{"id":500,"date":"2019-06-21T09:11:30","date_gmt":"2019-06-21T15:11:30","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=500"},"modified":"2021-04-13T11:41:44","modified_gmt":"2021-04-13T17:41:44","slug":"802-1x-con-freeradius-mysql","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=500","title":{"rendered":"FREERADIUS: 802.1x con MYSQL"},"content":{"rendered":"\n
En esta gu\u00eda se muestra como instalar freeradius con mariadb para realizar una autenticaci\u00f3n 802.1x en la red inal\u00e1mbrica, utilizando PEAP-MSCHPv2<\/p>\n\n\n\n
Partimos de la instalaci\u00f3n de un contenedor con debian 9, primero actualizamos el sistema y creamos el usuario ugit<\/li><\/ul>\n\n\n\n
OTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB\n SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!\n\nIn order to log into MariaDB to secure it, we'll need the current\npassword for the root user. If you've just installed MariaDB, and\nyou haven't set the root password yet, the password will be blank,\nso you should just press enter here.\n\nEnter current password for root (enter for none): \nOK, successfully used password, moving on...\n\nSetting the root password ensures that nobody can log into the MariaDB\nroot user without the proper authorisation.\n\nSet root password? [Y\/n] Y\nNew password: HB0\nRe-enter new password: HB0\nPassword updated successfully!\nReloading privilege tables..\n ... Success!\n\n\nBy default, a MariaDB installation has an anonymous user, allowing anyone\nto log into MariaDB without having to have a user account created for\nthem. This is intended only for testing, and to make the installation\ngo a bit smoother. You should remove them before moving into a\nproduction environment.\n\nRemove anonymous users? [Y\/n] Y\n ... Success!\n\nNormally, root should only be allowed to connect from 'localhost'. This\nensures that someone cannot guess at the root password from the network.\n\nDisallow root login remotely? [Y\/n] Y\n ... Success!\n\nBy default, MariaDB comes with a database named 'test' that anyone can\naccess. This is also intended only for testing, and should be removed\nbefore moving into a production environment.\n\nRemove test database and access to it? [Y\/n] Y\n - Dropping test database...\n ... Success!\n - Removing privileges on test database...\n ... Success!\n\nReloading the privilege tables will ensure that all changes made so far\nwill take effect immediately.\n\nReload privilege tables now? [Y\/n] Y\n ... Success!\n\nCleaning up...\n\nAll done! If you've completed all of the above steps, your MariaDB\ninstallation should now be secure.\n\nThanks for using MariaDB!<\/code><\/pre>\n\n\n\n
[ ok ] Restarting freeradius (via systemctl): freeradius.service.<\/code><\/pre>\n\n\n\n
MYSQL<\/h2>\n\n\n\n
Para esta configuraci\u00f3n vamos a crear una base de datos local, pero el proceso para una base de datos remota es el mismo.<\/li>
Ingresamos a la BD como usuario \u00abroot\u00bb<\/li><\/ul>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\n
Creamos una base de datos de nombre \u00abradius\u00bb<\/li><\/ul>\n\n\n\n
create database radius;<\/code><\/pre>\n\n\n\n
Creamos un usuario para conectarnos a la BD de manera local y remota<\/li>
User: remoto<\/li>
Pass: RB0<\/li><\/ul>\n\n\n\n
grant all privileges on radius.* to remoto@localhost identified by 'RB0';<\/code><\/pre>\n\n\n\n
Recargamos los privilegios de la tablas para que los cambios tengan efecto<\/li><\/ul>\n\n\n\n
flush privileges;<\/code><\/pre>\n\n\n\n
Salimos de Mysql<\/li><\/ul>\n\n\n\n
quit<\/code><\/pre>\n\n\n\n
Ahora vamos a importar el esquema por defecto de radius a la base de datos que creamos en el paso anterior, el esquema se va importar a la ruta \/etc\/freeradius\/3.0\/mods-config\/sql\/main\/mysql\/schema.sql<\/strong><\/li><\/ul>\n\n\n\n
mysql -u root -p radius < \/etc\/freeradius\/3.0\/mods-config\/sql\/main\/mysql\/schema.sql<\/code><\/pre>\n\n\n\n
Ahora habilitamos el modulo SQL, creando un enlace simb\u00f3lico del modulo sql<\/strong> que se encuentra en \/etc\/freeradius\/3.0\/mods-available\/<\/strong> a \/etc\/freeradius\/3.0\/mods-enabled<\/strong><\/li><\/ul>\n\n\n\n
Ahora abrimos el modulo sql habilitado y configuramos la base de datos radius como se muestra a continuaci\u00f3n, en este caso usaremos la base de datos local radius<\/strong><\/li><\/ul>\n\n\n\n
Primero buscamos la linea driver = \u00abrlm_sql_null\u00bb<\/strong>, y remplazamos por driver = \u00abrlm_sql_mysql\u00bb<\/strong><\/li><\/ul>\n\n\n\n
<\/figure><\/div>\n\n\n\n
Buscamos la linea dialec= \u00absqlite\u00bb<\/strong> para ubicarnos y hacemos los siguientes cambios<\/li><\/ul>\n\n\n\n<\/figure>\n\n\n\n
Si deseamos cargar los clientes desde la tabla \u00abnas\u00bb<\/strong> de la base de datos, descomentamos la siguiente l\u00ednea, la vamos a descomentar para guardar los datos del NAS (Network Acess Server)<\/strong> en la base de datos MYSQL, <\/li><\/ul>\n\n\n\n
<\/figure><\/div>\n\n\n\n
Salvamos los cambios (Ctrl + o, en nano)<\/strong> y salimos del editor<\/li><\/ul>\n\n\n\n
Reiniciamos el servicio Radius<\/li><\/ul>\n\n\n\n
Ingresamos a la base de datos como root<\/li><\/ul>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\n
Seleccionamos la base de datos radius<\/li><\/ul>\n\n\n\n
use radius<\/code><\/pre>\n\n\n\n
Agregamos el cliente NAS<\/li><\/ul>\n\n\n\n
INSERT INTO nas (nasname,shortname,type,secret,description) \n VALUES ('10.20.191.2','wcontroller','cisco','Adrian_ADM_0','Controladora de red inalambrica');<\/code><\/pre>\n\n\n\n
quit<\/code><\/pre>\n\n\n\n
Ahora cambiamos el usuario y el grupo due\u00f1o del modulo SQL habilitado (enlace simb\u00f3lico) a freerad como se muestra a continuaci\u00f3n<\/li><\/ul>\n\n\n\n
Agregamos usuarios a la base de datos radius<\/strong> y les asignamos un grupo<\/li><\/ul>\n\n\n\n
Primero ingresamos a la base de datos como root<\/li><\/ul>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\n
Seleccionamos la base de datos radius<\/li><\/ul>\n\n\n\n
use radius<\/code><\/pre>\n\n\n\n
Vamos a crear los grupos estudiantes, administrativos y ugit<\/strong>, y vamos a incorporar los usuarios user1, user2, user3, user4<\/strong>, a los grupos creados<\/li><\/ul>\n\n\n\n
INSERT INTO radusergroup (username,groupname) VALUES ('user1', 'estudiantes');<\/code><\/pre>\n\n\n\n
INSERT INTO radusergroup (username,groupname) VALUES ('user2', 'estudiantes');<\/code><\/pre>\n\n\n\n
INSERT INTO radusergroup (username,groupname) VALUES ('user3', 'administrativos');<\/code><\/pre>\n\n\n\n
INSERT INTO radusergroup (username,groupname) VALUES ('user4', 'ugit');<\/code><\/pre>\n\n\n\n
Creamos los usuarios y las contrase\u00f1as por el momento en texto plano<\/li><\/ul>\n\n\n\n
INSERT INTO radcheck (username,attribute,op,value) \n VALUES ('user1','Cleartext-Password',':=','user1');<\/code><\/pre>\n\n\n\n
INSERT INTO radcheck (username,attribute,op,value) \n VALUES ('user2','Cleartext-Password',':=','user2');<\/code><\/pre>\n\n\n\n
INSERT INTO radcheck (username,attribute,op,value) \n VALUES ('user3','Cleartext-Password',':=','user3');<\/code><\/pre>\n\n\n\n
INSERT INTO radcheck (username,attribute,op,value) \n VALUES ('user4','Cleartext-Password',':=','user4');<\/code><\/pre>\n\n\n\n
quit<\/code><\/pre>\n\n\n\n
Reiniciamos el servicio freeradius<\/li><\/ul>\n\n\n\n
En este punto ya se puede autenticar en la red inlambrica con los usuarios y contrase\u00f1as creadas en la base de datos<\/li>
user1:user1<\/li>
user2:user2<\/li>
user3:user3<\/li>
user4:user4<\/li><\/ul>\n\n\n\n
Asignaci\u00f3n de VLAN a los usuarios por grupos<\/h2>\n\n\n\n
Ahora vamos a asignar a los usuarios un numero de vlan con base en el grupo al que pertenecen, para ello debemos definir 3 atributos para cada grupo en la base de datos radius<\/li><\/ul>\n\n\n\n
Vamos a usar el valor 6= IEEE-802<\/li><\/ul>\n\n\n\n
<\/figure><\/div>\n\n\n\n
Tunnel-Private-Group-Id<\/h3>\n\n\n\n
Aqu\u00ed asignamos la etiqueta de vlan que deseamos para cada grupo, 155 para estudiantes, 168 para administrativos y 190 para ugit.<\/li><\/ul>\n\n\n\n
mysql -u root -p<\/code><\/pre>\n\n\n\n
Seleccionamos la BD radius<\/li><\/ul>\n\n\n\n
use radius<\/code><\/pre>\n\n\n\n
Agregamos los atributos a los grupos<\/li><\/ul>\n\n\n\n
Ahora para que los atributos de los grupos se propagen a la respuesta final del radius Access-Accept a la controladora, debemos modificar el siguiente archivo<\/li><\/ul>\n\n\n\n
Lo descomentamos como se muestra en la siguiente imagen:<\/li><\/ul>\n\n\n\n
#\n # Instead of \"use_tunneled_reply\", uncomment the\n # next two \"update\" blocks.\n #\n update {\n &outer.session-state: += &reply:\n }\n\n #\n # These attributes are for the inner session only.\n # They MUST NOT be sent in the outer reply.\n #\n # If you uncomment the previous block and leave\n # this one commented out, WiFi WILL NOT WORK,\n # because the client will get two MS-MPPE-keys\n #\n update outer.session-state {\n MS-MPPE-Encryption-Policy !* ANY\n MS-MPPE-Encryption-Types !* ANY\n MS-MPPE-Send-Key !* ANY\n MS-MPPE-Recv-Key !* ANY\n Message-Authenticator !* ANY\n EAP-Message !* ANY\n Proxy-State !* ANY\n }<\/code><\/pre>\n\n\n\n
Ahora la asignaci\u00f3n de VLAN deber\u00eda funcionar.<\/li><\/ul>\n\n\n\n
Podemos verificar donde est\u00e1 escuchando el servidor<\/li>
Lo reiniciamos por aquello que est\u00e9 detenido el servicio y tambi\u00e9n lo recargamos.<\/li><\/ul>\n\n\n\n
![\"\"](\"\/wp-content\/uploads\/2019\/06\/Selecci\u00f3n_454-1.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"\/wp-content\/uploads\/2019\/10\/Selecci\u00f3n_089-1.png\")
<\/figure>\n\n\n\n![\"\"](\"\/wp-content\/uploads\/2019\/06\/Selecci\u00f3n_456.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"\/wp-content\/uploads\/2019\/06\/Selecci\u00f3n_459.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"\/wp-content\/uploads\/2019\/06\/Selecci\u00f3n_458.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"\/wp-content\/uploads\/2019\/09\/Selecci\u00f3n_054.png\")
<\/figure><\/div>\n\n\n\n