SISTEMAS AUTENTICACION

Laboratorio N 1

RADIUS - SWITCH
Tecsup

Laboratorio
RADIUS SWITCH IEEE 802.1X

OBJETIVOS
Implementar protocolo de control de admisin en LAN 802.1x
Configurar el RADIUS con Base de Datos.
Autentificar usuarios de redes LAN en capa 2.

EQUIPOS
2 Computadoras
1 SWITCH Cisco

PROCEDIMIENTO

PARTE 1: RADIUS SIN SOPORTE DE BASE DE DATOS

IMPLEMENTACIN FISICA
1. (SWITCH) Conecte los cables en los siguientes puertos:

EQUIPO PUERTO
RADIUS, SERVER 10
PCL 2

2. (PCL, SERVER) Configure los respectivos parmetros de conectividad asignados.

RADIUS LINUX (FREERADIUS)

PERSONALIZACION
3. Active la maquina virtual CENTOS4 PCC NEW.rar:
4. Logeese con la cuenta root y password tecsup.
5. En el directorio /soft se encuentra los software a usar mas adelante:
# cd /soft
# ls

6. Desactive el servicio de correo: # chkconfig sendmail off

7. Configure los parmetros de red:
# netconfig

8. Reinicie el servicio: # service network restart

REGISTRANDO AL NAS
9. Personalizando un nombre:
# vi /etc/sysconfig/network

HOSTNAME=radius#

# vi /etc/hosts

127.0.0.1 localhost.localdomain localhost

192.168.20.5 radius#
192.168.20.4 switch#

-1-
Tecsup

10.Reinicie el servidor: # init 6

11.Comprueba que exista conectividad entre el CLIENTE, RADIUS y SERVER.

AUTENTICACION EN EL SWITCH
12.Ingrese a consola del SWITCH (9600 bps) y configuremos:

Borra la informacin previamente:

# erase nvram
# reload

Configurando parmetros:

Nota: Para el ingreso de configuracin deber de ingresar al

modo de configuracin: # configure terminal

#Activando AAA
aaa newmodel
# Creando soporte de autenticacion del tipo 802.1x
aaa authentication dot1x default group radius
# Activando autorizacion
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

# Personalizando radius
radius-server host 192.168.20.5 auth-port 1812 acct-port 1813
radius-server key catalyst

# Habilitando 802.1x
dot1x systemauthcontrol

interface Vlan1
ip address 192.168.20.4 255.255.255.0
no shutdown

# Habilitando 802.1x en la interface de los usuarios

interface fastethernet0/2
switchport mode access
dot1x portcontrol auto

AUTORIZANDO AL NAS EN EL RADIUS

13.(RADIUS) Antes de consultar deber de registrar al CATALYST en el RADIUS
para permitirle que le realice consultas. Agregue las siguientes entradas:

# vi /etc/raddb/clients

switch# catalyst

# vi /etc/raddb/naslist

switch# switch# cisco

# service radiusd restart

-2-
Tecsup

HABILITANDO CUENTA A VALIDARSE EN RADIUS

Nota: Ahora que esta habilitado el soporte de control de acceso. PCL

deber ser autorizado por el RADIUS mediante un usuario y password,
para permitir su ingreso a la RED LAN.

14.(RADIUS) Respaldando el archivo original de usurios:

# mv /etc/raddb/users /etc/raddb/users.copia

15.(RADIUS) Generaremos la siguiente cuenta:

usuario Password
cobre Cobre

# vi /etc/raddb/users

cobre User-Password == "cobre"

Auth-Type := Local

Nota: Asegure el ingreso de todas las variables, considerando

maysculas y minsculas.

16.Habilitando para registrar los eventos de autenticacin

# vi /etc/raddb/radiusd.conf

log_auth = yes
log_auth_badpass = yes
log_auth_goodpass =yes

17.Activando el servicio de radius # service radiusd restart

18.Compruebe la activacin de los puertos 1812 y 1813 del RADIUS
# netstat a n | grep udp

CONFIGURANDO SOPORTE DE 802.1X AL CLIENTE

19.(PCL) En propiedades de la Tarjeta de RED:

-3-
Tecsup

Acepte los cambios.

PRUEBA
20.(PCL) Desactive la Tarjeta de RED: Panel de Control Conexiones de Red
Conexin de rea Local
21.(PCL) En una ventana de DOS realice un ping continuo al Server:
ping 192.168.20.6 t

22.Active la T.RED. Luego espere un momento y aparecer un mensaje que

indicara que realice clic, para ingresar una cuenta de usuario click

Usuario: cobre
Password: cobre
<Aceptar>

23.Al validarse correctamente no mostrara error. Compruebe realizando PING al

SERVER.

Nota: Si la cuenta no es aceptada, revise las configuraciones del

SWITCH y del RADIUS.

PARTE 2: FREERADIUS CON SOPORTE DE BASE DE DATOS

INSTALACION BD
24.Instale el rpm de freeradius con soporte a BD:
Archivo: freeradius-mysql.rpm

# cd /soft
# rpm ivh freeradius-mysql.rpm

25.Habilitando el servicio de BD:

# service mysqld start

26.Asignando password:
# mysqladmin u root password tecsup

12. Creando base de datos

# mysql u root p
> create database freeradius;
> exit;

27.Insertando esquemas del RADIUS

# mysql u root p freeradius < /usr/share/doc/freeradius-1.0.1/db_mysql.sql

Nota: Ignore el error que aparece ERROR (1067)

28.Comprobando ingreso de tablas:

# mysql u root p
> use freeradius;
> show tables;

(Visualizara las tablas radacct, radcheck y otros)

> exit;

CONFIGURANDO FREERADIUS CON SOPORTE MYSQL

-4-
Tecsup

29.El archivo sql.conf del freeradius indica la base de datos a conectarse.

Ubique y personalice las siguientes variables:

# vi /etc/raddb/sql.conf

driver = rlm_sql_mysql
server = localhost
login = root
password = tecsup
radius_db = freeradius

-5-
Tecsup

30.El archivo radiusd.conf, se indicara que los servicios de autenticacion,

autorizacin y accounting, sern obtenidos y guardados de una base de datos.
Ubique las secciones y descomente la opcin sql este indicada:

# vi /etc/raddb/radiusd.conf

authorize {
.
.
sql
}

accounting {
.
.
sql
}

31.Reinicie el servicio: # service radiusd restart

REGISTRANDO CUENTA EN BD
32. Agregando una cuenta de usuario
usuario Password
user01 pass01

# mysql u root p
> use freeradius;
> insert into radcheck values (1,'user01','User-Password','==','pass01');
> select * from radcheck;

PRUEBAS
33.(PCL) Desactive la T.RED y vuelva a activarle. Valdese con la cuenta user01.

EVENTOS
34.(RADIUS) Visualic los eventos del accounting dentro de la base de datos:
> select * from radacct;
> exit;

-6-
Tecsup

PARTE 3 : ADMINISTRADOR WEB DEL RADIUS

Nota: El programa dialup-admin, esta desarrollado en PHP3, gestiona

via WEB al FREERADIUS:

Archivo: dialup_admin.tar

35.Descarga en /usr/local
# cp /soft/dialup_admin.tar /usr/local
# cd /usr/local
# tar xvf dialup_admin.tar

36.Realizando un link de las paginas WEB de Dialup, con un directorio del http raiz.
# ln s /usr/local/dialup_admin/htdocs /var/www/html/dialup

37.Habilitando soporte de PHP3, agregando la lnea mostrada:

# vi /etc/httpd/conf.d/php.conf

AddType application/x-httpd-php .php3

TABLAS DIALUP
38. Insertando las tablas que usara dialup_admin. Estas tablas se encuentran
en el directorio sql dentro del directorio dialup_admin:

Nota: Estas tablas se agregaran en la base de datos freeradius

# cd /usr/local/dialup_admin/sql
# mysql u root p freeradius < badusers.sql
# mysql u root p freeradius < mtotacct.sql
# mysql u root p freeradius < totacct.sql
# mysql u root p freeradius < userinfo.sql
# mysql u root p freeradius < nas.sql

39.Comprobando el ingreso de las tablas:

# mysql u root p
> use freeradius;
> show tables;

(Visualizara las tablas: userinfo, totacct, mtotacct)

> exit;

ARCHIVO DE CONFIGURACION DE DIALUP

40.Ubique y personalice los parmetros de configuracin:

# cd /usr/local/dialup_admin/conf
# vi admin.conf

# RADIUS
general_radius_server: localhost
general_radius_server_port: 1812
general_radius_server_auth_proto: pap
general_radius_server_secret: tecsup

-7-
Tecsup

# PASSWORD DE USUARIOS
general_encryption_method: clear

# BASE DE DATOS
sql_type: mysql
sql_server: localhost
sql_port: 3306
sql_username : root
sql_password : tecsup
sql_database : freeradius

sql_command : /usr/bin/mysql
sql_debug : false

NAS A MONITOREAR
41.Edite el archivo naslist.conf. Deber quedar nicamente con el siguiente
contenido:

# vi naslist.conf

nas1_name: catalyst
nas1_model: catalyst
nas1_ip: 192.168.20.4

MANEJANDO INTERFACE WEB DIALUP

42.Activando el servicio WEB:
# service httpd restart

43.Ingresando a la url: http://127.0.0.1/dialup/

USUARIO
29. Generando una cuenta de usuario:

<New user > Username: user02

Password: pass02
<Create>

44.Realice las respectivas pruebas de validacin de esta cuenta desde PCL.

ESTADISTICAS
30. Visualic otras secciones:

<Accounting>: Reporte de los eventos.

<Statistics>: Resumen de los usuarios conectados, trafico.
<User Statics>: Estadsticas por usuario.
<Online Users>: Usuarios conectados al nas.

HISTORIAL
45.Para visualizar historial de los usuarios:

<Edit User> : user02

-8-
Tecsup

OPCIONAL
Nota: Para guardar un historial dialup <statistics>, debe de generar
un cron cada dia en la madrugada:

# cd /usr/local/dialup_admin/bin
# cat dialup_admin.cron
# crontab u root dialup_admin.cron

Para editar cron: # crontab e

Para eliminar cron: # crontab r

OBSERVACIONES

TECSUP
GD

-9-