Servidor RADIUS con Debian, FreeRADIUS y MySQL _ Échale un vistazo

Servidor RADIUS con Debian, FreeRADIUS y MySQLPublicado 08/13/2012 CISCO , Linux , MySQL 29 Comentarios

Etiquetas: Alberto Castillo Estebas, CISCO, debian, linux, mysql

En la entrada de hoy vamos a ver cómo configurar un servidor RADIUS

(Remote Authentication Dial-In User Server). RADIUS es un protocolo AAA

(Autenticación, Autorización y registro de Auditoria) empleado para controlar el

acceso a los servicios de red. Para implementar el servidor Radius utilizaremos

FreeRADIUS y además lo integraremos con una base de datos MySQL para la

gestión de usuarios, todo ello en Linux Debian.

Lo primero que haremos será instalar MySQL y FreeRADIUS, para ello

instalamos los paquetes necesarios:

# apt-get install mysql-server

# apt-get install freeradius freeradius-mysql

Una vez instalados los paquetes, pasamos a la configuracion del servidor. Primero

nos dirigimos al directorio /etc/freeradius y editamos el fichero users para

añadirle un usuario:

# cd /etc/freeradius

# nano users

Editamos el fichero como vemos en la imagen para añadir un usuario, en el

ejemplo el usuario “pepe” con contraseña “pepe”:

Reiniciamos el servidor FreeRADIUS:

# service freeradius restart

Y comprobamos el correcto funcionamiento:

# radtest pepe pepe 127.0.0.1 1812 testing123

Si todo ha ido bien, nos mostrará una respuesta similar a la de la imagen

(Access-Accept):

Una vez tenemos esto, lo que vamos a hacer es que nos autentique los usuarios

contenidos en una base de datos, en este caso MySQL que es la que hemos

instalado al principio. Para ello editamos el fichero /etc/freeradius

/radiusd.conf:

# nano radiusd.conf

Y descomentamos la linea $INCLUDE sql.conf:

Ahora nos dirigimos al directorio /etc/freeradius/sql/mysql y listamos su

contenido. Suponiendo que nos encontramos situados en /etc/freeradius/,

ejecutamos los siguientes comandos:

# cd sql/mysql

# ls -l

De momento solo nos va a interesar el fichero schema.sql.

Ingresamos en mysql con el usuario root que se creó en la instalción:

# mysql -u root -p

y una vez dentro de MySQL, creamos la base de datos radius y el usuario

radius dándole todos los permisos en esa base de datos:

mysql> create database radius;

mysql> grant all on radius.* to radius@localhost identified by 'radius';

Vemos los pasos en la imagen:

Ahora nos cambiamos a la base de datos radius que acabamos de crear y

mediante la orden source ejecutamos los scripts contenidos en el fichero

schema.sql que nos generará una serie de tablas:

mysql> use radius

mysql> source schema.sql

Podemos comprobar las tablas que se han creado con el siguiente comando:

mysql> show tables

En este punto salimos de MySQL y nos dirigimos de nuevo al directorio

/etc/freeradius para editar el fichero sql.conf:


# nano sql.conf

Lo dejamos como vemos en la imagen, en un principio solo tendremos que

cambiar el password y poner el que hemos configurado en el usuario que

hemos creado para la base de datos radius. Con esto permitimos la conexión

entre FreeRADIUS y MySQL :

Ahora editamos el fichero /etc/freeradius/sites-aviable/default :


# nano sites-aviable/default

Buscamos las secciones authorize y accounting y descomentamos donde

aparezca la palabra sql:

Ahora ya podemos crear un usuario para que lo autentique el servidor. Para crear

los usuarios bastará con insertarlos en la tabla radcheck de la base de datos

radius.

Así que ingresamos a la base de datos radius de MySQL:

# mysql -u root -p radius;

Ahora utilizamos la orden describe para que nos muestre los campos que

componen la tabla radcheck:

mysql> describe radcheck

En el ejemplo insertaremos un usuario llamado “usuario1″ con contraseña

“usuario1″:

mysql> INSERT INTO radcheck(username,attribute,op,value)

VALUES(‘usuario1′,’password’,'==’,'usuario1′);

Reiniciamos el servidor FreeRADIUS:


Y testeamos que FreeRADIUS autentica correctamente el usuario que hemos

creado:

# radtest usuario1 usuario1 127.0.0.1 1812 testing123

Si todo va bien nos responderá con un “Access-Accept” lo vemos en la imagen:

Con lo que hemos configurado hasta ahora podemos autenticar en local, en los

proximos pasos vamos a configurar FreeRadius para que pueda autenticar a

clientes remotos.

Volvemos al directorio /etc/freeradius y editamos el fichero sql.conf:


# nano sql.conf

Y descomentamos la linea readclients = yes:

Ahora nos dirigimos al directorio /etc/freeradius/sql/mysql y listamos su

contenido, suponiendo que nos encontramos en /etc/freeradius tecleamos los

siguientes comandos:

# cd sql/mysql

# ls -l | grep .sql

Lo vemos en la imagen:

Como esta señalado en la imagen, ahora nos hacen falta los ficheros ippool.sql y

nas.sql así que ingresamos en la base de datos radius

# mysql -u root -p radius

y corremos los scripts que contienen estos ficheros mediante la orden source:

mysql> source ippool.sql;

mysql> source nas.sql;

Lo vemos en la imagen:

Con el paso anterior se nos han generado una serie de tablas, entre ellas la tabla

nas, que es en la que introduciremos los clientes remotos. Los campos a

introducir son los siguientes:

nasname: Dirección ip del cliente remoto.1.

shortname: El nombre con el que queramos identificar al cliente remoto.2.

type: Ante la duda es recomendable utilizar other.3.

secret: Es la clave secreta que compartiran servidor y cliente (es el

password que configuramos para el usuario radius de la base de datos

radius y en el fichero sql.conf ).

4.

Como lo que nos interesa en este punto es comprobar el correcto funcionamiento

del servidor FreeRadius, para realizar las pruebas pertinentes, en un principio

insertamos en la tabla los datos del propio servidor:

mysql > INSERT INTO nas (nasname, shortname, type, secret)

VALUES (’10.1.1.5′, ‘servidor’, ‘other’, ‘radius’);

Podemos hacer un select para ver como se han insertado los datos:

mysql> select * from nas;

Compartiresto:

Reiniciamos el servicio FreeRADIUS y testeamos el correcto funcionamiento:


# radtest usuario1 usuario1 10.1.1.5 1812 radius

Si todo esta bien nos devolvera una respuesta access-accept similar a la

imagen:

Y con esto ya tenemos el servidor FreeRADIUS listo. En una próxima entrega

veremos cómo configurar un Router Cisco para que utilice nuestro servidor

FreeRADIUS para autenticación de usuarios.

About these ads

Me gusta:

Se el primero en decir que te gusta.

29 Respuestas a “Servidor RADIUS con Debian,FreeRADIUS y MySQL”

08/23/2012 a las 17:16

cuantos usuarios se pueden autenticar con un mismo usuario y caontraseña?…

me gustaria saber como configurar freeradius para que se pueda autenticar un

unico usuario con username y contraseña gracias.

Responder

08/23/2012 a las 20:16

Sinceramente ignoro cuantos usuarios pueden autenticarse con un mismo

usuario y contraseña… Sin embargo para la configuración que propones, en

lugar de usar mysql para la gestión de usuarios, puedes simplemente añadir el

usuario y contraseña en el fichero users .

Responder

11/24/2012 a las 5:43

Segui los pados pero tengo un error al ejecutar el siguiente comando radtest

usuario1 usuario1 127.0.0.1 1812 testing123 en este cado el usuario que agrege

al sql es prueba y como contraseña prueba pero me sale reject y no accept nose

Yeiner Gamboa renteria

otreum

Martin

si me estoy confundiendo a la hora de editar el archivo cd /etc/freeradius

/sql.conf dices que ponga una contraseña pero nose a cual te refieres es la

contraseña del root? la contraseña para entrar al sql? o que contraseña espero

qu me puedas ayudar saludos

Responder

11/24/2012 a las 13:23

Hola Martin,

En la parte del tutorial en la que editamos el fichero sql.conf, donde aparece

login =”radius” y password =”radius”, hace referencia al usuario al que hemos

dado todos los permisos en la base de datos radius mediante la instrucción:

“grant all on radius.* to radius@localhost identified by ‘radius’;” . De tal

manera que si tu te quieres conectar a esa base de datos con otro usuario,

tendrás que poner el nombre de tu usuario y su contraseña. En el tutorial como

el usuario con el que conectamos se llama radius, que es el nombre de usuario

que trae pre-configurado el fichero sql.conf, tan solo se ha tenido que modificar

la contraseña por la que nosotros le hemos dado a ese usuario. No se si te he

aclarado algo, comprueba a ver como lo tienes y me dices…

Un saludo.

Responder

11/24/2012 a las 18:45

Pues nose que estare haciendo mal que no me funciona, en el sql.conf le

pongo user root y pass radius y reinicio el freeradius y hago la prueba y me

sale packet reject luego cambio y le pongo usuario radius y pass radius pero

tampoco nose que sucede

otreum

Martin

12/15/2012 a las 20:18

Muchas gracias por tu explicación ahora a montar daloradius.

Responder

12/15/2012 a las 21:41

Si, la verdad es que mi intenciónn es completar el tutorial con una entrada

dedicada a DaloRadius… Por desgracia ahora ando inmerso en otros proyectos

y tengo un poco abandonado el blog… Pero a medio plazo espero volver a

retomar la actividad normal del blog…

Un saludo

Responder

12/25/2012 a las 16:45

hola, gracias por postear este tutorial de radius…, es algo que aprecio mucho,

por el tempo que le has dedicado y por tu desinteres en compartirlo…lo que

quisiera es preguntarte es sobre un error que me surgido en una máquina debian

squezze con mysql-server-5.1 (5.1.66-0+squeeze1). Al llegar al punto de

configurar la base de datos de freeradius, me surge el error siguiente:

mysql> use radius

Database changed

mysql> source schema.sql

ERROR:

Failed to open file ‘schema.sql’, error: 2

…puedo preguntarte si sabes a que es debido?

Anónimo

otreum

Anónimo

Responder

12/25/2012 a las 16:56

…buenas…el problema de error en abrir el fichero schema.sql error:2

solucionado de la siguiente manera…

indicar la ruta completa…a veces uno es un poco tonto…, nuevamente gracias

por tu post…saludos desde Barcelona…

Responder

12/25/2012 a las 21:40

Hola,

a todos nos pasa muchas veces que estamos dándonos de cabezazos porque

algo no nos funciona y es por culpa de algún fallo tonto…

Me alegro que hayas aprovechado el post.

Un saludo.

Responder

01/22/2013 a las 18:01

la directiva readclients = yes al reiniciar me da error

porque puede ser.

Responder

01/23/2013 a las 22:08

Sinceramente no se el motivo por el que esta directiva te puede dar error…

Con esta directiva, tan solo estas habilitando que el servidor radius lea la base

Anónimo

otreum

Anónimo

otreum

de datos para buscar los clientes… ¿cual es exactamente el error que te salta?

Un saludo

Responder

01/24/2013 a las 20:10

es cuando reinicio el servicio con sudo /etc/init.d/freeradius restart indica fail; si

lo comento el parametro #readclients = yes y reinicio funciona pero, el

problema es que cuando cojo un xp por ejemplo y me conecto asignado la red

inalambrica poniendo lo de WPA enterprais para radius y aes o aes+tkip al decir

que se conecte me pide que introduzca el nombre y password de usuario,

ademas de un dominio que ese campo lo dejo en blanco y al aceptar me vuelve

otra vez a preguntar por mis credenciales, y eso que quite el checkbox de lo de

los certificados.

y usando un cliente ubuntu se queda esperando pero no conecta, es como si no

accediera a verificar los usuarios de la base de datos.

por eso digo que a lo mejor es por lo del parametro readclients.

Responder

01/24/2013 a las 20:12

a se me olvida por si sirve la version que uso tanto para el seervidor ubuntu de

radius como el cliente es la 10.10 no se si sera por compatibilidad a lo mejor¿?

Responder

01/24/2013 a las 22:27

En principio yo creo que el tutorial es perfectamente válido para Ubuntu 10.10,

no creo que por ahí vayan los tiros… Es normal que no te conecte precisamente

Anónimo

Anónimo

otreum

porque la directiva readclients es la que determina que busque en la base de

datos o no… ahora mismo no se me ocurre nada, que pueda explicar ese

error… no se, lo voy mirando…

Un saludo.

Responder

01/25/2013 a las 15:09

a la base de datos entro como root y no cree ningun usuario ni otorge permisos

con grant ya que con root se supone que debe dejar hacer culquier cosa.

incluso puse un usuario en el fichero users.conf; y el caso es que en local como

localhost si que me hace lo de access-acept para validar;

tambien he de decir que segun busque por san goolgle se habia descomentado

sql en sites-aviable/default no solo en accounting y autorice sino ademas en

session y alguno mas ;

¿no se si todas estas cosas influiran en lo de readclients?o ¿quiza algun permiso

que haya pasado por alto? pero me extraña ya que le doy permisos de

propietario, grupo y otros para que puedan hacer de todo.

tambien en el archivo clients.conf copie uno de los ejemplos que hay en ese

fichero y puse la ip de la puerta de enlace del router wifi para que el servidor

radius sepa quien es el cliente, junto con el secreto que es el mismo en el router

wifi, con los parametros de shortname y secret.

una duda cuando se refiere en esta web a donde dice shortname y nasname; lo

de cliente remoto ¿se refiere al cliente router wifi que se conecta al servidor

radius o a los equipos que se conectan al router wifi???

Responder

01/25/2013 a las 16:34

aqui pongo el fallo que me muestra el log:

Anónimo

Anónimo

rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked

Fri Jan 25 16:47:16 2013 : Info: rlm_sql (sql): Attempting to connect to

[email protected]:/radius

Fri Jan 25 16:47:16 2013 : Info: rlm_sql_mysql: Starting connect to MySQL

server for #0

Fri Jan 25 16:47:16 2013 : Error: rlm_sql_mysql: Couldn’t connect socket to

MySQL server [email protected]:radius

Fri Jan 25 16:47:16 2013 : Error: rlm_sql_mysql: Mysql error ‘Can’t connect to

MySQL server on ’192.168.3.10′ (111)’

Fri Jan 25 16:47:16 2013 : Error: rlm_sql (sql): Failed to connect DB handle #0

Fri Jan 25 16:47:16 2013 : Info: rlm_sql (sql): There are no DB handles to use!

skipped 5, tried to connect 0

Fri Jan 25 16:47:16 2013 : Error: Failed to load clients from SQL.

Fri Jan 25 16:47:16 2013 : Error: /etc/freeradius/sql.conf[22]: Instantiation

failed for module “sql”

Fri Jan 25 16:47:16 2013 : Error: /etc/freeradius/sites-enabled/default[159]:

Failed to find module “sql”.


Errors parsing authorize section.

Fri Jan 25 16:47:16 2013 : Error: Failed to load virtual server

Fri Jan 25 16:49:25 2013 : Info: Loaded virtual server inner-tunnel

Fri Jan 25 16:49:25 2013 : Info: rlm_sql (sql): Driver rlm_sql_mysql (module

rlm_sql_mysql) loaded and linked




server for #0




MySQL server on ’192.168.3.10′ (111)’












Responder

01/25/2013 a las 16:31

aqui pongo el fallo que me muestra el log:

rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked




server for #0




MySQL server on ’192.168.3.10′ (111)’











Anónimo


Fri Jan 25 16:49:25 2013 : Info: Loaded virtual server inner-tunnel

Fri Jan 25 16:49:25 2013 : Info: rlm_sql (sql): Driver rlm_sql_mysql (module

rlm_sql_mysql) loaded and linked




server for #0




MySQL server on ’192.168.3.10′ (111)’












Responder

01/25/2013 a las 20:31

Bueno he encontrado la tonteria que en principio parecia ser y era que tenia que

comentar los usuarios del fichero de users.conf; ahora por lo menos me reinicia

el servicio bien; pero todavia no no puedo conectarme con clientes. Pero tengo

algunas dudas:

¿en el archivo de clients.conf hay que poner la funcion clients con la direccion de

la puerta de enlace del router wifi en shortname y su secreto?

Anónimo

¿al habilitar la directiva readclients, la tabla reacheck sirve para algo?

¿donde pones el nombre del equipo en la tabla nas?

¿la direccion del tutorial 10.1.1.5 de que es, es de la puerta de enlace del router

wifi, o es la de un equipo que se conecta al router?

¿la ip del equipo que se conecta al router es dinamica, estatica o da igual el que

sea?

podrias decir como configurar un equipo ubuntu cliente que se conecte al router,

con que tipo de cifrado y todo eso; es que no me autentifica con el servidor

freeradius y no se porque.

Responder

01/25/2013 a las 23:39

¿en el archivo de clients.conf hay que poner la funcion clients con la direccion

de la puerta de enlace del router wifi en shortname y su secreto?

En el fichero clients van los clientes, en tu caso el roputer wifi. Pero si vas a

definir los clientes en el fichero clients, define los usuarios en el fichero users y

de esta manera puedes prescindir de la base de datos mysql. Es decir en vez

de buscar usuarios y clientes en la base de datos, los buscará en estos ficheros.

¿al habilitar la directiva readclients, la tabla reacheck sirve para algo?

Al habilitar readclients estas indicando al servidor freeradius que busque los

clientes en la tabla nas.

¿donde pones el nombre del equipo en la tabla nas?

El nombre con el que quieras identificar a los clientes lo ingresas en el campo

shortname de la tabla nas.

¿la direccion del tutorial 10.1.1.5 de que es, es de la puerta de enlace del

router wifi, o es la de un equipo que se conecta al router?

La ip 10.1.1.5 en el tutorial es la ip del servidor freeradius y simplemente la

utilicé para realizar las pruebas de funcionamiento antes de configurar clientes.

otreum

¿la ip del equipo que se conecta al router es dinámica, estática o da igual el

que sea?

Es indiferente no influye en nada…

podrias decir como configurar un equipo ubuntu cliente que se conecte al

router, con que tipo de cifrado y todo eso; es que no me autentifica con el

servidor freeradius y no se porque.

No sabria decirte con exactitud, pero yo creo que algo así tendía que funcionar,

pero vaya no te lo tomes al pie de la letra porque nunca lo he configurado:

Abres el network manager y editas la configuración de red inalambrica:

Seguridad: WPA/WPA2 enterprise.

Autenticación:EAP protegido (PEAP).

Versión PEAP: Automático.

Autenticación interna:MSCHAPv2

Nombre de usuario: usuario

Contraseña: contraseña.

Un saludo.

Responder

01/26/2013 a las 9:35

¿el campo shortname de la tabla nas es el nombre de red es el del router wifi, es

decir el de nuestro punto de acceso (SSID)?

en la tabla nas e puesto como bien dices :

IP router(puerta enlace)-> nasname

SSID del punto de acceso del router wifi –> shortname

type -> other

¿en el campo de la tabla ports hace falta definir el puerto 1812 o no pasa nada si

se deja en blanco para que este como nulo NULL?

Anónimo

En secret he puesto el mismo que el del router.

El campo server que aparece en la tabla nas del tutorial, no aparece en la mia y

eso que lo he cogido del archivo nas.sql de /etc/frreradius/sql/mysql/

te comento lo que he probado donde: ip puerta enlace router es 192.168.3.1

ip servidor radius 192.168.3.10 y puerta de enlace 192.168.3.1(la del router).

id nasname shortname type ports secret

1 192.168.3.1 red1 other NULL secreto

2 192.168.3.10 red1 other NULL secreto

he puesto:

sudo radtest usuario1 usuario1 192.168.3.10 1812 secreto

resultado access-accept con este funciona; pero cuando lo hago con el router:

sudo radtest usuario1 usuario1 192.168.3.1 1812 secreto

me dice que no ha podido; ¿no se porque?

el router he deshabilitado el firewall, he usado el portforwardin para

redireccionar(abrir) el puerto 1812-1813 a la ip de 192.168.3.10,

incluso he deshabilitado nat para que enrute todo; y nada; es como si solo

funcionara en el localhost, no se que puede faltarme para hacerlo funcionar, y en

el cliente de xp cuando me pide que meta el usuario y contraseña, me lo vuelve

a preguntar como si no le respodiera la base de datos de que ese usuario tiene

acceso.

Responder

01/28/2013 a las 18:05

Bueno ya lo he reinstalado y ya me funciona, no se que es lo que seria pero ya

funciona, gracias de todas formas.

¿Como puedo usar MD5 con las contraseñas?

he probado usando la funcion de MD5 en la tabla radcheck con contraseña de un

usuario pero no me conecta, ¿hay que configurar o cambiar algun valor.?

¿Accediendo desde dos equipos distintos, uno xp y otro ubuntu con la misma

Anónimo

clave y usuario, se conectan; no deberia de dejar solo conectarse a uno de ellos,

el que primero accediera?

Responder

01/30/2013 a las 3:55

quisiera saber de que manera puedo montar un servidor radius, q me permita a

los usuarios de la red interna, atraves de una pagina web, registrarse con su

correo de la red local, y descargar el certificado privado para instalarlo en la

pc?????

Responder

03/05/2013 a las 15:25

Hola, una consulta, he configurado tal cual está en la guía sin embargo,

incluyendo el archivo /etc/freeradius/sites-aviable/default y descomentando sql

en authorize y accounting, sin embargo los usuarios registrados no se autentican

correctamente, mas si es posible con los usuarios que he puesto en el archivos

users.

He revisado cada paso y he revisado los archivos de configuración

detalladamente durante 2 días y aún no sé por que sucede esto, me podría

ayudar a resolver mi problema. Gracias

Responder

03/25/2013 a las 20:38

Buenas tardes, talves puede realizar los 3 mas chillispot es que necesito realizar

un portal cautivo que utliza casi los mismos elementos que solo falta el chillispot

Responder

JohanC

Danny

Jonathan Jara

Deja un comentario

Trackback en 08/15/2012 a las 19:54

05/08/2013 a las 15:03

Hola!! … pregunta : porque en la tabla radpostauth de MySQL solo me muestra

las access-reject y no las access-acept ? gracias

Responder

06/18/2013 a las 17:37

todo me funciona, pero quiero dejar las claves tanto de los usuarios y la de

enlace entre BD y Radius encriptada con MD5 y no me funciona.

alguna manera??, para asi dar seguridad

Responder

06/18/2013 a las 17:57

la pregunta es :

¿como al realizar la autenticacion yo escriba mi clave, la cual en la BD la

encripte con MD5 y pueda ser interpretada o desencriptada por radius??

Responder

Emanuel

jorgetreminio

jorgetreminio

Autenticación AAA basada en servidor (RADIUS) en RouterCisco « Échale un vistazo…

Documents

Servidor RADIUS con Debian, FreeRADIUS y MySQL _ Échale un vistazo