ps -ef | grep freeradius
Al ejecutar el comando anterior, deberían ver alguna línea que contenga el proceso de freeradius.
domingo, 25 de agosto de 2013
sábado, 24 de agosto de 2013
FTP server en Linux mint
1. Instalamos vsftpd
sudo apt-get install vsftpd
2. Config de un usuario anónimo
Editar el archivo:
sudo vi /etc/vsftpd.conf
Modificar las siguientes opciones:
sudo apt-get install vsftpd
2. Config de un usuario anónimo
Editar el archivo:
/etc/vsftpd.conf:sudo vi /etc/vsftpd.conf
Modificar las siguientes opciones:
local_enable=YES
write_enable=YES
anonymous_enable=YES
3. Reiniciar el servicio:
sudo /etc/init.d/vsftpd restart
Autenticación para acceso Telnet, Switch Cisco 3500XL con Freeradius en Linux Mint
1. Instalación de freeradius
sudo apt-get install freeradius
2. Nota: Cuando se instala freeradius en Debian o distros deribadas, se crean los usuarios del servidor y los grupos, se crean symlinks en /etc/freeradius/certs para los certificados de servicios SSL de prueba, por último inicializa el daemon de freeradius.
3. Detener el servicio:
4. Crear un usuario de prueba:
Se deben agregar las siguientes líneas al archivo /etc/freeradius/users
# test user, se debe borrar luego de este test
usuarioPrueba Cleartext-Password := "pruebaPass"
5. Se inicializa freeradius en modo debugging
mint@mint ~ $sudo freeradius -X
al final deberían ver algo como esto:
... adding new socket proxy address * port 47410 Listening on authentication address * port 1812 Listening on accounting address * port 1813 Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel Listening on proxy address * port 1814 Ready to process requests.
6. Abrimos una nueva ventana consola y digitamos lo siguiente:
mint@mint ~ $ sudo radtest usuarioPrueba pruebaPass localhost 0 testing123
Se debe obtener algo como lo siguiente:
mint@mint ~ $ sudo radtest usuarioPrueba pruebaPass localhost 0 testing123 Sending Access-Request of id 166 to 127.0.0.1 port 1812 User-Name = "usuarioPrueba" User-Password = "pruebaPass" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000
mint@mint ~ $sudo vi /etc/freeradius/clients.conf
9. Configuramos el acceso para el usuario lrodrigo dentro de la config de freradius
sudo vi /etc/freeradius/users
Parte II Configuración en el switch Cisco
1. Configurar un usuario local:
username cisco privilege 15 password cisco
// Esto se hace porque al habilitar la autenticación con radius eventualmente es posible perder acceso al switch
2. Asignar una ip a la interfaz de VLAN 1:
int vlan 1
ip address 192.168.1.4 255.255.255.0
no shut
3. Config de AAA en el switch:
aaa new-model
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key secretPass
aaa authentication login default group radius local
line vty 0 4
login authentication default
line con 0
login authentication default
aaa authorization exec default group radius if-authenticated
aaa accounting exec default start-stop group radius
aaa accounting system default start-stop group radius
//cuando escribimos group radius loca, configuramos la autenticación utilizando radius en primera instancia y si fallase utilizamos la base de datos local. Es por esto que anteriormente se configuró un usuario local.
4. Por último se prueba accesar al switch cisco via Telnet des de la laptop que estamos utlizando como cliente.
http://evilrouters.net/2008/11/19/configuring-freeradius-to-support-cisco-aaa-clients/
sudo apt-get install freeradius
2. Nota: Cuando se instala freeradius en Debian o distros deribadas, se crean los usuarios del servidor y los grupos, se crean symlinks en /etc/freeradius/certs para los certificados de servicios SSL de prueba, por último inicializa el daemon de freeradius.
3. Detener el servicio:
/etc/init.d/freeradius stop4. Crear un usuario de prueba:
Se deben agregar las siguientes líneas al archivo /etc/freeradius/users
# test user, se debe borrar luego de este test
usuarioPrueba Cleartext-Password := "pruebaPass"
5. Se inicializa freeradius en modo debugging
mint@mint ~ $sudo freeradius -X
al final deberían ver algo como esto:
... adding new socket proxy address * port 47410 Listening on authentication address * port 1812 Listening on accounting address * port 1813 Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel Listening on proxy address * port 1814 Ready to process requests.
6. Abrimos una nueva ventana consola y digitamos lo siguiente:
mint@mint ~ $ sudo radtest usuarioPrueba pruebaPass localhost 0 testing123
Se debe obtener algo como lo siguiente:
mint@mint ~ $ sudo radtest usuarioPrueba pruebaPass localhost 0 testing123 Sending Access-Request of id 166 to 127.0.0.1 port 1812 User-Name = "usuarioPrueba" User-Password = "pruebaPass" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=166, length=20
Si el test anterior funciona, se sabe que los más importantes métodos de autenticación funcionan: PAP, CHAP, MS-CHAPv1, MS-CHAPv2, PEAP, EAP-TTLS, EAP-GTC, and EAP-MD5.
Descripción del comando anterior:
- sudo: lo utilizamos para ejecutar comandos con privilegios que de otra forma nos serían negados (al menos en la config default de linux mint).
- radtest: comando que ejecuta las pruebas
- usuarioPrueba: el nombre de usuario que configuramos en el punto 4.
- pruebaPass: password que configuramos en el punto 4
- radius-server: hostname del servidor, se configura en clients.conf
- 0: número de puerto nas. Cualquier Integer de 0 hasta 2^31 va a funcionar en este caso.
- testing123: "shared secret" entre el NAS (Network Access Server o el famos Authenticator) y el servidor freeradius. En este caso testing123 es el "shared secret" por defecto para propósitos de prueba. Esto se puede ver en /etc/freeradius/clients.conf en la sección "client localhost".
7. Configurar un cliente (NAS o Authenticator que en este caso es un Switch Cisco 3500):
mint@mint ~ $sudo vi /etc/freeradius/clients.conf
client 192.168.1.4 {
secret = secretPass
shortname = cisco3500
nastype = cisco
}
8. Agregamos un usuario en nuestra máquina corriendo linux mint
sudo useradd lrodrigo
sudo passwd lrodrigo
//Aca se confirma el password "miPasword" del usuario "lrodrigo" q acabamos de crear.
sudo useradd lrodrigo
sudo passwd lrodrigo
//Aca se confirma el password "miPasword" del usuario "lrodrigo" q acabamos de crear.
9. Configuramos el acceso para el usuario lrodrigo dentro de la config de freradius
sudo vi /etc/freeradius/users
#usuario de test que autentia telnet por medio del switch
lrodrigo Auth-Type := System
Service-Type = NAS-Prompt-User,
cisco avpair = "shell:priv-1v1=15"
Reply-Message = "Bienvenido, su autenticacion ha sido exitosa"
# cisco-avpair es un atributo que nos permite asignar el privilegio 15 al usuario cuando se autentica
#esto significa que no va a tener que utilizar el comando "enable" para aumentar el nivel de privilegio
lrodrigo Auth-Type := System
Service-Type = NAS-Prompt-User,
cisco avpair = "shell:priv-1v1=15"
Reply-Message = "Bienvenido, su autenticacion ha sido exitosa"
# cisco-avpair es un atributo que nos permite asignar el privilegio 15 al usuario cuando se autentica
#esto significa que no va a tener que utilizar el comando "enable" para aumentar el nivel de privilegio
En este punto la config del servidor está lista! Falta configurar el NAS (Authenticator) y el Cliente.
La info anterior está basada en el siguiente artículo:
http://www.openlogic.com/wazi/bid/188089/Authenticating-Wi-Fi-Users-with-FreeRADIUS
 | |
| Diagrama de red para esta prueba |
Parte II Configuración en el switch Cisco
1. Configurar un usuario local:
username cisco privilege 15 password cisco
// Esto se hace porque al habilitar la autenticación con radius eventualmente es posible perder acceso al switch
2. Asignar una ip a la interfaz de VLAN 1:
int vlan 1
ip address 192.168.1.4 255.255.255.0
no shut
3. Config de AAA en el switch:
aaa new-model
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key secretPass
aaa authentication login default group radius local
line vty 0 4
login authentication default
line con 0
login authentication default
aaa authorization exec default group radius if-authenticated
aaa accounting exec default start-stop group radius
aaa accounting system default start-stop group radius
//cuando escribimos group radius loca, configuramos la autenticación utilizando radius en primera instancia y si fallase utilizamos la base de datos local. Es por esto que anteriormente se configuró un usuario local.
4. Por último se prueba accesar al switch cisco via Telnet des de la laptop que estamos utlizando como cliente.
Nota: Para esta segunda parte utilizé la guia de config que se presenta en el siguiente post:
http://evilrouters.net/2008/11/19/configuring-freeradius-to-support-cisco-aaa-clients/
Suscribirse a:
Comentarios (Atom)