Child pages
  • IdP eduroam FreeRadius v3 - Habilitando RadSec TCP/TLS

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin

Table of Contents

Antes de começar

Warning

Informe ao administrador do FLR (federação) que deseja utilizar TLS em sua comunicação.
Ele irá gerar seus certificados e enviá-los a você! 

Será necessário informar seu endereço IP ou FQDN a ele (que será correpondente ao CN de seu certificado)

1. Configuração do FreeRadius v3 com suporte à comunicação TLS
Toggle Cloak

Cloak

Variáveis utilizadas no roteiro:

<DOMINIO>: seu realm

<FQDN>: seu nome de certificado

<CA>: nome do arquivo da CA (e.g. rnp-ca)

<SENHA_CERTIFICADO>: a senha do certificado

 

<SENHA_LOCALHOST>: senha para 127.0.0.1 cadastrada no clients.conf

<SENHA_CLIENTE>: a senha do cliente (que é o servidor da federação) para se conectar ao FreeRadius local (IdP)

<SENHA_FEDERACAO>: a senha no servidor (da federação) para FreeRadius local (IdP) se conectar


<USUARIO_EDUROAM>: usuário cadastrado na base na instituição

<SENHA_USUARIO_EDUROAM>: senha desse usuário

1.1 Passos e configuração dos arquivos

1.1.1 Toda a configuração é feita, basicamente, em um único arquivo do FreeRadius v3. Esse arquivo existirá na pasta /etc/freeradius/sites-enabled. A pasta que contém os arquivos que chamamos de túnel (internos ao FreeRadius v3).

Sendo assim, entre na pasta do FreeRadius3, e em sites-available crie o arquivo que será responsável pela comunicação TLS, o radsec:

bashtrue


1.1.2 O arquivo radsec deverá ter o conteúdo (lembrando de alterar a nome de domínio, certificados e senhas, quando necessário):

bash/etc/freeradius/sites-available/radsec (Clique abaixo para expandir o código da configuração):

1.1.2.1 O arquivo pode ser baixado em

1.1.3 Feita a edição do arquivo, salve-o. Agora vamos criar o link simbólico desse arquivo no sites-enabled. Só assim ele realmente será utilizado pelo FreeRadius3.

bashtrue

1.1.4 Caso você esteja utilizando o arquivo padrão exibido nesse texto, com mesma senha para o certificado de sua instituição, é substituir as ocorrência de <FQDN> em seu arquivo pelo nome da sua instituição. Isso pode ser feito pelo editor VIM digitando \[esc] dois pontos etc. Como segue no exemplo:

bashtrue

1.2 Configurando os certificados na pasta radsec

Atenção!

Você irá receber do responsável pela federação 2 arquivos: <FQDN>.crt e <FQDN>.key além do ca.crt (o certificado da CA) e deverá seguir os passos da listagem de comandos abaixo para que a pasta de certificados funcione perfeitamente.

bashCriando pasta, arquivos e copiando certificados para RadSectrue

Finalizados os passos de configuração, o modo debug de execução deve ser executado pela linha de comando (uma vez que agora seu FreeRadius utiliza TCP e TLS):

bashtrue

1.3 Testes

Se tudo estiver ok, prossiga com o teste de autenticação para um usuário em roaming

Primeiro, saia do modo debug de execução do FreeRadius e inicie o serviço

Ou mantenha o modo debug em execução e abra um novo terminal para o teste de roaming

1.3.1 Teste de roaming com TLS

1.3.2 A saída esperada é: