RADIUS - Remote Authentication Dial-In User Service
R1
Uchikoshi
2005/09/27(tue)
Red Hat 9上でradiusdの動作確認(NTRadPing?を使用)
- clients.confの設定についての調査が必要
- clientsファイルの場合、DHCPからアドレスを受けるクライアントを同扱うのかが不明
- Switchを介しての1X認証についてはまだ検証していない
- PAMはpam-0.75-48がデフォルトでインストール済み
2005/09/26(mon)
- 設定ファイル = /usr/local/etc/raddb
- ログファイル = /var/log及び/usr/local/var/log/radius/radacct
- clientsファイル(/usr/local/etc/raddb/clients
- RADIUSサーバへのアクセスを許可するRADIUSクライアント(ホスト名またはIPアドレス)の一覧を記述。
clientsをバックアップ用にclients.bakに変更
clientsファイルとして開発者推奨にあわせclients.confの中身を設定して使用
アクセスポイントとしてスイッチのIPアドレスを登録(↓追記内容)
clietns 172.16.xxx.xxx {
secret = xxx
shortname = switch
}
- naslistをバックアップ用にnaslist.bakとしてコピー
ログイン名のパターンに応じて、各ユーザにどのようなサービスを提供するのか、RADIUSサーバに対して「ヒント」を与える
RADIUS起動スクリプト = /usr/local/sbin/radiusd
2005/09/21(wed)
- RADIUS = リモートアクセスサーバ(RAS:Remote Access Server)の認証のために開発されたプロトコル
- (Remote Access Dial In User System)
- UDPベースのクライアント/サーバモデル
- 認証宛先ポート = 1812
- アカウンティング宛先ポート = 1813
- 偽のRADIUSクライアントからの要求を排除するために共有暗号鍵を利用
⇒リプレイアタックの防止になる
EAP-TLS
Red Hat 9でFreeRADIUS1.0.1を解凍しようとしたところtarボールの解凍に失敗
⇒0.9.3バージョンをコンパイル・インストール済み
- FreeRADUIS FAQ
- RADIUSデバックモード起動コマンド => /usr/local/sbin/radiusd -X -A
- RADIUS作業ディレクトリ => /usr/local/etc/raddb/
2005/09/16(fri)
RADIUSサーバのIEEE802.1X認証以外の使い道
2005/09/14(wed)
RADIUSサーバへ認証の要求を送信するときのデフォルト送信先UDPポート番号は1812
2005/09/13(tue)
・ freeradius1.0.1-1.0.5をダウンロード。両実機の/tmpにコピーしておくが問題なく動くかどうか、バグなどを確認するなどして、一度テストしておいたほうがいい。
・ まだ、未確認だが、MySQLをインストールしていないはずなので、確認してインストールする必要がある。
FreeRADIUS Official
疑問:一度スイッチポートで認可された後、そのクライアントのVMWARE上で動くホストはどうなる?通常通り認証をするのか、Hub経由のようにホストPCが一度認証済みならVMWAREないからのトラフィックも通過可能?
疑問:現在DHCP2台でアドレスを半分ずつリースするようにしているが、2台とも同じ設定にして片方落ちたときに、もう片方を起動するようにしたほうがいいのか、リースに関しては同じでいいのか?RADIUSの対応具合がわからない
RADIUS LINK
http://www.gentei.org/~yuuji/support/uu/200407/part3.html
Catalyst3550,1x認証
contents
MenuBar
- counter: 332
- today: 1
- yesterday: 0
- online: 1
