Tunnel

Die im vorherigen Absatz erwähnte Modulkonfigurationsdatei »sites-enabled/inner-tunnel« kommt unter anderem bei der Authentifizierung mittels WPA-Enterprise zum Tragen. Der WPA-Enterprise zugrunde liegende 802.1X-Standard definiert nämlich eine verschlüsselte Verbindung nach dem EAP-over-LAN-Protokoll (EAPOL), wobei EAP für »Extensible Authentication Protocol« steht.

Bei EAPOL erfolgt die Übermittlung der Benutzerdaten vom Client an den Zugangsknoten, bei 802.1X der WLAN-Hotspot, über einen verschlüsselten Tunnel. Der Zugangsknoten gibt die Anfrage an den Radius-Server weiter, der diese nach dem üblichen Prinzip behandelt. Allerdings liest Freeradius bei der Verwendung von EAP-Protokollen eben statt »sites-enabled/default« die Liste der Module aus »sites-enabled/inner-tunnel« .

Der Tunnel benötigt weiterhin ein Verschlüsselungszertifikat. Im Produktivbetrieb sollte dies von einer vertrauenswürdigen Stelle signiert werden. Dem Freeradius-Quellpaket liegt aber zu Testzwecken ein Demozertifikat bei, das der Befehl »make« im Unterverzeichnis »certs« generiert. Allerdings fehlt das Demo-Zertifikat in den Paketen der meisten Linux-Distributionen, da es sich eben nicht um ein signiertes und damit vertrauenswürdiges Zertifikat handelt.

Wer die EAPOL-Authentifizierung ausprobieren möchte, findet dafür außerdem das Programm »eapol_test« im WPA-Supplicant-Paket, das die verschiedenen WPA-Verschlüsselungsmechanismen zu Test- und Analysezwecken implementiert. Standardmäßig wird »eapol_test« allerdings nicht kompiliert, sondern nur wenn man in den Quellen die Konfigurationsoption »CONFIG_EAPOL_TEST=y« aktiviert. Sie steht auskommentiert in der Datei »defconfig« im Unterverzeichnis »wpa_supplicant« des WPA-Supplicant-Quellpakets; also kopiert man diese Datei nach »wpa_supplicant/.config« , entfernt das Kommentarzeichen in der ».config« -Datei und kompiliert mit »make eapol_test« .

Für den Test von WPA-Enterprise eignet sich die Beispielkonfigurationsdatei »peap-mschapv2.conf« unter [7] . Darin passt man die Einträge »identity« und »password« an, um einen in Freeradius angelegten User zu authentifizieren. Nun erfolgt der Test mit:

eapol_test -c peap-mschapv2 -s Client-Passwort

Das Client-Passwort entspricht dabei dem in der Datei »clients.conf« festgelegten. In der vorgegebenen Beispielkonfiguration für »localhost« heißt es »testing123« . Nach erfolgreichem Test sollte man den »localhost« -Client wie alle nicht verwendeten Client-Einträge deaktivieren oder das Passwort ändern.

Hürdenlauf

Freeradius ist für die Benutzerverwaltung in der Größenordnung von Internet-Providern konzipiert worden. Die mit Freeradius paketierte Standardkonfiguration erhält damit einen großen Wert, denn sie macht den Einstieg dennoch einfach; so erhält der lokale WLAN-Hotspot statt eines gemeinsamen Passworts problemlos eine benutzerspezifische Authentifizierung und Konfiguration – WPA-Enterprise-Kompatibilität vorausgesetzt.