USD: 3,5880  EURO: 4,0047 Koszyk     
 
  Menu
 
 
  Szukaj produktu
 
 
 
  Wybrane artykuły
 
 
#21159#21591
 
  Partnerzy
 
 
  Biuletyn
 
By zamówić biuletyn nowości podaj swój email:
 
 
 
  Szybki kontakt
 
Dział Handlowy:
fax: +48 (77) 544 9333
gg: 4434582
 
 Bestpartner » Pomoc techniczna, porady, certyfikaty
 

Autoryzacja MAC: Ubiquiti AirOS 5.5 + FreeRADIUS + MySQL

W wersji 5.5 oprogramowania AirOS zapewniono oficjalne wsparcie dla autoryzacji MAC adresów z użyciem serwera RADIUS. Poniżej opis konfiguracji urządzeń UBNT oraz serwera na przykładzie serwera FreeRADIUS współpracującego z bazą danych opartą o MySQL.

Serwer FreeRADIUS instalujemy na komputerze, do którego dostęp będa mieć urządzenia Ubiquiti.

Potrzebujemy dokonać zmian w konfiguracji, w kalogu raddb odnajdujemy plik sql.conf i dokonujemy zmian, tak by serwer FreeRADIUS korzystał z bazy danych MySQL:

sql {
   database = "mysql"
   driver = "rlm_sql_${database}"

   #parametry serwera mysql

   server ="localhost"
   port = "3306"
   login = "radius"
   password = "tajnehaslo"
   radius_db = "radius"

   read_groups = yes
   deletestalesessions = yes
   num_sql_socks = 64
   connect_failure_retry_delay = 60
   lifetime = 0
   max_queries = 0
   nas_table = "nas"
   $INCLUDE sql/${database}/dialup.conf
}

W pliku radius.conf w sekcji "modules" upewniamy się że serwer będzie korzystał ze zdefiniowanej wcześniej konfiguracji (linia "$INCLUDE sql.conf"):

modules {
   $INCLUDE ${confdir}/modules/
   $INCLUDE eap.conf
   $INCLUDE sql.conf
}

W kolejnym pliku clients.conf definiujemy nasze stacje bazowe, które będą korzystały z serwera RADIUS, zakładamy że adres IP urządzenia Ubiquiti to 192.168.0.10:

client 192.168.0.10 {
   secret = tajnehaslo
   nastype = other
}

W katalogu sites-available modyfikujemy plik instancji serwera (domyślnie jest to plik default), tak aby w sekcji authorize następowało sprawdzanie, czy dany MAC adres występuje w bazie danych, jeśli tak, autoryzujemy go na AP:

authorize {
   preprocess
   if("%{sql:SELECT COUNT(*) FROM `tablica_mac` WHERE mac_address = '%{Calling-Station-ID}'}" >= 1) {
      ok
      update control { Auth-Type := Accept }
   } else {
      reject
   }
}

W powyższym przykładzie zakładamy, że adresy MAC znajdują się w tablicy "tablica_mac" w polu o nazwie "mac_address". Format adresów MAC jest możliwy do zdefiniowania na urządzeniach Ubiquiti z AirOS, jeżeli przechowujemy adresy MAC w innym formacie, należy odpowiednio zmodyfikować zapytanie SQL (na przykład poprzez funkcje LOWER(), UPPPER(), REPLACE() itp.)

Możliwe jest też bardziej dokładne sprawdzanie połączeń ze stacjami bazowymi, na przykład każdy MAC może być autoryzowany tylko do określonego SSID:

authorize {
   preprocess
   if("%{sql:SELECT COUNT(*) FROM `tablica_mac` WHERE mac_address = '%{Calling-Station-ID}'} AND ssid = '%{Called-Station-SSID}'" >= 1) {
      ok
      update control { Auth-Type := Accept }
   } else {
      reject
   }
}

W razie problemów z konfiguracją, serwer FreeRADIUS możemy uruchomić w trybie "debug", który dostarcza bardzo wiele dokładnych informacji o problemach z konfiguracją, za pomocą polecenia:

# radiusd -X

Kolejnym krokiem jest przygotowanie urządzeń Ubiquiti do współpracy ze serwerem FreeRADIUS. Jeśli wersja oprogramowania jest niższa od 5.5 należy firmware zaktualizować. Wersję oprogramowania sprawdzamy w zakładce "Main":

W przykładzie wyżej wersja 5.3.5 nie ma jeszcze oficjalnego wsparcia dla obsługi RADIUS, dlatego aktualizujemy oprogramowanie urządzenia, w zakładce "System":

Klikamy przycisk "Update..." i wybieramy z dysku plik z nowym oprogramowaniem, które pobrać można ze strony:
http://www.ubnt.com/download, w tym przypadku będzie to wersja XM-v5.5 dla urządzeń Nanostation M5:

Po kliknięciu przycisku "Upload" AirOS potwierdzi poprawność i integralność załadowanego pliku oraz zmianę wersji:

Klikamy "Update", podczas operacji zmiany oprogramowania nie należy wyłączać zasilania urządzenia, które aktualizujemy!:

Po kilku minutach możemy ponownie zalogować się do AP, wszelkie ustawienia np. adresacja IP, login i hasło zostaną zapamiętane, a wersja oprogramowania uaktualniona:

Przechodzimy do zakładki "Wireless" gdzie pojawią się nowe opcje w sekcji "Wireless Security", dotyczące autoryzacji adresów MAC z użyciem serwera RADIUS. Zaznaczmy pierwszy checkbox "RADIUS MAC Authentication", jak poniżej:

Wybieramy format MAC adresu stacji klienckich, jaki urządzenie UBNT będzie prezentować serwerowi RADIUS, tak by odpowiadało formatowi jaki posiadamy w bazie MySQL:

Zaznaczamy drugi checkbox "Use Empty Password", w polu "Auth Server IP/Port" podajemy adres IP serwera RADIUS, oraz numer portu na którym pracuje serwer autoryzacji, domyślnie jest to 1812.

W polu "Auth Server Secret" podajemy hasło, które zdefiniowaliśmy wcześniej w konfiguracji RADIUS w pliku clients.conf:

Po wpisaniu wszystkich informacji, zatwierdzam konfigurację przyciskiem "Change" i następnie "Apply".

Stacje klienckie będą teraz autoryzowane po przedstawianym adresie MAC, poprzez serwer RADIUS i nie ma już potrzeby utrzymywania listy ACL osobno na każdym punkcie dostępowym.

Oprogramowanie FreeRADIUS na licencji BSD można pobrać ze strony projektu: http://freeradius.org/download.html

 

 

Porady BESTPARTNER

Dbając o dobro naszych Klientów, zamieszczamy dział porad dotyczących sieci, konfiguracji urządzeń i oprogramowania, sposobów wykonywania połączeń.

BESTPARTNER - Technika - tematy 1. Teoria WLAN.
2. Łączenie anten.
3. Instalacja karty WU-221P (ATMEL FastVNET) dla Windows.
4. Wybór optymalnego kabla.
5. Ilu użytkowników do jednego AP?
6. Instalacja karty WU-221P pod Linuxem.
7. Optymalny dobór kanałów.
8. Wireless LAN w praktyce - zastosowania.
9. Konfiguracja filtra pakietów w AP IWE 1100 PRO/PRO MAX.
10. Przykładowe użycie mechanizmu SNMP w AP Interepoch.
11. EIRP, dBm, dBi - przeliczanie.
12. Ochrona przeciwprzepięciowa sieci LAN.
13. Podstawy bezpieczeństwa w sieci bezprzewodowej.
14. Duplikowanie się pakietów na łączach WLAN.
15. Tabela parametrów kabli koncentrycznych.
16. Raport z testów urządzeń airHaul Nexus firmy smartBridges.
17. Połączenie mostowe 5 GHz z użyciem urządzeń CA8-4.
18. Odczyt RSSI za pomocą z_shell w urządzeniach CA8-4.
19. Ustawianie prędkości połączenia w urządzeniach CA8-4.
20. Połączenie WDS w urządzeniach Compex WPP54
21. Propagacja i tłumienie fal radiowych
22. Rodzaje złącz koncentrycznych
23. Złącza światłowodowe
24. Standardy bezprzewodowe 802.11ac i 802.11ad
25. Mikrotik Routerboard jako koncentrator PPPoE
26. Konfiguracja Mikrotik Routerboard jako Hot Spot
27. Autoryzacja MAC: Ubiquiti AirOS 5.5 + FreeRADIUS + MySQL
28. Tłumienie fali elektromagnetycznej w deszczu
29. BPG: Mikrotik + BIRD routing daemon
30. Jaką dobrać antenę dla Twojego operatora transmisji danych?
31. W jaki sposób umiescić na stronie WWW dostępny dla wielu uzytkowników strumień video ?
32. Mikrotik - jak skonfigurować tunel EoIP lub VPLS (i test RB750)
33. Iperf - przykłady użycia, pomiar parametrów sieci
34. Konsumpcja przepustowości w transmisji audio / video
35. Agregacja portów LAN - scenariusze
36. Obiektywy do kamer i ich kąt widzenia
37. Jak umieścić obraz z kamery IP na stronie WWW (wideo)
38. Szyfrowanie połączeń WLAN (przykład UBNT)
39. Jak wysłać obraz z kamery lub rejestratora IP do Youtube?


 
© BEST PARTNER Wszelkie prawa zastrzeżone | Webmaster