FreeRADIUS
FreeRADIUS je modulární software používaný pro ověřování uživatelů v rámci lokální sítě, ale i v režimu roamingu. Balík standardně obsahuje Radius server, klientskou aplikaci, vývojové knihovny a řadu dílčích utilit.
Všechny informace o stavu serveru mohou být protokolovány pomocí serveru Syslog, který se následně nastaví tak, aby odesílal veškerá data na server Logmanager.
-
Zeditujte konfigurační soubor FreeRADIUS serveru
/etc/freeradius/radiusd.conf. -
Vyhledejte část Logging section a ověřte, zda obsahuje následující parametry (defaultní soubor konfigurace tyto parametry obsahuje):
destination = syslog file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no auth_badpass = no auth_goodpass = no -
Následující parametry je nutno změnit (oproti defaultnímu souboru konfigurace). Konfigurace pro Freeradius 2.x:
auth = yes msg_goodpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";vlan:\"%{reply:Tunnel-Private-Group-Id}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";session_timeout:\"%{reply:Session-Timeout}\";max_simultaneous_connections:\"%{check:Simultaneous-Use}\"" msg_badpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";max_simultaneous_connections:\"%{check:Simultaneous-Use}\""Následující parametry je nutno změnit (oproti defaultnímu souboru konfigurace). Doporučená konfigurace pro Freeradius 3.x:
auth = yes msg_goodpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasid:\"%{request:NAS-Identifier}\";srcipaddress:\"%{request:Packet-Src-IP-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";vlan:\"%{reply:Tunnel-Private-Group-Id}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";session_timeout:\"%{reply:Session-Timeout}\"" msg_badpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasid:\"%{request:NAS-Identifier}\";srcipaddress:\"%{request:Packet-Src-IP-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\"" -
Ukázka kompletní konfigurace FreeRADIUS serveru. Konfigurace pro Freeradius 2.x:
log { destination = syslog file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no auth_badpass = no auth_goodpass = no auth = yes msg_goodpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";vlan:\"%{reply:Tunnel-Private-Group-Id}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";session_timeout:\"%{reply:Session-Timeout}\";max_simultaneous_connections:\"%{check:Simultaneous-Use}\"" msg_badpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";max_simultaneous_connections:\"%{check:Simultaneous-Use}\"" }Ukázka kompletní konfigurace FreeRADIUS serveru. Doporučená konfigurace pro Freeradius 3.x:
log { destination = syslog file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no auth_badpass = no auth_goodpass = no auth = yes msg_goodpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasid:\"%{request:NAS-Identifier}\";srcipaddress:\"%{request:Packet-Src-IP-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";vlan:\"%{reply:Tunnel-Private-Group-Id}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\";session_timeout:\"%{reply:Session-Timeout}\"" msg_badpass = "authenticationtype:\"%{control:Auth-Type}\";nasipv4address:\"%{request:NAS-IP-Address}\";nasipv6address:\"%{request:NAS-IPv6-Address}\";nasid:\"%{request:NAS-Identifier}\";srcipaddress:\"%{request:Packet-Src-IP-Address}\";nasport:\"%{request:NAS-Port-Id}\";nasporttype:\"%{request:NAS-Port-Type}\";calledstationid:\"%{request:Called-Station-Id}\";callingstationid:\"%{request:Calling-Station-Id}\"" } -
Restartujte FreeRADIUS server příkazem:
/etc/init.d/freeradius restart
Tím je dokončena konfigurace serveru FreeRADIUS. Nyní pokračujte konfigurací služby Syslog-NG.
Na výběr jsou dvě možnosti konfigurace. První možností je zasílat do systému Logmanager všechny zprávy, které jsou k dispozici ve službě Syslog-NG. Druhou možností je zasílat pouze zprávy ze serveru FreeRADIUS.
Pokud požadujete zasílání všech zpráv ze služby Syslog-NG, postupujte podle kapitoly Linux Syslog-NG.
Pokud požadujete zasílání zpráv pouze ze serveru FreeRADIUS, proveďte prosím následující postup:
-
Podle kapitoly Linux Syslog-NG, zkontrolujte nastavení parametrů source a @include.
-
Vytvořte soubor
/etc/syslog-ng/conf.d/freeradius-ssh-forward-toLM.conf. -
Vložte do něj následující kód:
# jaký program se bude filtrovat filter f_freeradius { program(freeradius) or program(sshd); }; # cíl zasílání zpráv na server Logmanager destination d_logmanager { tcp("<Logmanager_IP_address>" port(514)); }; # provedení akce, tzn. zaslání zprávy typu freeradius na server Logmanager log { source(s_src); filter(f_freeradius); destination(d_logmanager); };Logmanager_IP_address je IP adresa Vašeho serveru Logmanager. -
Restartujte Syslog-NG server příkazem:
/etc/init.d/syslog-ng restart