Red Hat Summit34.3. ネットワーククライアントを安全に認証するための FreeRADIUS の設定 (EAP 使用)
FreeRADIUS は、Extensible Authentication Protocol (EAP) のさまざまな方式をサポートしています。しかし、サポートされるセキュアな状況では、EAP-TTLS (Tunneled Transport Layer Security) を使用してください。
EAP-TTLS では、クライアントが、トンネルを設定するための外部認証プロトコルとしてセキュアな TLS 接続を使用します。内部認証では、LDAP を使用して Identity Management に対して認証を行います。EAP-TTLS を使用するには、TLS サーバー証明書が必要です。
デフォルトの FreeRADIUS 設定ファイルはドキュメントとして機能し、すべてのパラメーターとディレクティブを記述します。特定の機能を無効にする場合は、設定ファイルの対応する部分を削除するのではなく、コメントアウトしてください。これにより、設定ファイルと含まれているドキュメントの構造を保持できます。
前提条件
-
freeradiusおよびfreeradius-ldapパッケージがインストールされている。 -
/etc/raddb/ディレクトリー内の設定ファイルが変更されておらず、freeradiusパッケージによって提供されるものである。 - ホストが Red Hat Enterprise Linux Identity Management (IdM) ドメインに登録されている。
手順
秘密鍵を作成し、IdM から証明書を要求します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-getcert request -w -k /etc/pki/tls/private/radius.key -f /etc/pki/tls/certs/radius.pem -o "root:radiusd" -m 640 -O "root:radiusd" -M 640 -T caIPAserviceCert -C 'systemctl restart radiusd.service' -N freeradius.idm.example.com -D freeradius.idm.example.com -K radius/freeradius.idm.example.com
# ipa-getcert request -w -k /etc/pki/tls/private/radius.key -f /etc/pki/tls/certs/radius.pem -o "root:radiusd" -m 640 -O "root:radiusd" -M 640 -T caIPAserviceCert -C 'systemctl restart radiusd.service' -N freeradius.idm.example.com -D freeradius.idm.example.com -K radius/freeradius.idm.example.comcertmongerサービスが、秘密鍵を/etc/pki/tls/private/radius.keyファイルに保存し、証明書を/etc/pki/tls/certs/radius.pemファイルに保存して、セキュアな権限を設定します。さらに、certmongerは証明書を監視し、有効期限が切れる前に更新し、証明書の更新後にradiusdサービスを再起動します。CA が証明書を正常に発行したことを確認します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-getcert list -f /etc/pki/tls/certs/radius.pem
# ipa-getcert list -f /etc/pki/tls/certs/radius.pem ... Number of certificates and requests being tracked: 1. Request ID '20240918142211': status: MONITORING stuck: no key pair storage: type=FILE,location='/etc/pki/tls/private/radius.key' certificate: type=FILE,location='/etc/pki/tls/certs/radius.crt' ...Diffie-Hellman (DH) パラメーターを使用して
/etc/raddb/certs/dhファイルを作成します。たとえば、2048 ビットの素数を持つ DH ファイルを作成するには、次のように実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow openssl dhparam -out /etc/raddb/certs/dh 2048
# openssl dhparam -out /etc/raddb/certs/dh 2048セキュリティー上の理由から、素数が 2048 ビット未満の DH ファイルは使用しないでください。ビット数によっては、ファイルの作成に数分かかる場合があります。
/etc/raddb/mods-available/eapファイルを編集します。tls-config tls-commonディレクティブで TLS 関連の設定を指定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow eap { ... tls-config tls-common { ... private_key_file = /etc/pki/tls/private/radius.key certificate_file = /etc/pki/tls/certs/radius.pem ca_file = /etc/ipa/ca.crt ... } }eap { ... tls-config tls-common { ... private_key_file = /etc/pki/tls/private/radius.key certificate_file = /etc/pki/tls/certs/radius.pem ca_file = /etc/ipa/ca.crt ... } }eapディレクティブのdefault_eap_typeパラメーターをttlsに設定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow eap { ... default_eap_type = ttls ... }eap { ... default_eap_type = ttls ... }安全でない EAP-MD5 認証方式を無効にするには、
md5ディレクティブをコメントアウトします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow eap { ... # md5 { # } ... }eap { ... # md5 { # } ... }デフォルトの設定ファイルでは、他の安全でない EAP 認証方法がデフォルトでコメントアウトされていることに注意してください。
/etc/raddb/sites-available/defaultファイルを編集し、eap以外のすべての認証方法をコメントアウトします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow authenticate { ... # Auth-Type PAP { # pap # } # Auth-Type CHAP { # chap # } # Auth-Type MS-CHAP { # mschap # } # mschap # digest ... }authenticate { ... # Auth-Type PAP { # pap # } # Auth-Type CHAP { # chap # } # Auth-Type MS-CHAP { # mschap # } # mschap # digest ... }これにより、外部認証で EAP のみが有効になり、プレーンテキスト認証方法が無効になります。
/etc/raddb/sites-available/inner-tunnelファイルを編集し、次の変更を加えます。-ldapエントリーをコメントアウトし、ldapモジュール設定をauthorizeディレクティブに追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow authorize { ... #-ldap ldap if ((ok || updated) && User-Password) { update { control:Auth-Type := ldap } } ... }authorize { ... #-ldap ldap if ((ok || updated) && User-Password) { update { control:Auth-Type := ldap } } ... }authenticateディレクティブ内の LDAP 認証タイプのコメントを解除します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow authenticate { Auth-Type LDAP { ldap } }authenticate { Auth-Type LDAP { ldap } }
ldapモジュールを有効にします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap/etc/raddb/mods-available/ldapファイルを編集し、次の変更を加えます。ldapディレクティブで、IdM LDAP サーバーの URL とベース識別名 (DN) を設定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow ldap { ... server = 'ldaps://idm_server.idm.example.com' base_dn = 'cn=users,cn=accounts,dc=idm,dc=example,dc=com' ... }ldap { ... server = 'ldaps://idm_server.idm.example.com' base_dn = 'cn=users,cn=accounts,dc=idm,dc=example,dc=com' ... }FreeRADIUS ホストと IdM サーバー間で TLS 暗号化接続を使用するには、サーバー URL に
ldapsプロトコルを指定します。ldapディレクティブで、IdM LDAP サーバーの TLS 証明書検証を有効にします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow tls { ... require_cert = 'demand' ... }tls { ... require_cert = 'demand' ... }
/etc/raddb/clients.confファイルを編集します。localhostおよびlocalhost_ipv6クライアントディレクティブでセキュアなパスワードを設定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow client localhost { ipaddr = 127.0.0.1 ... secret = localhost_client_password ... } client localhost_ipv6 { ipv6addr = ::1 secret = localhost_client_password }client localhost { ipaddr = 127.0.0.1 ... secret = localhost_client_password ... } client localhost_ipv6 { ipv6addr = ::1 secret = localhost_client_password }ネットワークオーセンティケーターのクライアントディレクティブを追加します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow client hostapd.example.org { ipaddr = 192.0.2.2/32 secret = hostapd_client_password }client hostapd.example.org { ipaddr = 192.0.2.2/32 secret = hostapd_client_password }オプション: 他のホストも FreeRADIUS サービスにアクセスできるようにするには、それらのホストにもクライアントディレクティブを追加します。以下に例を示します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow client <hostname_or_description> { ipaddr = <IP_address_or_range> secret = <client_password> }client <hostname_or_description> { ipaddr = <IP_address_or_range> secret = <client_password> }ipaddrパラメーターは IPv4 および IPv6 アドレスを受け入れ、オプションのクラスレスドメイン間ルーティング (CIDR) 表記を使用して範囲を指定できます。ただし、このパラメーターに設定できる値は 1 つだけです。たとえば、IPv4 アドレスと IPv6 アドレスの両方へのアクセスを許可するには、2 つのクライアントディレクティブを追加する必要があります。ホスト名や IP 範囲が使用される場所を説明する単語など、クライアントディレクティブのわかりやすい名前を使用します。
設定ファイルを確認します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow radiusd -XC
# radiusd -XC ... Configuration appears to be OKfirewalldサービスで RADIUS ポートを開きます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --permanent --add-service=radius firewall-cmd --reload
# firewall-cmd --permanent --add-service=radius # firewall-cmd --reloadradiusdサービスを有効にして開始します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemctl enable --now radiusd
# systemctl enable --now radiusd
トラブルシューティング
radiusdサービスの起動に失敗した場合は、IdM サーバーのホスト名を解決できることを確認します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow host -v idm_server.idm.example.com
# host -v idm_server.idm.example.comその他の問題が発生した場合は、
radiusdをデバッグモードで実行します。radiusdサービスを停止します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemctl stop radiusd
# systemctl stop radiusdデバッグモードでサービスを開始します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow radiusd -X
# radiusd -X ... Ready to process requests-
Verificationセクションで参照されているように、FreeRADIUS ホストで認証テストを実行します。
次のステップ
- 不要になった認証方法や使用しないその他の機能を無効にします。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}