-Como configurar un servidor RADIUS para que autentique usuarios de LDAP.-

De esta forma tendremos la posibilidad de administrar usuarios wifi de forma que puedan usar la misma contraseña para obtener acceso a sus recursos de red, para conectarse a la red wifi.

Es decir el router o punto de acceso accederá a la base de datos LDAP y consultara ahí si existe el usuario y si es correcta su contraseña y en caso afirmativo le dará acceso a la red.

Esto facilitara enormemente la gestión de usuarios de la red así como el control de acceso y la política de renovación de contraseñas.

Necesitaremos:-Servidor LDAP configurado y como mínimo con usuarios de seguridad simple.

-Servidor con FreeRadius (puede esta en la misma maquina que el servidor LDAP)-Punto de Acceso compatible 801.X/RADIUS

Bien, el servidor Radius lo vamos a montar en otra maquina ya que el criterio del profesor así lo manda, tambien podría estar en la misma maquina que el servidor LDAP, pero de esta forma, digamos que al tener los servidores distintos, en cierta manera también ganamos en seguridad.

Lo primero es instalar free-radius en la maquina, así quesudo apt-get install freeradius

Partiendo de la instalación simple , instalamos el modulo ldap necesario:sudo apt-get install freeradius-ldap

Lo primero que tenemos que hacer es especificarle los datos del servidor ldap, para ello tecleamos:sudo nano /etc/freeradius/modules/ldap

ldap { server = "192.168.1.1" identity = "cn=admin,dc=nando" password = 1234 basedn = "dc=nando" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = no } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no}

Despues hay que especificar el modulo ldap en los procesos de autenticación y autorzacion:sudo nano /etc/freeradius/sites-available/default

authorize { preprocess auth_log chap mschap digest suffix eap { ok = return } ldap expiration logintime pap}

y en autenticate buscamos las lineas del ldap para descomentarlas tambien.

A continuacion editamos el inner-tunner:sudo nano /etc/freeradius/sites-available/inner-tunel

authorize { chap mschap suffix update control { Proxy-To-Realm := LOCAL }

eap { ok = return } ldap expiration logintime pap}authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } unix Auth-Type LDAP { ldap } eap}

Si no tenemos un router con Radius a mano podemos usar el programa NTRadPing que simula un AP con radius.

http://www.novell.com/coolsolutions/tools/14377.html

Y realizamos una prueba para ver si nos authentifica en el servidor radius, a traves de los usuarios que se encuentran en ldap, en este caso, el mismo que utilizamos a la hora de logearnos con el servidor ftp, en este caso “valin” y contraseña 1234

Y vemos que funciona!

Como vemos, la dirección que especificamos en la ultima imagen, es la de nuestro servidor Radius.