Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Benutzer

Die mitgelieferte Freeradius-Konfiguration liefert zahlreiche Beispielnutzereinträge mit, die allerdings mit Kommentarzeichen deaktiviert sind. Zuständig ist für die Benutzerkonfiguration die Datei »users« . Im einfachsten Fall trägt man dort direkt einzelne Benutzer ein:

ADMIN Cleartext-Password := "magazin"

Dieser Eintrag weist dem Benutzer »ADMIN« das Attribut »Cleartext-Password« mit dem Wert »magazin« zu. Freeradius liest diese Einträge beim Start. Erfragt nun ein WLAN-Endanwender beim Hotspot um Nutzungserlaubnis, gleicht der Radius-Server das vom Client gesendete Passwort mit diesem Wert ab und schickt die entsprechende Antwort. Änderungen in der Benutzerdatenbank erfordern einen Neustart des Freeradius-Servers.

Das gesamte Freeradius-Konfigurationsverzeichnis sollte nur für den dezidierten Freeradius-Account lesbar sein, auch um die Benutzerpasswörter nicht offenzulegen. Wer sie trotzdem nicht im Klartext in der »users« -Datei speichern möchte, dem bietet das »rlm_pap« -Modul verschiedene Algorithmen an, die einen verschlüsselten Hash des Passworts verwenden, darunter MD5 und SHA-1. Man gibt den verwendeten Algorithmus als Option an und erzeugt den Hash beispielsweise mit »sha1sum« für SHA-1:

echo -n "magazin" | sha1sum

Der folgende Eintrag in der »users« -Datei ersetzt den obigen:

ADMIN SHA-Password := "e3d5a52968cef277f476a78124d8e05f1d558953"

Der Reihe nach

Freeradius arbeitet die Einträge in der »users« -Datei von oben nach unten ab. Bei einem Treffer stoppt es die Verarbeitung, außer der Parameter »Fall-Through = Yes« ist gesetzt. Dieser steht wie andere zusätzliche Optionen in der Zeile unter der Benutzerdeklaration, eingerückt mit einem Tabulator.

Die »users« -Datei kennt zahlreiche weitere Benutzeroptionen, beispielsweise die Uhrzeit, zu der sich ein User authentifizieren kann ( »Login-Time« ). Der Eintrag »Reply-Message« definiert eine benutzerspezifische Antwortmeldung, die beispielsweise eine Ablehnung begründet. Insgesamt stehen mehrere Hundert Optionen zur Verfügung, die einem Hotspot unter anderem benutzerspezifische Netzwerkkonfigurationen vorschlagen; ob er diese umsetzt, kümmert den Radius-Server jedoch nicht, das ist Aufgabe des Netzwerkzugangsknotens. Unter [3] steht die vollständige Liste der von Freeradius unterstützten Attribute bereit.

Der Eintrag »DEFAULT« steht für alle Benutzernamen und dient dazu, allgemeine Einstellungen vorzugeben. Das bedeutet auch, dass Freeradius die Verarbeitung der »users« -Datei abbricht, wenn es auf einen »DEFAULT« -Eintrag stößt, wenn dieser nicht mit »Fall-Through = Yes« ausgestattet ist.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023