Архитектура современной корпоративной сети имеет сложную структуру. Множество устройств могут подключаться к ней одновременно, что удобно для нарушителей и всех, у кого есть противоправные намерения. Чтобы решить эту проблему, был разработан механизм учета информационных субъектов в сети. RADIUS-сервер, который может обеспечивать 3 функции защиты: аутентификацию, авторизацию и учет. Каждый шаг в системе будет регистрироваться, и все записи и точки входа будут находиться под контролем.
FreeRADIUS Server
FreeRADIUS — это исключительный RADIUS—сервер, предоставляющий услуги централизованной аутентификации и авторизации для устройств, включая коммутаторы, маршрутизаторы, VPN—шлюзы и точки доступа Wi-Fi. Его уникальная способность управлять доступом пользователей к сетевым ресурсам на основе различных параметров, таких как личность, местоположение, характеристики устройства и время суток, что делает его универсальным решением для корпоративных, учебных и сетей провайдеров.
Сервер поддерживает несколько методов аутентификации и может интегрироваться с внешними базами данных, такими как SQL, LDAP и Kerberos, для эффективного хранения и извлечения информации о пользователях и устройствах. Благодаря своей масштабируемости, гибкости и надежности FreeRADIUS остается лучшим выбором для организаций, которым требуется надежное и настраиваемое RADIUS решение.
Установка и настройка FreeRADIUS
Перед установкой любого программного обеспечения нам необходимо обновить индексы и пакеты в AlmaLinux:
sudo dnf update -y
Установите необходимый пакет для RADIUS—сервера:
sudo dnf install freeradius
После установки вам необходимо настроить сервер в соответствии с вашими задачами. Конфигурационные файлы можем найти с помощью приведенной ниже команды:
sudo nano /etc/raddb/radiusd.conf
Вы все равно можете использовать удобный текстовый редактор. Откройте файл и посмотрите на параметры: ведение журнала, протокол аутентификации и порты. Все настройки могут быть изменены в соответствии с вашими целями.
Далее создайте файл с именем «user.conf» в том же каталоге:
sudo touch /etc/raddb/user.conf
Откройте файл в вашем текстовом редакторе, используя следующую команду:
sudo nano /etc/raddb/user.conf
В конфигурации добавьте клиентские устройства и ключ, используя следующий синтаксис:
client <client IP or hostname> {
secret = <shared secret>
}
Вместо «client IP or hostname» введите необходимые вам учетные данные и то же самое с «shared secret», вместо этого введите надежный пароль хоть у ААА—сервера, много ступень защита эта так же важна!
Внимание: файл конфигурации определяет правила для клиентского устройства!
Теперь мы переходим к настройке конфигурации для учетной записи пользователя: настройка учетных записей и групп для аутентификации на стороне сервера, реализация протокола RADIUS с открытым исходным кодом. Это включает в себя создание учетных записей пользователей и присвоение им членства в группах в базе данных.
sudo nano /etc/raddb/users
И введите это:
<username> Cleartext-Password := "<password>"
Замените <username> на желаемое имя пользователя, а <password> на соответствующий пароль в открытом текстовом формате. Аналогичным образом откройте файл groups в вашем текстовом редакторе, используя следующую команду:
sudo nano /etc/raddb/groups
И вставьте:
<groupname> User-Name == "<username>"
Запустите AAA—сервер. Как только настройка будет завершена, запустите сервер, выполнив соответствующую команду. Например, вы можете использовать строчку приведенную ниже:
sudo systemctl start radiusd
И это все!
Настройка FreeRADIUS на Linux
Настройка сервера AAA в AlmaLinux—это простой процесс, который включает в себя несколько простых шагов. Выполнив основные шаги по настройке, описанные в этой статье, вы сможете запустить свой сервер FreeRADIUS в кратчайшие сроки. Однако важно отметить, что в программном обеспечении доступны более продвинутые параметры конфигурации и функции, которые не были рассмотрены в этой статье.