RadSec Proxy

Aus Doku-Wiki
Zur Navigation springenZur Suche springen

Links

Installation

aptitude install radsecproxy fuse

Konfiguration

Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt.

  • Beispielkonfiguration:
ListenUDP               127.0.0.1:2084
ListenUDP               127.0.0.1:2085
ListenTLS               172.20.60.1:2083
LogLevel                3
LogDestination          file:///var/log/radsecproxy.log
LoopPrevention          on

# SSL Config
tls default {
   CACertificateFile   = /etc/ssl/certs/SSLCertifikateChainFile.pem
   CertificateFile     = /etc/ssl/certs/radius1.example.com.crt.pem
   CertificateKeyFile  = /etc/ssl/private/radius1.example.com.key.pem
   CertificateKeyPassword = [GEHEIM]
}

# Clients die zugreifen dürfen
client 127.0.0.1 {
        type udp
        secret [GeheimesSecret]
}

# Server die angefragt werden
server local-radius {
        host 127.0.0.1
        type udp
        port 1812
        secret [GeheimesSecret]
}
server local-radius-accounting {
        host 127.0.0.1
        type udp
        port 1813
        secret [GeheimesSecret]
}

# REALM
realm example.com {
        server local-radius
        accountingserver local-radius-accounting
}

Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.

Erweiterung für eduroam

# Client
client tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
}
client tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
}

# Server
server tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
        StatusServer on
}
server tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
        StatusServer on
}
 
# REALM
realm * {
        server tlr1
        server tlr2
        accountingserver tlr1
        accountingserver tlr2
}