Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Benutzerdatenbanken

Freeradius ermöglicht es weiterhin, die Benutzerdaten in anderen Quellen als nur in der »users« -Datei zu speichern. Neben Modulen für verschiedene SQL-Datenbanken kommen auch Active Directory Service (ADS) und LDAP in Frage.

Für MySQL genügt es, die Benutzerdaten mit denselben Attributen und Werten in die Datenbank einzutragen wie in die Benutzerdatei. Die mitgelieferten SQL-Skripte »admin.sql« und »schema.sql« im Unterverzeichnis »sql/mysql« legen Benutzer, Datenbanken und Schemata an. Für PostgreSQL stehen passende Pendants bereit.

Dann aktiviert man in der Datei »radiusd.conf« den Eintrag »$INCLUDE sql.conf« , der standardmäßig auskommentiert ist. In »sql.conf« bietet die Option »database« die Wahlmöglichkeiten »mysql« , »mmsql« , »oracle« und »postgresql« . Nun definieren in derselben Datei »server« , »login« und »password« die Zugangsdaten zur Datenbank.

Die angelegte MySQL-Datenbank enthält die einzelnen Benutzereinträge in der Tabelle »radcheck« . Die Felder »username« , »attribute« , »value« und »op« setzt man beispielsweise auf »ADMIN« , »Cleartext-Password« , »magazin« und »:=« , um einen Benutzer mit denselben Attributen anzulegen wie oben für die »users« -Datei gezeigt.

Die Tabelle »radreply« definiert benutzerspezifische Antwortmeldungen sowie Netzwerkeinstellungen. In »usergroup« werden die Benutzer den Gruppen zugeordnet. »radgroupreply« wiederum definiert dazu gruppenspezifische Antworten [4].

Active Directory

Der Rückgriff auf Benutzerdaten in einem Active Directory erfolgt mithilfe des Programms »ntlm_auth« aus dem Samba-Paket [5]. Der Zugang mit Username, Domäne und Passwort lässt sich manuell mit diesem Befehl testen:

ntlm_auth --request-nt-key --domain=Domäne --username=Benutzer --password=Passwort

Diese Kommandozeile steht in ähnlicher Form auch in der Freeradius-Konfigurationsdatei »modules/ntlm_auth« . Darin passt man den Pfad für den Programmaufruf an, etwa zu »/usr/bin/ntlm_auth« , und die Domäne (Realm) an die des ADS-Servers. Benutzernamen und Passwörter stammen direkt vom anfragenden Client. Abschließend aktiviert man das Modul in den Dateien »sites-enabled/default« und »sites-enabled/inner-tunnel« ; der Block »authenticate« führt die erlaubten Authentifizierungsmethoden auf, dort fügt man die Zeile »ntlm_auth« hinzu. Details zur Konfiguration und Fehlersuche zu Freeradius und Active Directory Service zeigt [6].

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019