RadSec Proxy: Unterschied zwischen den Versionen

Aus Doku-Wiki
Zur Navigation springenZur Suche springen
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
 +
= Links =
 +
* [https://www.dfn.de/fileadmin/1Dienstleistungen/Roaming/Einrichtung_von_radsecproxy.pdf RadSec Proxy]
 +
 
= Installation =
 
= Installation =
 
  aptitude install radsecproxy fuse
 
  aptitude install radsecproxy fuse
Zeile 30: Zeile 33:
 
         type udp
 
         type udp
 
         port 1812
 
         port 1812
         secret Ade86Drze083Hz2WE
+
         secret [GeheimesSecret]
 
  }
 
  }
 
  server local-radius-accounting {
 
  server local-radius-accounting {
Zeile 36: Zeile 39:
 
         type udp
 
         type udp
 
         port 1813
 
         port 1813
         secret Ade86Drze083Hz2WE
+
         secret [GeheimesSecret]
 
  }
 
  }
 
   
 
   

Aktuelle Version vom 14. Dezember 2015, 12:32 Uhr

Links

Installation

aptitude install radsecproxy fuse

Konfiguration

Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt.

  • Beispielkonfiguration:
ListenUDP               127.0.0.1:2084
ListenUDP               127.0.0.1:2085
ListenTLS               172.20.60.1:2083
LogLevel                3
LogDestination          file:///var/log/radsecproxy.log
LoopPrevention          on

# SSL Config
tls default {
   CACertificateFile   = /etc/ssl/certs/SSLCertifikateChainFile.pem
   CertificateFile     = /etc/ssl/certs/radius1.example.com.crt.pem
   CertificateKeyFile  = /etc/ssl/private/radius1.example.com.key.pem
   CertificateKeyPassword = [GEHEIM]
}

# Clients die zugreifen dürfen
client 127.0.0.1 {
        type udp
        secret [GeheimesSecret]
}

# Server die angefragt werden
server local-radius {
        host 127.0.0.1
        type udp
        port 1812
        secret [GeheimesSecret]
}
server local-radius-accounting {
        host 127.0.0.1
        type udp
        port 1813
        secret [GeheimesSecret]
}

# REALM
realm example.com {
        server local-radius
        accountingserver local-radius-accounting
}

Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.

Erweiterung für eduroam

# Client
client tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
}
client tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
}

# Server
server tlr1 {
        host 193.174.75.134
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius1\.dfn\.de$/
        StatusServer on
}
server tlr2 {
        host 193.174.75.138
        type tls
        certificatenamecheck off
        matchCertificateAttribute CN:/^radius2\.dfn\.de$/
        StatusServer on
}
 
# REALM
realm * {
        server tlr1
        server tlr2
        accountingserver tlr1
        accountingserver tlr2
}