Kymenlaakson ammattikorkeakoulu. Joni Ruotsalainen

Samankaltaiset tiedostot
Linux-ylläpito: Verkkopalvelut 4. Kalvosetti. Jani Jaakkola

TEHTÄVÄ 3: * Tehtävä 1, ** Tehtävä 2

Yleistä tietoa Windows tehtävästä

Directory Information Tree

erasmartcardkortinlukijaohjelmiston

TEHTÄVÄ 4: Microsoft Windows Deployment Services asennus ja hallinta

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Kytkimet, reitittimet, palomuurit

SSH Secure Shell & SSH File Transfer

Tikon Ostolaskujenkäsittely versio SP1

MS Aamubrunssi Aktiivihakemiston uutuudet

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

HP:n WLAN-kontrollerin konfigurointi

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.4.0

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tikon Ostolaskujenkäsittely versio 6.2.0

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Unix-perusteet. Tulostaminen

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

KRTT Oulu Windows AD-terveystarkistus 2008 Kimmo Rousku sivu 1 (20)

Yleinen ohjeistus Windows tehtävään.

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

NT4.0 palvelin- ja Windows 2000 työasemaasennus

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Yleinen ohjeistus Taitaja-tehtävään Windows

ICTLAB palomuuri ja etähallintayhteydet

Liityntäpalvelimen liittäminen tuotantoympäristöön esuomi.fi

Kaakkois-Suomen Ammattikorkeakoulu Oy Mikkelin Ammattikorkeakoulu Oy Kymenlaakson Ammattikorkeakoulu Oy

1. päivä ip Windows 2003 Server ja vista (toteutus)

Liityntäpalvelimen asentaminen

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Pertti Pennanen pepe.local 1 (38) EDUPOLI ICTPro

Aditro Tikon ostolaskujen käsittely versio 6.2.0

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Windows Server 2008 R2, tietojen päivitys

Lync Online. Järjestelmänvalvojan perusopas

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

Identiteettipohjaiset verkkoja tietoturvapalvelut

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

Hallintatyökaluja Fujitsu-työasemille

Aditro Tikon ostolaskujen käsittely versio SP1

HY:n ehdotus käyttäjähallintotuotteesta

Valppaan asennus- ja käyttöohje

Yleinen ohjeistus Linux tehtävään

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Viva-16. Käyttöohje Veikko Nokkala Suomen Videovalvonta.com

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Novapoint Lisensiointi. Copyright 2006, ViaNova IT AS. All rights reserved 1

Opas Logitech Harmony 525 asennusohjelmistoon

TIETOKONEASENTAJAN AMMATTITUTKINTO OHJELMISTOJEN KÄYTTÖ JA ASENNUS, ENNAKKOTEHTÄVÄ

Työasemien hallinta Microsoft System Center Configuration Manager Jarno Mäki Head of Training Operations M.Eng, MCT, MCSE:Security, MCTS

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

Redundanttisuus kontrolleripohjaisessa langattomassa lähiverkossa. Hakkarainen, Joni Vanhala, Pasi

1 ASENNA UUSI VIRTUALIKONE (WINDOWS SERVER 2008 R2)

Uuden palvelun lisääminen liityntäpalvelimelle esuomi.fi

1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2

Coolselector Asennusohje

ohjeita kirjautumiseen ja käyttöön

Option GlobeSurfer III pikakäyttöopas

1 ASENNA UUSI VIRTUALIKONE (WINDOWS SERVER 2008 R2)

FuturaPlan. Järjestelmävaatimukset

Käyttäjäistunnon poistaminen Pervasive.SQL:stä

AXXION OY. Hosting-palvelut Asiakasohjeistus Versio 1.0

Turvallinen etäkäyttö Aaltoyliopistossa

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / tietoverkkotekniikka. Jarno Akkanen, Antti Parkkinen. Nagios verkkovalvonta- palvelin

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Visma Document Center 8.01 Asennus ja päivitys (Visma Nova) Ohje

Liityntäpalvelimen liittäminen testiympäristöön esuomi.fi

Linux - käyttöoikeudet

HARJOITUS 2: Käyttäjien ja käyttäjäryhmien luominen, Active Directory Users and Computers

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

SuomiCom-sähköpostiasetukset Microsoft Outlook 2016

Käytin tehtävän tekemiseen Xubuntu käyttöjärjestelmää aikaisemmin tekemältäni LiveUSB-tikulta.

Aditro Tikon ostolaskujen käsittely versio SP1

Mac-tietokoneiden hallinta

server "Ismo" $ uname -a Linux ismo #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686 GNU/Linux $ cat /etc/issue Debian GNU/Linux 5.

Asennusohje. Sahara-ryhmä. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Taitaja 2015 Windows finaalitehtävä

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

TW-EAV510AC-LTE OpenVPN ohjeistus

Opinnäytetyön loppuseminaari

Ohjeet vastaamiseen SFTP:llä. Yleistä Kirjautuminen Varmistus/sormenjälki Tiedostojen kopiointi Yhteystietojen antaminen

Titan SFTP -yhteys mittaustietoja varten

GPRS-lisäpalvelu INTERNET-ASETUKSET

lomake 6 Taitaja 2005 Osio Osion kuvaus Pisteosuus Päivä 1 Päivä 2 Päivä 3 Päivä 4 Yhteensä Allekirjoitukset

Transkriptio:

Kymenlaakson ammattikorkeakoulu Joni Ruotsalainen Radius-autentikointi 26.4.2012

Sisällys 1. Johdanto ja tavoite... 3 2. Radius-clientit... 4 2.1 Siemens hid 6610 -kytkimet... 4 2.2 Cisco-laitteet... 4 3. Active Directoryn konfigurointi... 5 3.1 Radius-käyttäjäryhmän luominen... 5 3.2 Käytettäessä Windowsin Network Policy Serveriä... 6 4. Freeradius-palvelin - Centos 6.2... 8 5. Huomioita ja loppusanat... 11

1. JOHDANTO JA TAVOITE Käytettäessä Radius-autentikointia verkon laitteisiin kirjautumisen yhteydessä voidaan pääsynhallinta hoitaa keskitetysti. Projektin tavoitteena oli tutustua Radiukseen ja selvittää erityisesti Freeradiuksen käyttöönottoa sekä AD-integraatiota koskevia asioita. Muitakin, pääasiassa kaupallisia Radius-palvelinohjelmistoja on olemassa. Windowsilla esim. TekRadius, Clearbox, Windows Server 2003:ssa IAS (Internet Authentication Service), Windows server 2008:ssa ja R2:ssa NPS (Network Policy Server) tai Cisco ACS.

2. RADIUS-CLIENTIT Radius-palvelimen ja clientien välinen liikenne kuljetetaan protokollan 1812-1813(UDP) porttien kautta. 2.1 Siemens hid 6610 -kytkimet Kytkimet sallivat viiden yhtäaikaisen Radius/Tacacs -palvelimen käytön, joten Radius-palvelu on tältä osin mahdollista varmentaa. Radius-autentikoinnin epäonnistuessa turvaudutaan kirjautumisessa laitteen paikalliseen käyttäjäkantaan. Hätätapauksia varten joka laitteessa oltava paikallinen admintunnus. Otetaan Radius-autentikointi käyttöön paikallisesti (console): login local radius primary login local radius enable ja etäyhteyksillä: login remote radius primary login remote radius enable Asetetaan Radius-palvelinten osoitteet ja avaimet: 2.2 Cisco-laitteet login radius server 10.0.0.8 radius9000 Ciscon IOS-järjestelmissä Radius käyttää oletuksena portteja 1645-1646: (config)aaa new-model (config)aaa authentication login default group radius local enable (config)radius-server host 10.0.0.8 auth-port 1812 acct-port 1813 key radius9000

3. ACTIVE DIRECTORYN KONFIGUROINTI 3.1 Radius-käyttäjäryhmän luominen Käytettäessä muita kuin Windowsin NPS:ää, AD:n puolelta tarvitsee vain huolehtia, että Radius-palvelimen konetili on kunnossa ja luoda uusi ryhmä radiuskäyttäjille, esim. Radius-users. Lisätään halutut käyttäjät tähän ryhmään.

3.2 Käytettäessä Windowsin Network Policy Serveriä Windows server 2008 R2 standardissa rajoituksena 50 Radius-clienttiä.. Enterprise- ja datacenter-versioissa tätä rajoitusta ei ole (http://technet.microsoft.com/en-us/library/dd365355(ws.10).aspx). Päivitys Windows Server 2008 R2 Enterpriseen mahdollista 2003:n ja 2008:n standardversioista (http://technet.microsoft.com/en-us/library/dd979563(ws.10).aspx). Rooli asennetaan server managerin kautta. Luodaan NPS:stä uusi policy testi kuvassa näkyvin asetuksin. Tärkeinpänä service-type: login, joka sallii kirjautumisen. Myös autentikointivaihtoehtoja on valittavissa useita. Tässä voidaan määritellä myös valmistajakohtaisia Radius-parametrejä. Mikäli käytetään usean valmistajan laitteita ja valmistajakohtaisia Radius-attribuutteja, monimutkaistuu ylläpito huomattavasti.

Radius-clienttejä voidaan lisätä yksitellen tai useampia ilmoittavalla IP/mask esim. 10.0.0.0/24 sekä Radius-avain:

4. FREERADIUS-PALVELIN - CENTOS 6.2 Isäntäjärjestelmäksi valittiin Centos-järjestelmän server -versio, jonka lisäksi asennettiin paketit freeradius freeradius-ldap freeradius-utils samba openldapservers dependensseineen. Freeradiuksen dokumentaatio on avoimen lähdekoodin ohjelmistoille tyypilliseen tapaan pirstoutunut; osa virallisilla sivuilla olevasta tiedosta on vanhaa. Vaikka konfiguraatiotiedostot on pääosin hyvin kommentoitu, on oikeiden asioiden suodattaminen niistä kovin aikaa vievää. Freeradiuksen konfigurointi vaatii useamman konfiguraatiotiedoston muokkaamista. IPv6:een siirtymisen helpottamiseksi on suotavaa käyttää nimiä IP-osoitteiden tilalla siellä, missä se vain on mahdollista. o Freeradiuksen ydinkonfiguraatio on tiedostossa /etc/raddb/radiusd.conf. Kiinnostavimpana asiana tässä tiedostossa: Lokitus, joka tallentaa oletuksena tiedostoon /var/log/radius/radius.log. Kirjautumiset saadaan tallennettua muuttamalla lokitusta koskevaa asetusta auth = no -> auth = yes. Myös oikein/väärin kirjoitetut salasanat saadaan tallennettua niin haluttaessa. Lokin selaamiseen riittänevät komentorivityökalut cat ja grep, joilla saadaan nopeasti esille halutut tiedot. Seuraavassa esimerkiksi palvelin käynnistetty, hyväksytty kirjautuminen, kirjautumisyritys väärällä tunnuksella ja väärällä salasanalla: o /etc/raddb/clients.conf tiedostossa määritellään sallitut Radiusclientit. Esimerkiksi seuraavassa sallitaan kyselyt 10.0.0.x osoitteista käytettäessä radius9000-avainta. Shortname kuvaa laiteryhmää ja näkyy lokitiedoissa. client 10.0.0.0/24 { secret=radius9000 shortname=a-switches } o AD-yhteyttä varten tarvitaan Samba-ohjelmiston työkaluja. /etc/samba/smb.conf tiedostoon määritellään tarvittavat ADpalvelinta koskevat tiedot ja Radius-palvelimen NETBIOS-nimi: security = ads realm = PROVIDERSUNITED.COM password server = WIN-LEJVIUI8P3I winbind separator = +

winbind use default domain = yes workgroup = PROVIDERSUNITED netbios name = RADIUS o /etc/krb5.conf tiedostossa asetetaan default_realm, realms ja domain_realm vastaamaan Samban asetuksia: [libdefaults] default_realm = PROVIDERSUNITED.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] PROVIDERSUNITED.COM = { kdc = WIN-LEJVIUI8P3I.providersunited.com admin_server = WIN-LEJVIUI8P3I.providersunited.com default_domain = providersunited.com } [domain_realm].providersunited.com = PROVIDERSUNITED.COM providersunited.com = PROVIDERSUNITED.COM o /etc/raddb/sites-available/default lisättävä NTLM-autentikointi: authenticate { Auth-Type ntlm_auth { ntlm_auth } authorize { ntlm_auth } Edellisten konfiguraatiomuutosten jälkeen on tärkeää syknronoida Radiuspalvelimen kello vastaamaan AD-palvelimen aikaa koneen liittämiseksi. ntpdate WIN-LEJVIUI8P3I.providersunited.com Annetaan Radius-palvelimelle oikeus lukea dataa AD:ltä: kinit Administrator@PROVIDERSUNITED.COM Käynnistetään SMB ja NMB uudelleen, jotta muutokset tulevat voimaan: /etc/init.d/smb start && /etc/init.d/nmb restart Liitetään kone net ads join UAdministrator /etc/raddb/modules/ntlm_auth tiedostossa osoitettava ntlm-auth binaarin sijainti ja haluttaessa sallittavan vain tietyn käyttäjäryhmän autentikointi, selvitetään tarvittava ryhmän sid-tunnus komennolla wbinfo n @Radiususers, jonka tuloksena saadaan seuraavaa: S-1-5-21-1147742945-3860970398-

2663272961-2613 SID_DOM_GROUP (2) exec ntlm_auth { wait = yes program = "/usr/bin/ntlm_auth --request-nt-key -- domain=providersunited.com --username=%{mschap:user- Name} --require-membership-of=s-1-5-21-1147742945-3860970398-2663272961-2613 --password=%{user-password}" } Testataan käyttäjän autentikointia ntlm_auth:lla: 1Shellistä 2Erillisellä ohjelmalla

3Kysely Radius-palvelimen näkökulmasta debug-tilassa Normaalissa toiminnassa nämä tiedot eivät ole näkyvissä. 5. HUOMIOITA JA LOPPUSANAT Tässä dokumentissa esitetty konfiguraatio sopii hyvin henkilöstömäärältään pienelle yritykselle: kaikilla halutuilla käyttäjillä on tasavertaiset oikeudet laitteisiin ja kirjautumisyritykset tallennetaan. Käyttäjien oikeuksien muokkaaminen tapahtuu täysin AD:n kautta. Radius-palvelin ei normaalissa toiminnassa tarvitse ylläpidollisia toimia ainoastaan clientteja lisätessä.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute