目的 †FreeRADIUS2を利用した802.1X認証を実施する。 [root@radius]# radiusd -v radiusd: FreeRADIUS Version 2.1.12, for host x86_64-redhat-linux-gnu, built on Oct 3 2012 at 01:22:51 Copyright (C) 1999-2011 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License. For more information about these matters, see the file named COPYRIGHT. [root@radius]# RADIUSについて †FreeRADIUSによる認証サーバOpenSSLによるPKI構築を参照 802.1X認証 †以下の認証方式による接続テストを実施する。
利用するCisco機器は以下
設定 †Cisco設定 †全般設定 †802.1X認証とログイン認証を別サーバで実施する場合は、radiusサーバをグループ化する必要がある。
Cisco1812J †MACアドレスバイパスは非対応 vlan database vlan 10 name soumu_seg vlan 20 name keiri_seg exit ! interface vlan 10 ip address 192.168.10.181 255.255.255.0 ip default-gateway 192.168.10.254 ip route 0.0.0.0 0.0.0.0 192.168.10.254 ! interface fas 2 description ## AuthPort : eap ## switchport mode access no ip address dot1x port-control auto spanning-tree portfast interface fas 9 description ## UplinkPort ## switchport access vlan 10 spanning-tree portfast Catalyst2940 †MACアドレスバイパスは非対応 vlan 10 name soumu_seg vlan 20 name keiri_seg ! interface vlan 10 ip address 192.168.10.181 255.255.255.0 ip default-gateway 192.168.10.254 ! interface FastEthernet0/1 description ## AuthPort : eap ## switchport mode access dot1x port-control auto spanning-tree portfast interface GigabitEthernet0/1 description ## UplinkPort ## switchport access vlan 10 spanning-tree portfast Catalyst2950 †vlan 10 name soumu_seg vlan 20 name keiri_seg ! interface vlan 10 ip address 192.168.10.181 255.255.255.0 ip default-gateway 192.168.10.254 ! interface fas 0/1 description ## AuthPort : eap ### switchport mode access dot1x pae authenticator dot1x port-control auto dot1x violation-mode protect dot1x timeout tx-period 3 spanning-tree portfast interface fas 0/2 description ## AuthPort : mac address bypass ## switchport mode access dot1x mac-auth-bypass dot1x pae authenticator dot1x port-control auto dot1x violation-mode protect dot1x timeout tx-period 3 spanning-tree portfast interface GigabitEthernet0/48 description ## UplinkPort ## switchport access vlan 10 spanning-tree portfast Catalyst2960 †vlan 10 name soumu_seg vlan 20 name keiri_seg ! interface vlan 10 ip address 192.168.10.181 255.255.255.0 ip default-gateway 192.168.10.254 ! interface FastEthernet0/1 description ## AuthPort : eap ### switchport mode access authentication order dot1x authentication priority dot1x authentication port-control auto dot1x pae authenticator spanning-tree portfast ! interface FastEthernet0/2 description ## AuthPort : mac address bypass ## switchport mode access authentication order mab authentication priority mab authentication port-control auto mab dot1x pae authenticator spanning-tree portfast interface GigabitEthernet0/1 description ## UplinkPort ## switchport access vlan 10 spanning-tree portfast radiusサーバの設定 †FreeRadius?設定ファイルの修正 †
# vi userlist/users.eap eapuser Auth-Type == EAP , Cleartext-Password := "eappass" # vi userlist/users.mab01 DEFAULT Auth-Type == PAP Tunnel-Type := 13 , Tunnel-Medium-Type := 6 , Tunnel-Private-Group-Id := "soumu_seg", Fall-Through = Yes 1877ecd5f394 Cleartext-Password := "1877ecd5f394" , NAS-Port-Type == Ethernet 2877ecd5f394 Cleartext-Password := "2877ecd5f394" , NAS-Port-Type == Ethernet # vi userlist/users.mab02 DEFAULT Auth-Type == PAP Tunnel-Type := 13 , Tunnel-Medium-Type := 6 , Tunnel-Private-Group-Id := "keiri_seg", Fall-Through = Yes 055dc061bf92 Cleartext-Password := "055dc061bf92" , NAS-Port-Type == Ethernet 255dc061bf92 Cleartext-Password := "255dc061bf92" , NAS-Port-Type == Ethernet # chown -R root.radiusd userlist EAP-MD5 †ユーザ定義ファイルにユーザ名とパスワードを記載する。 [centos@radius]# vi /etc/raddb/users ------------8<----------------- eapuser Auth-Type:=EAP , Cleartext-Password := "eappass" ------------8<----------------- EAP-TLS †OpenSSLによるPKI構築を参照し、認証局を作成しておくこと。
クライアントの設定 †WindowsOSは標準でEAP-MD5(WinXPのみ搭載),EAP-PEAP,EAP-TLS対応のサプリカントが搭載されているが、 通常はローカルエリア接続のプロパティに「認証タブ」が表示されないため、以下の手順でサービスを開始する。
EAP-MD5 †MD5は証明書を利用せず、パスワードのハッシュ値を用いた利用者認証を実施する。
EAP-PEAP(MS-CAHP-V2) †PEAPはサーバ証明書を利用し、UID/PWDによる利用者認証を実施する。
EAP-TLS †PEAPはサーバとクライアントの双方で証明書を利用し、相互認証を実施する。
Counter: 26855,
today: 2,
yesterday: 0
|