Child pages
  • IdP eduroam FreeRadius v3 - Habilitando RadSec TCP/TLS

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 5.3

...

1. Configuração do FreeRadius v3 com suporte à comunicação TLS
Toggle Cloak

Cloak

Variáveis utilizadas no roteiro:

<DOMINIO>: seu realm

<FQDN>: seu nome de certificado

<CA>: nome do arquivo da CA (e.g. rnp-ca)

<SENHA_CERTIFICADO>: a senha do certificado

 

<SENHA_LOCALHOST>: senha para 127.0.0.1 cadastrada no clients.conf

<SENHA_CLIENTE>: a senha do cliente (que é o servidor da federação) para se conectar ao FreeRadius local (IdP)

<SENHA_FEDERACAO>: a senha no servidor (da federação) para FreeRadius local (IdP) se conectar


<USUARIO_EDUROAM>: usuário cadastrado na base na instituição

<SENHA_USUARIO_EDUROAM>: senha desse usuário

1.1 Passos e configuração dos arquivos

1.1.1 Toda a configuração é feita, basicamente, em um único arquivo do FreeRadius v3. Esse arquivo existirá na pasta /etc/freeradius/sites-enabled. A pasta que contém os arquivos que chamamos de túnel (internos ao FreeRadius v3).

Sendo assim, entre na pasta do FreeRadius3, e em sites-available crie o arquivo que será responsável pela comunicação TLS, o radsec:

bashtruebash


1.1.2 O arquivo radsec deverá ter o conteúdo (lembrando de alterar a nome de domínio, certificados e senhas, quando necessário):

bash/etc/freeradius/sites-available/radsec (Clique abaixo para expandir o código da configuração):bash

1.1.2.1 O arquivo pode ser baixado em

1.1.3 Feita a edição do arquivo, salve-o. Agora vamos criar o link simbólico desse arquivo no sites-enabled. Só assim ele realmente será utilizado pelo FreeRadius3.

bashtruebash

1.1.4 Caso você esteja utilizando o arquivo padrão exibido nesse texto, com mesma senha para o certificado de sua instituição, é substituir as ocorrência de <FQDN> em seu arquivo pelo nome da sua instituição. Isso pode ser feito pelo editor VIM digitando \[esc] dois pontos etc. Como segue no exemplo:

bashtruebash

1.2 Configurando os certificados na pasta radsec

Atenção!

Você irá receber do responsável pela federação 2 arquivos: <FQDN>.crt e <FQDN>.key além do ca.crt (o certificado da CA) e deverá seguir os passos da listagem de comandos abaixo para que a pasta de certificados funcione perfeitamente.

bashCriando pasta, arquivos e copiando certificados para RadSectruebash

Finalizados os passos de configuração, o modo debug de execução deve ser executado pela linha de comando (uma vez que agora seu FreeRadius utiliza TCP e TLS):

bashtruebash

1.3 Testes

Se tudo estiver ok, prossiga com o teste de autenticação para um usuário em roaming

Primeiro, saia do modo debug de execução do FreeRadius e inicie o serviço

Ou mantenha o modo debug em execução e abra um novo terminal para o teste de roaming

1.3.1 Teste de roaming com TLS

1.3.2 A saída esperada é: