PDF de programación - Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Wheezy Stable

con usuarios registrados en

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

INDICE

Paginas

3 - 6
administración y prueba de LDAP.

- Instalacion, configuracion

7 - 10 - Instalacion, configuracion ,
administración y prueba de Freeradius

10 – 11 - Configuración del punto de acceso

(AP) para usar Radius.

12 – 15 -Prueba del funcionamiento del

servidor con error de credenciales.

16 - 18

- Configurando PEAP.

18 – 33

- Pruebas de las conexiones wifis
desde varios sistemas y modificando
de la configuracion de las conexiones.
Prueba del buen funcionamiento del
servidor.

33 - 38 - Problemas encontrados con sus
respectivos procedimientos para
solucionarlos.

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Características del servidor

Sistema operativo: Debian 7 Wheezy Stable 32b

•
• RAM: 1024MB
• HDD: 15GB
•

Sistema de virtualización: Oracle VM VirtualBox

¿Qué es OpenLDAP?

OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory
Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP.
Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de
comunicación independiente de la plataforma.
Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este
software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows
(NT y derivados, incluyendo 2000, XP, Vista), y z/OS.

Instalación de OpenLDAP

Lo primero vamos a comprobar que nuestro equipo posee un FQDN definido correctamente:

Observamos:

• Nombre del equipo: “peasodebian”.
• Dominio: “azeroth.com”.

Instalamos el paquete “slapd” (y las dependencias que nos proponga):

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Nos pedirá (2 veces) la contraseña de “Administrador” que tendrá el administrador de LDAP.

Ejecutamos el comando #dpkg-reconfigure slapd

• Nombre de dominio DNS: servidorldap.azeroth.com
• Nombre de la Organización: Proyecto Gonzalo Carmona
• Contraseñaa del administrador : “la password que queramos”
• Motor de base de datos a utilizar: BDB
•

¿Permitir el protocolo LDAPv2?: No (salvo que sea necesario)

Cuando acabe la instalación nos devolverá:
root@peasodebian:/home/usuario# slapcat
dn: dc=servidorldap,dc=azeroth,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Proyecto Gonzalo Carmona
dc: servidorldap
structuralObjectClass: organization
entryUUID: c93138d4-5714-1032-8213-b77ded0e10c0
creatorsName: cn=admin,dc=servidorldap,dc=azeroth,dc=com
createTimestamp: 20130522101909Z
entryCSN: 20130522101909.694127Z#000000#000#000000
modifiersName: cn=admin,dc=servidorldap,dc=azeroth,dc=com
modifyTimestamp: 20130522101909Z

dn: cn=admin,dc=servidorldap,dc=azeroth,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9cE15M1VlN1QxZjg0UHJOVGdQZy9MYlhWdmxxeGFOTks=
structuralObjectClass: organizationalRole
entryUUID: c9328022-5714-1032-8214-b77ded0e10c0
creatorsName: cn=admin,dc=servidorldap,dc=azeroth,dc=com
createTimestamp: 20130522101909Z
entryCSN: 20130522101909.702509Z#000000#000#000000
modifiersName: cn=admin,dc=servidorldap,dc=azeroth,dc=com
modifyTimestamp: 20130522101909Z

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Creamos dos unidades organizativas (People y Group)

Ejecutamos el comando “#slappasswd”, introducimos una contraseña dos veces y nos devolverá
algo parecido a: {SSHA}IRI0WLbbmbyAt9s/DEYDL8OzYvvP+R/Q. Esto es la contraseña que
tenemos que asignar en el campo “UserPassword” para introducir al usuario.

Creamos un archivo llamado “base.ldif” (en realidad da igual como se llame el archivo, es para
organizarnos), con el siguiente contenido:

dn: ou=People,dc=servidorldap,dc=azeroth,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=servidorldap,dc=azeroth,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

Paramos el servicio slapd (#/etc/init.d/slapd stop).
Agregamos las nuevas entradas con el siguiente comando:
#slapadd -l base.ldif

Editamos el archivo base.ldif, borramos su contenido y agregamos lo siguiente:
dn: cn=pruebag,ou=Group,dc=servidorldap,dc=azeroth,dc=com
objectClass: posixGroup
objectClass: top
cn: pruebag
gidNumber: 2000

dn: uid=pruebau,ou=People,dc=servidorldap,dc=azeroth,dc=com
uid: pruebau
cn: Usuario de prueba
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}IRI0WLbbmbyAt9s/DEYDL8OzYvvP+R/Q
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 2000
homeDirectory: /home/pruebau
gecos: Usuario de prueba
host: *

Volvemos hacer “#slapadd -l base.ldif”.

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Administración de LDAP de forma gráfica
Una vez introducido lo básico del dominio, vamos a trabajar de una forma visual más agradable, ya
que el principal propósito de este proyecto no es usar y enseñar cada uno de los comandos de
OpenLDAP.

Instalamos el siguiente paquete desde el repositorio:
#aptitude install phpldapadmin

Instalamos otro paquete necesario:
#aptitude install php5

Despues de las instalaciones reiniciamos los siguientes servicios:
#/etc/init.d/slapd restart
#/etc/init.d/apache2 restart

Accedemos a la interfaz web con “http://localhost/phpldapadmin”Nos logueamos:

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

¿Qué es FreeRadius?

IES Gonzalo Nazareno

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP.
Utiliza el puerto 1812 UDP para establecer sus conexiones.

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi,
se envía una información que generalmente es un nombre de usuario y una contraseña. Esta
información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP,
quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP
o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de
red como una dirección IP, y otros parámetros como L2TP, etc.

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá
determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos
estadísticos.

RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus
Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139.
Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las
prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto,
servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear
remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración
centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer
conversiones entre dialectos de diferentes fabricantes)....

RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan
sus propios dialectos.

Instalación de FreeRadius

Instalaremos el paquete “freeradius-ldap” ya que el nos instalará todo lo necesario tambien.

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Consultamos los paquetes que tenemos instalados referente a FreeRadius:

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Habilitar autenticación LDAP en FreeRadius

Modificamos el fichero “/etc/freeradius/modules/ldap”.
En el fichero cambiaremos lo siguiente:

ldap {
server = "127.0.0.1"
identity = "cn=admin,dc=servidorldap,dc=azeroth,dc=com"
password = momaso
basedn = "dc=servidorldap,dc=azeroth,dc=com"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
#base_filter = "(objectclass=radiusprofile)"

Explicamos que es cada campo:

•
•
•

•

server= Nombre del servidor LDAP, o en su defecto IP.
identity= Usuario con privilegios en el ldap y dominio de busqueda.
password= Password de este usuario
(es posible suprimir estos dos campos)
basedn= le decimos donde buscar en el ldap

Editamos el fichero “/etc/freeradius/sites-enabled/default :
authorize {
#
# The ldap module will set Auth-Type to LDAP if it has not
# already been set
ldap
....

}

authenticate {

# Uncomment it if you want to use ldap for authentication
#
# Note that this means "check plain-text password against
# the ldap database", which means that EAP won't work,
# as it does not supply a plain-text password.
Auth-Type LDAP {
ldap
}

Tenemos que configurar una “shared key” que usara el router/AP para autenticarse con el servidor
FreeRadius. Editamos el fichero “/etc/freeradius/clients.conf”:

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

Reiniciamos el servicio:

IES Gonzalo Nazareno

Usaremos la herramienta “radtest” para comprobar el funcionamiento:

En esta captura anterior vemos que acepta la conexión con un usuario local.

Probamos con un usuario del LDAP:

Debian Wheezy Stable + OpenLDAP + FreeRadius

Gonzalo Carmona

IES Gonzalo Nazareno

Demostramos que el usuario es SOLO de LDAP y no un usuario de