FreeRADIUS - Conceitos Básicos - Parte II

Esse artigo é uma tradução livre (resumo) do Guia Técnico do FreeRADIUS disponível (em inglês) em http://www.freeradius.org. Esta é a segunda parte.

[ Hits: 7.310 ]

Por: Perfil removido em 09/07/2015


Requerimentos da Instalação/configuração



O modo mais prático de obter uma instalação FreeRADIUS é instalar pacotes binários pré-compilados de sua distribuição Linux favorita. Baixar e instalar o código fonte é uma opção reservada para usuários avançados devido ao grande número de dependências envolvidas e a grande quantidade de arquivos de configuração.

Os detalhes da implementação, da instalação e da configuração podem ser obtidos no guia de implementação (aguarde tradução!) no sítio de FreeRADIUS. Existem pacotes prontos para sistemas Ubuntu e para sistemas baseados em Red Hat e Debian.

Uma instalação FreeRADIUS possui um ciclo de vida. Esse ciclo se inicia no planejamento da instalação, na configuração, seguida de intensos testes, na manutenção e na auditoria proativa. Quanto mais profundo for seu projetado de implantação mais chances de sucesso sua instalação terá.

A fase de projeto deve considerar todo o ecossistema (atual e futuro) em torno do servidor RADIUS. Devem ser considerados todos os NAS e servidores de bancos de dados com os quais FreeRADIUS irá se comunicar. Além disto, todos os aspectos de segurança da rede local e remota e fatores particulares de cada usuário. Não espere que ao instalar FreeRADIUS ele funcione!

A fase de configuração consiste em verificar se os arquivos de registros de logs são corretamente gerados, se a rotação desses arquivos está configurada, se os registros de contabilidade são corretamente baixados das tabelas após seu uso, se as cópias de segurança são feitas de modo correto. Em resumo: se o sistema está pronto para funcionar sem intervenções constantes do administrador humano.

Uma extensa fase de testes é necessária. Todos os testes devem ser amplamente documentados. O sistema deve ser testado quanto a desempenho, requerimentos mínimos, estabilidade e reações a condições adversas. Os processos de monitoramento e alerta devem ser configurados e testados.

O ciclo de vida de um servidor RADIUS é o ciclo da versão. Assim, quando ocorrer uma mudança significativa de versão é recomendado que o administrador migre para essa versão nova. Isso é feito recomeçando o processo de implantação, agora baseado na nova versão, onde um novo ciclo de configurações, testes, aprovação e produção deve ser iniciado. O sistema antigo deve ser desativado após a implantação do novo sistema. Não é recomenda a atualização sobre uma versão em produção.

O processo de instalação é (geralmente) a prova de falhas. Entretanto, a reinstalação sobre um sistema em produção não é recomendada (apesar de ser viável). Normalmente, a instalação não sobrepõe seus arquivos de configuração, mas nós ainda pedimos que faça cópias de segurança antes de tentar isso. Quando um servidor FreeRADIUS é construído dos fontes, ele incluirá tudo que precisa para conversar com softwares de terceiros. Então, instale antes seu banco de dados SQL e seu LDAP. Após a construção algumas dependências ainda podem estar ausentes. Em resumo, se uma biblioteca de terceiros (dependências) está ausente, então FreeRADIUS será construído sem suporte para essas funções. Isso torna a instalação um tanto complexa, pois se uma biblioteca for adicionada posteriormente será necessário reconstruir o servidor FreeRADIUS e isso pode ser necessário por várias vezes até que todas as dependências estejam disponíveis.

Atributos do lado servidor

Os atributos internos controlam o comportamento do servidor. Esses atributos NUNCA são enviados pela rede em uma mensagem RADIUS. Atributos do lado servidor são configurados de acordo com o criador de cada servidor RADIUS, e podem variar até de uma versão para outra do mesmo servidor RADIUS. Atributos do lado servidor também são chamados de atributos fora do protocolo. O formato dos atributos do lado servidor são idênticos aos formatos padronizados.

Requerimentos de configuração

Esse capítulo dá uma visão geral sobre configuração e não esgota o assunto. As rotas, diretórios e nomes de arquivo podem mudar em função de qual distribuição estiver utilizando.

O diretório /etc/rddb/ contém os arquivos de configuração do núcleo de FreeRADIUS. Apenas os arquivos comuns são listados aqui. Por exemplo, cada um dos mais de cinquenta plugins disponíveis para FreeRADIUS possuem seus próprios arquivos.
  • radiusd.conf - definições e parâmetros para configuração do servidor FreeRADIUS. Esse arquivo inclui referências para todos os arquivos de configuração.
  • clients.conf - definições e informações necessárias para configurar o cliente. Informações como endereço IP e senhas compartilhadas ficam aqui.
  • dictionary - definições sobre os atributos locais para o servidor. Faz referência aos arquivos de dicionário utilizados pelo servidor. O dicionário padrão inclui milhares de definições de atributos para centenas de vendedores de hardware.
  • proxy.conf - definições sobre servidores proxy, inclui informações sensíveis como IP e senhas para acesso. Os reinos são definidos aqui.
  • sites-enabled/ default - isso é o servidor virtual. Esse arquivo manipula requisições de autenticação e contabilidade. Esse arquivo contém as configurações para trabalhar com o maior número de protocolos de autenticação.
  • sites-enabled/ inner-tunnel - esse servidor virtual manipula os métodos de autenticação utilizados dentro de um túnel TLS, como parte das autenticações PEAP ou EAP-TTLS.
  • users - o tradicional arquivo de configuração de usuários. Como definido em 1993.

Subdiretórios de /etc/raddb/

Vários subdiretórios ajudam a organizar as configurações.
  • certs - armazena certificados EAP.
  • mods-available - o local para armazenar configurações de módulos. Cada módulo é configurado e ativado opcionalmente através de um diretório.
  • mods-enabled - contém ligações simbólicas para arquivos em mods-available.
  • sites-available - o local para armazenar configurações de servidores virtuais. Cada servidor é configurado e ativado opcionalmente através de um diretório.
  • sites-enabled - contém ligações simbólicas para arquivos em sites-available.
  • sql - um diretório para armazenar configurações SQL para vários tipos de banco de dados. Cada banco fica em um subdiretório.
  • acct-users - um arquivo para lidar com requisições de contabilidade.
  • hints - tradicional para lidar com PPP ou SLIP.
  • huntgroups - tradicional para lidar com grupos de clientes.

Página anterior     Próxima página

Páginas do artigo
   1. Mensagens de uma sessão RADIUS
   2. Requerimentos da Instalação/configuração
   3. Informações adicionais sobre configurações
Outros artigos deste autor

Dynamic libraries com libtool

Gerenciando redes com Perl e SNMP

Xadrez no Linux - Os melhores programas para jogar e estudar

É possível ganhar dinheiro com Software Livre?

PuTTY - Release 0.66 - Parte I

Leitura recomendada

Como instalar o SVN no Slackware 10.2 utilizando o Apache2 como servidor

Configurando o driver nVidia no Mandrake 10.1

Android - Emulando, Instalando e Removendo Aplicativos APK

DNS no Slackware

Resolvendo problemas na rede do Slackware

  
Comentários
[1] Comentário enviado por wagnerfs em 15/07/2015 - 22:53h

Parabéns por mais essa contribuição!
_________________________
Wagner F. de Souza
Técnico/Instrutor de Informática
"GNU/Linux for human beings."
LPI ID: LPI000297782


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts