RadSec Proxy
Aus Doku-Wiki
Version vom 11. November 2015, 10:23 Uhr von Uli (Diskussion | Beiträge)
Installation
aptitude install radsecproxy fuse
Konfiguration
Soll der Radsecproxy auf dem gleichen System installiert werden wie der Radiusserver, muss für den Port UDP 1814 eine andere Portnummer gewählt werden, da der Radiusserver auf diesem Anfragen annimmt.
- Beispielkonfiguration:
ListenUDP 127.0.0.1:2084
ListenUDP 127.0.0.1:2085
ListenTLS 172.20.60.1:2083
LogLevel 3
LogDestination file:///var/log/radsecproxy.log
LoopPrevention on
# SSL Config
tls default {
CACertificateFile = /etc/ssl/certs/SSLCertifikateChainFile.pem
CertificateFile = /etc/ssl/certs/radius1.example.com.crt.pem
CertificateKeyFile = /etc/ssl/private/radius1.example.com.key.pem
CertificateKeyPassword = [GEHEIM]
}
# Clients die zugreifen dürfen
client 127.0.0.1 {
type udp
secret [GeheimesSecret]
}
# Server die angefragt werden
server local-radius {
host 127.0.0.1
type udp
port 1812
secret [GeheimesSecret]
}
server local-radius-accounting {
host 127.0.0.1
type udp
port 1813
secret [GeheimesSecret]
}
# REALM
realm example.com {
server local-radius
accountingserver local-radius-accounting
}
Wenn der Radiusserver nicht auf dem selben System installiert ist, muss dieser in der Client und Server Sektion eingetragen werden.
Erweiterung für eduroam
# Client
client tlr1 {
host 193.174.75.134
type tls
certificatenamecheck off
matchCertificateAttribute CN:/^radius1\.dfn\.de$/
}
client tlr2 {
host 193.174.75.138
type tls
certificatenamecheck off
matchCertificateAttribute CN:/^radius2\.dfn\.de$/
}
# Server
server tlr1 {
host 193.174.75.134
type tls
certificatenamecheck off
matchCertificateAttribute CN:/^radius1\.dfn\.de$/
StatusServer on
}
server tlr2 {
host 193.174.75.138
type tls
certificatenamecheck off
matchCertificateAttribute CN:/^radius2\.dfn\.de$/
StatusServer on
}
# REALM
realm * {
server tlr1
server tlr2
accountingserver tlr1
accountingserver tlr2
}
