigt (s.u.), wenn der Name nicht
per DNS local aufgeloest werden kann.
Standardeinstellung: FREERADIUS_CLIENT_%_NAME='localhost'
FREERADIUS_CLIENT_%_ACTIVE
Variable zum Aktivieren oder Deaktivieren des Clients, ohne dass er
geloescht werden muss.
Standardeinstellung: FREERADIUS_CLIENT_%_ACTIVE='yes'
FREERADIUS_CLIENT_%_SECRET
Passwort mit dem sich der Client beim Server anmeldet.
Er sollte nicht zu kurz sein, empfohlen werden mehr als 15 Zeichen.
Standardeinstellung: FREERADIUS_CLIENT_%_SECRET=''
FREERADIUS_CLIENT_%_IP
IP des Client - muss zwingend angegeben werden, wenn FREERADIUS_%_NAME
nicht per DNS aufgeloest werden kann. Allerdings ist es auch fuer den Fall
eines DNS-Ausfalls oder wenn der Client im dhcp server Paket konfiguriert
wurde, ratsam die IP anzugeben.
ACHTUNG: Andernfalls startet der Server nicht!
Standardeinstellung: FREERADIUS_CLIENT_%_IP='127.0.0.1'
FREERADIUS_CLIENT_%_NASTYPE
Der NASTYPE gibt Auskunft ueber bestimmte Client-Typen.
moegliche Werte: other, cisco, computone, livingston, max40xx, multitech,
netserver, pathras, patton, portslave, tc, usrhiper
ACHTUNG: Die oft genutzten Linksys-Geraete sind trotz der Zugehoerigkeit
zu CISCO mit other zu versehen!
Standardeinstellung: FREERADIUS_CLIENT_%_NASTYPE='other'
User-Einstellungen
FREERADIUS_USER_N
Anzahl an Usern.
Standardeinstellung: FREERADIUS_USER_N='1'
FREERADIUS_USER_%_NAME
Benutzername des x. Users
Standardeinstellung: FREERADIUS_USER_%_NAME='name'
FREERADIUS_USER_%_ACTIVE
Variable zum Aktivieren oder Deaktivieren des Users, ohne dass er
geloescht werden muss.
Standardeinstellung: FREERADIUS_USER_%_ACTIVE='no'
FREERADIUS_USER_%_PASS
Benutzerkennwort. Es wird entweder zum Anmelden mit dem Benutzernamen
verwendet oder es dient zum Entschluesseln des privaten User-Zertifikats.
Standardeinstellung: FREERADIUS_USER_%_PASS=''
FREERADIUS_USER_%_CERT_ONLY
Normalerweise ist die Anmeldung mit Name/Kennwort oder ggf. Zertifikat
moeglich. Mit diesem Variable wird die Anmeldung mit einem Zertifikat
erzwungen.
Standardeinstellung: FREERADIUS_USER_%_CERT_ONLY='no'
FREERADIUS_USER_%_CERT_SERIAL
Diese Variable enthaelt ggf. die Seriennummer des zugeordneten Zertifikats.
ACHTUNG: Diese Variable darf NICHT veraendert werden!
Ausnahme: Wenn der Nutzername veraendert wurde oder der Nutzer insgesamt
neu angelegt wurde, dann MUSS, sofern diese Variable einen Inhalt hat,
dieser geloescht werden!
Standardeinstellung: FREERADIUS_USER_%_CERT_SERIAL=''
FREERADIUS_USER_%_MAIL
Mail-Adresse des Users fuer ein ggf. genutztes Zertifikat
Standardeinstellung: FREERADIUS_USER_%_MAIL='user@mail.example'
FREERADIUS_USER_%_MAILME
Soll ein ggf. erzeugtes Zertifikat an die User-Mail-Adresse (zusammen mit
dem CA Zertifikat) gemailt werden?
Standardeinstellung: FREERADIUS_USER_%_MAILME='no'
Experten-Einstellungen
FREERADIUS_USER_%_CUSTOM_N
Fuer Experten: Anzahl zusaetzlicher Parameter fuer den User
Standardeinstellung: FREERADIUS_USER_%_CUSTOM_N='0'
FREERADIUS_USER_%_CUSTOM_%%
Fuer Experten: Inhalt des Parameters,
z.B. Reply-Message = "Hello, %{User-Name}"
Aber Vorsicht: Ungueltige Parameter koennen den Server-Start verhindern!
Standardeinstellung: FREERADIUS_USER_%_CUSTOM_%%=''
FREERADIUS_REJECT_DELAY
Zeit in Sekunden, die der Server abwartet, wenn er einen Zugang verweigert.
Damit kann eine DOS oder Brut Force Attacke ausgebremst werden.
Standardeinstellung: FREERADIUS_REJECT_DELAY='2'
Menue
* Help and documentation
+ View documentation
Anzeige dieser Dokumentation.
+ Version changes
Anzeige der Versionsgeschichte
+ Help to Config a Windows User computer
* Configuration
+ Edit configuration
Konfiguration von FreeRADIUS ueber die eisfair-Konfigurationsebene
bearbeiten.
+ Advanced configuration file handling
Versionsverwaltung der FreeRADIUS Konfiguration.
* Server Handling
+ Show Status
Zeigt den aktuellen Status des FreeRADIUS Servers an.
+ Restart
Startet den FreeRADIUS Server neu.
+ Start
Startet den FreeRADIUS Server.
+ Stop
Stopt den FreeRADIUS Server
* Certificate Managment
+ List all certificates and users
Anzeige aller erzeugten Zertifikate, getrennt nach expired (abgelaufen),
revoked (gesperrt) und active (aktiv) sowie einer Liste aller
angelegten User (egal ob aktiv oder nicht) zusammen mit der Seriennummer
eines dazugehoerigen Zertifikats.
+ Make a user certificate
Erstellt automatisiert fuer einen angelegten User ein Zertifikat
+ Revoke a user certificate
Sperren eines User-Zertifikates, z.B. wegen Schluesselverlustes beim User.
+ Export all Certificates (noch ohne Funktion)
Exportiert alle Zertifikate (z.B. in ein bestimmtes Verzeichnis auf
dem Server) zur weiteren Verwendung.
+ Renew outdated certificates
Verlaengert / erneuert abgelaufene Zertifikate
- Renew for CA
- Renew for Server
- Renew for Users
+ Revoke orphaned / unused user certificates
Wenn User in der Konfiguration entfernt wurden, dann bleiben deren
Zertifikate im System zurueck. Damit ist zwar kein unberechtiges Anmelden
des ehemaligen Users moeglich, aber dennoch sollten entsprechend
"verwaiste" Zertifikate bei Gelegenheit gesperrt werden. Z.B. fuer den Fall,
dass spaeter einmal ein anderer Nutzer gleichen Namens angelegt werden sollte.
==== english documentation ======
FreeRADIUS
(c) Stephan Manske
Introduction
Working in a WLAN
Terminologie
This documentation and the configuration file uses this Terminologie(?):
xxx
For more Information e.g. http://en.wikipedia.org/wiki/IEEE_802.1X
Certificates / PKI
Requirements
Freeradius package need the following packages:
* libssl
* one of the mail packages, if mail function is used
Installation
COnfiguration file
general configuration
START_FREERADIUS
Using this variable to start FreeRADIUS server or not.
default value: START_FREERADIUS='no'
certificate configuration
FREERADIUS_CERT_COUNTRY
Country code for all certificates, e.g. DE, FR, GB or US
default value: FREERADIUS_CERT_COUNTRY='DE'
FREERADIUS_CERT_ORGNAME
Name of the the FreeRADIUS operator organisation. This name will be used for CA, server
and user certificates.
default value: FREERADIUS_CERT_ORGNAME='myName EIS'
FREERADIUS_CERT_MAIL
Operator mail address for CA and server certificate.
default value: FREERADIUS_CERT_MAIL='admin@mail.example'
FREERADIUS_CERT_MAILME
Should new certificates (CA, server, user) be mailed to
FREERADIUS_CERT_MAIL address after creation?
default value: FREERADIUS_CERT_MAILME='yes'
FREERADIUS_CERT_CA_NAME
Name of CA for RADIUS PKI - will sign all other certificates
default value: FREERADIUS_CERT_CA_NAME='my Home Radius CA'
FREERADIUS_CERT_SERVER_NAME
Name of FreeRADIUS server (independant from host/domain name!)
default value: FREERADIUS_CERT_SERVER_NAME='my Home Radius'
FREERADIUS_CERT_CA_TIME
CA certificate lifetime in days - default 3650 (10 years). An extended period
is prefered to avoid distribution of new certificates to all users, using a
secured communication channel.
default value: FREERADIUS_CERT_CA_TIME_CA='3650' (10 years)
FREERADIUS_CERT_SERVER_TIME
Server certificate lifetime in days - automaticaly supplied by the server,
and can be much shorter. Certificate validity is verified through the CA
verification.
ATTENTION: If the lifetime of the certificate exceeds the lifetime of the CA,
the windows client will not accept the certificate!
default value: FREERADIUS_CERT_SERVER_TIME='365' (1 year)
FREERADIUS_CERT_USER_TIME
User certificate lifetime in days.
default value: FREERADIUS_CERT_USER_TIME='750' (2 years + some days)
FREERADIUS_MAKE_NEW_CERTS_NOW
Do you want to create a whole new PKI for RADIUS service using the
parameters above?
ATTENTION: All existing certificates used by the RADIUS service will be
deleted! The new CA certificate has to be distributed to all users
(via secured communication channel!) User certificates have to be
renewed and distributed also.
The next step will double-check your confirmation.
default value: FREERADIUS_MAKE_NEW_CERTS_NOW='no'
client configuration
FREERADIUS_CLIENT_N
Number of clients (e.g. numer of wlan access points)
default value: FREERADIUS_CLIENT_N='1'
FREERADIUS_CLIENT_%_NAME
x. client's name. For testing purposes the first client should be localhost.
Accespoints will start from CLIENT_2 onwards.
ATTENTION: FREERADIUS_CLIENT_%_NAME MUST be the name of a local host
or enter a FREERADIUS_CLIENT_%_IP! Otherwise FreeRADIUS will not start!
default value: FREERADIUS_CLIENT_%_NAME='localhost'
FREERADIUS_CLIENT_%_ACTIVE
Activate or deactivate the client, without deleting the client.
default value: FREERADIUS_CLIENT_%_ACTIVE='yes'
FREERADIUS_CLIENT_%_SECRET
Client password for FreeRADIUS login. Should not be to short (15 chars or more)
default value: FREERADIUS_CLIENT_%_SECRET=''
FREERADIUS_CLIENT_%_IP
Client's ip - MUST be entered if FREERAIDUS_%_NAME is not resolved via dns.
In case of dns failure or if the client is configured within the dhcp
server package the client's ip address should added as a appropriate precaution.
ATTENTION: leaving these values empty can result in the server refusing to start!
default value: FREERADIUS_CLIENT_%_IP='127.0.0.1'
FREERADIUS_CLIENT_%_NASTYPE
NASTYPE is used to specify an existing NAS. Linksys units should be identified
with 'other' NOT 'cisco'
default value: FREERADIUS_CLIENT_%_NASTYPE='other'
user configuration
FREERADIUS_USER_N
Number of Freeradius users
default value: FREERADIUS_USER_N='1'
FREERADIUS_USER_%_NAME
Username x. Users
default value: FREERADIUS_USER_%_NAME='name'
FREERADIUS_USER_%_ACTIVE
Activate user. Deactivating a specific user does not erase the account.
default value: FREERADIUS_USER_%_ACTIVE='no'
FREERADIUS_USER_%_PASS
User password. Enables the user to login on the server and/or to activate the
user certificate.
default value: FREERADIUS_USER_%_PASS=''
FREERADIUS_USER_%_CERT_ONLY
Login to a FreeRADIUS server can be accomplished via user/password sequence
or certificate. Setting this value to 'yes' forces the user to use his
certificate.
default value: FREERADIUS_USER_%_CERT_ONLY='no'
FREERADIUS_USER_%_CERT_SERIAL
This parameter contains the serial of an assigned certificate.
ATTENTION: This parameter MUST NOT be modified!
Exception: If username is modified or this is a whole new user - in that
case, the existing serialnumber MUST be erased.
default value: FREERADIUS_USER_%_CERT_SERIAL=''
FREERADIUS_USER_%_MAIL
User Mail address
default value: FREERADIUS_USER_%_MAIL='user@mail.example'
FREERADIUS_USER_%_MAILME
Enables new certificates to be sent to the users Mail address.
default value: FREERADIUS_USER_%_MAILME='no'
FREERADIUS_USER_%_CUSTOM_N
Experts only! Number of additional user parameters.
ATTENTION: invalid parameters can disable server startup.
default value: FREERADIUS_USER_%_CUSTOM_N='0'
FREERADIUS_USER_%_CUSTOM_%
Experts only! Additional user parameters.
e.g. Reply-Message = "Hello, %{User-Name}"
default value: FREERADIUS_USER_%_CUSTOM_%%=''
FREERADIUS_REJECT_DELAY
Delay in seconds after failed login attempts. Usefull to counteract
Brute Force or Denial-of-Service (DOS) attempts.
default value: FREERADIUS_REJECT_DELAY='2'
Menue
* Help and documentation
+ View documentation
+ Version changes
+ Help to Config a Windows User computer
* Configuration
+ Edit configuration
Config FreeRADIUS using eisfair config frontend.
+ Advanced configuration file handling
History of config files.
* Server Handling
+ Show Status
Show status of FreeRADIUS server.
+ Restart
Restart FreeRADIUS Server.
+ Start
Start FreeRADIUS Server.
+ Stop
Stopp FreeRADIUS Server.
* Certificate Managment
+ List all certificates and users
Show all generated certificates, subdivided into expired,
revoked and active certs. And a list of all users in the config (no
matter if activ or not) with the serial number of their cert.
+ Make a user certificate
Wizard to make a certificate for an user in the config.
+ Revoke a user certificate
Revoke a user certificate, e.g. because of key loss or leak.
+ Export all Certificates (w/o function in the moment)
+ Renew outdated certificates
Renew for outdated certificates:
- Renew for CA
- Renew for Server
- Renew for Users
+ Revoke orphaned / unused user certificates
I an user is removed from config, his certificate is still in the
system. Such a user is not able to login, but anyhow such certificates
should be revoked. E.g. in the case there will be another user in the
future who has the same name.