RADIUS LAB

8- FREERADIUS 802.1x Sertifika ve PEAP Ayarları

FREERADIUS PEAP AYARLARI

Şimdi Windows 7 için PEAP ayarları yapalım. İlk olarak mschap dosyasında değişiklik yapacağız. Eğer dosyanın nerde olduğunu bilmiyorsak aşağıdaki şekilde dosya konumu öğrenilebilir. Bu şekilde kök dizinde yani /’da arama işlemi yapılır.

find / -name [aranacak kelime]

Ubuntu dosya arama
“Ubuntu’da Dosya Arama”

Yine mcedit editörü ile dosyamızı açalım.

mcedit /etc/freeradius/modules/mschap

Aşağıdaki değişikleri yapalım.

mschap {

authtype = MS-CHAP

use_mppe = yes

require_encryption = yes

require_strong = yes

}

mschap ayarları
“mschap Ayarları”

Şimdi radiusd.conf dosyamıza girelim.

mcedit /etc/freeradius/radiusd.conf

Aşağıdaki değişikleri yapalım.

authorize {

preprocess

mschap

suffix

eap

files

}

authenticate {

Auth-Type MS-CHAP {

mschap

}

eap

}

radiusd.conf dosyası ayarları
“radiusd.conf Dosyası Ayarları”

Şimdi eap.conf dosyamıza girelim.

mcedit /etc/freeradius/eap.conf

Aşağıdaki değişikleri yapalım.

eap {

default_eap_type = peap

}

peap {

default_eap_type = mschapv2

}

eap.conf dosyası ayarları
“eap.conf Dosyası Ayarları”
eap.conf dosyası ayarları devam
“eap.conf Dosyası Ayarları”

Sunucu dosyalarında değişiklikler yaptığımız için aşağıdaki komutlardan biri ile Radius servisini yeniden başlatalım.

  • service freeradius restart
  • /etc/init.d/freeradius restart

 

Freeradius Server Üzerinde Sertifikaların hazırlanması:

Ubuntu versiyon:

lsb_release –a

Log’ları anlık izlemek için:

tail -f /var/log/freeradius/radius.log

OpenSSL Kurulumu

Sunucumuzda OpenSSL’in kurulu olması gerekmektedir. Aşağıdaki komutla bunu kontrol edebiliriz.

apt-cache search libssl | grep SSL

Aşağıdaki gibi bir görüntü alabilmemiz gerekmektedir.

openSSL
“OpenSSL”

OpenSSL uygulaması yüklü değilse aşağıdaki komut ile indirme ve kurma işlemi yapılabilir.

apt-get install openssl

FREERADIUS SERTİFİKA AYARLARI

Freeradius’un default’ta yani başlangıçta standart olarak bulunan sertifikaları silelim ve kendimize özel bir sertifika oluşturalım. Sertifikaların bulunduğu konuma gidelim.

cd /etc/freeradius/certs

Gittiğimizi konumda bulunan dosyalara detaylarıyla bakmak için aşağıdaki komutu kullanalım.

ls -al

Başlangıçta standart olarak bulunan sertifikaları tüm içerikleriyle silelim.

rm –R *

Kendimize özel sertifika oluşturmak için ca.cnf , client.cnf ve server.cnf dosyalarının bulunduğu konuma gidelim. Bunun için ca.cnf dosyasını arayalım ve bulunduğu konuma gidelim.

freeradius sertifika ayarlareı örnek sertifikalar
“Freeradius Örnek Sertifikalar”

Görüldüğü gibi Freeradius bize örnekler klasörü oluşturmuş. Buradaki örnekleri kullanarak kendimize özel bir sertifika oluşturacağız.

Aşağıdaki komutla ca.cnf dosyasını açalım ve değişiklikleri yapalım.

mcedit /usr/share/doc/freeradius/examples/certs/ca.cnf

ca.cnf dosyası ayarları
“ca.cnf Dosyası Ayarları”

Aşağıdaki komutla client.cnf dosyasını açalım ve değişiklikleri yapalım.

mcedit /usr/share/doc/freeradius/examples/certs/client.cnf

"client.cnf Dosyası Ayarları"
“client.cnf Dosyası Ayarları”

Aşağıdaki komutla server.cnf dosyasını açalım ve değişiklikleri yapalım.

mcedit /usr/share/doc/freeradius/examples/certs/server.cnf

server.cnf dosyası ayarları
“server.cnf Dosyası Ayarları”

Sertifika bilgilerini oluşturduğumuza göre /usr/share/doc/freeradius/examples/certs/ konumunda, aşağıdaki komut ile sertfikamızı oluşturabiliriz.

./bootstrap

Şimdi bu sertifikaları asıl konuma kopyalayalım.

cp -R * /etc/freeradius/certs/

Bakalım sertifikalar görünüyor mu? Bunun için /etc/freeradius/certs/ konumunda ls komutunu kullanalım.

freeradius sertifika oluşturma
“Oluşturduğumuz Sertifikalar”

Görüldüğü üzere ilk başta içini sildiğimiz klasörde dosyalar mevcut. Demek ki sertifikalar oluşturulmuş.

Şimdi aşağıdaki konuma tekrar gidelim.

cd /etc/freeradius

eap.conf dosyasında değişiklik yapacağız. /etc/freeradius konumundaki eap.conf dosyasını mc editör ile açalım.

mcedit eap.conf

MC editör açıldıktan sonra aşağıdaki değişiklikleri yapalım.

default_eap_type = peap şeklinde değiştirelim. Bunu zaten yapmıştık. Kontrol edelim.

eap.conf Ayarları
“eap.conf Ayarları Kontrolü”

Şimdi yine aynı dosyada Tls kısmındaki private_key_password = whatever satırını bulalım ve şifreyi değiştirelim. Ben sertifika hazırlarken nizamsifre kelimesini private_key_password olarak kullandığım için, whatever kısmına nizamsifre yazıyorum.

tls {

#

#  These is used to simplify later configurations.

#

certdir = ${confdir}/certs

cadir = ${confdir}/certs

private_key_password = nizamsifre

eap.conf dosyasında private key password
“eap.conf Dosyasında Private Key Password”

cd ..” komutu ile bu klasörden çıkalım. Yani /etc/freeradius/sites-available konumundaki inner-tunnel dosyasını mc editör ile açalım.

mcedit /etc/freeradius/sites-available/inner-tunnel

MC editör açıldıktan sonra #sql yazan satırlardaki “#” işaretlerini kaldıralım.

inner-tunnel dosyası sql bağlantısı ayarları
“inner-tunnel Dosyası sql Bağlantısı Ayarları”
inner-tunnel dosyası sql bağlantısı ayarları
“inner-tunnel Dosyası sql Bağlantısı Ayarları”
inner-tunnel dosyası sql bağlantısı ayarları
“inner-tunnel Dosyası sql Bağlantısı Ayarları”
inner-tunnel dosyası sql bağlantısı ayarları
“inner-tunnel Dosyası sql Bağlantısı Ayarları”

Toplamda 4 adet #sql başındaki “#” işareti kaldırmış oldum.

Şimdi Radius, database ve web server servislerimizi sırasıyla baştan başlatalım.

/etc/init.d/freeradius restart

/etc/init.d/mysql restart

/etc/init.d/apache2 restart

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir