Freeradius für den WLAN-Hotspot

Aus ADMIN 02/2014

Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Benutzerdatenbanken

Freeradius ermöglicht es weiterhin, die Benutzerdaten in anderen Quellen als nur in der »users« -Datei zu speichern. Neben Modulen für verschiedene SQL-Datenbanken kommen auch Active Directory Service (ADS) und LDAP in Frage.

Für MySQL genügt es, die Benutzerdaten mit denselben Attributen und Werten in die Datenbank einzutragen wie in die Benutzerdatei. Die mitgelieferten SQL-Skripte »admin.sql« und »schema.sql« im Unterverzeichnis »sql/mysql« legen Benutzer, Datenbanken und Schemata an. Für PostgreSQL stehen passende Pendants bereit.

Dann aktiviert man in der Datei »radiusd.conf« den Eintrag »$INCLUDE sql.conf« , der standardmäßig auskommentiert ist. In »sql.conf« bietet die Option »database« die Wahlmöglichkeiten »mysql« , »mmsql« , »oracle« und »postgresql« . Nun definieren in derselben Datei »server« , »login« und »password« die Zugangsdaten zur Datenbank.

Die angelegte MySQL-Datenbank enthält die einzelnen Benutzereinträge in der Tabelle »radcheck« . Die Felder »username« , »attribute« , »value« und »op« setzt man beispielsweise auf »ADMIN« , »Cleartext-Password« , »magazin« und »:=« , um einen Benutzer mit denselben Attributen anzulegen wie oben für die »users« -Datei gezeigt.

Die Tabelle »radreply« definiert benutzerspezifische Antwortmeldungen sowie Netzwerkeinstellungen. In »usergroup« werden die Benutzer den Gruppen zugeordnet. »radgroupreply« wiederum definiert dazu gruppenspezifische Antworten [4] .

Active Directory

Der Rückgriff auf Benutzerdaten in einem Active Directory erfolgt mithilfe des Programms »ntlm_auth« aus dem Samba-Paket [5] . Der Zugang mit Username, Domäne und Passwort lässt sich manuell mit diesem Befehl testen:

ntlm_auth --request-nt-key --domain=Domäne --username=Benutzer --password=Passwort

Diese Kommandozeile steht in ähnlicher Form auch in der Freeradius-Konfigurationsdatei »modules/ntlm_auth« . Darin passt man den Pfad für den Programmaufruf an, etwa zu »/usr/bin/ntlm_auth« , und die Domäne (Realm) an die des ADS-Servers. Benutzernamen und Passwörter stammen direkt vom anfragenden Client. Abschließend aktiviert man das Modul in den Dateien »sites-enabled/default« und »sites-enabled/inner-tunnel« ; der Block »authenticate« führt die erlaubten Authentifizierungsmethoden auf, dort fügt man die Zeile »ntlm_auth« hinzu. Details zur Konfiguration und Fehlersuche zu Freeradius und Active Directory Service zeigt [6] .