IEEE802.1X(Linux編 基本設定 その3)

 「IEEE802.1X(Linux編 基本設定 その2)」の続きです。ここでは、Linux上に構築したRADIUSサーバを設定していきます。

使用するネットワーク構成は、以下のようになります。

IEEE802.1Xの設定(RADIUSサーバ)

Fedora8の場合、設定ファイルは、「/etc/raddb」にあります。

主に設定してゆくファイルは、以下のファイルになります。

  • clients.conf (RADIUSクライアントとなるスイッチのIPアドレスやパスワードを記述する)
  • eap.conf (認証方式を指定する)
  • users (認証対象となるユーザIDやパスワードなどを記述する)

users ファイルの設定

users ファイルを設定します。このファイルに、認証対象となるユーザIDやパスワードなどを記述します。

【変更前】


# This is a complete entry for "steve". Note that there is no Fall-Through
# entry so that no DEFAULT entry will be used, and the user will NOT
# get any attributes in addition to the ones listed here.
#
#steve  Cleartext-Password := "testing"
#       Service-Type = Framed-User,
#       Framed-Protocol = PPP,
#       Framed-IP-Address = 172.16.3.33,
#       Framed-IP-Netmask = 255.255.255.0,
#       Framed-Routing = Broadcast-Listen,
#       Framed-Filter-Id = "std.ppp",
#       Framed-MTU = 1500,
#       Framed-Compression = Van-Jacobsen-TCP-IP

【変更後】

# This is a complete entry for "steve". Note that there is no Fall-Through
# entry so that no DEFAULT entry will be used, and the user will NOT
# get any attributes in addition to the ones listed here.
#
#steve  Cleartext-Password := "testing"
#       Service-Type = Framed-User,
#       Framed-Protocol = PPP,
#       Framed-IP-Address = 172.16.3.33,
#       Framed-IP-Netmask = 255.255.255.0,
#       Framed-Routing = Broadcast-Listen,
#       Framed-Filter-Id = "std.ppp",
#       Framed-MTU = 1500,
#       Framed-Compression = Van-Jacobsen-TCP-IP

user-1  Auth-Type := EAP,User-Password == "user-1"
user-2  Auth-Type := EAP,User-Password == "user-2"

clients.conf ファイルの設定

 RADIUSクライアントとなるスイッチのIPアドレスやパスワードを記述します。オーセンティケータとなるスイッチが所属するネットワーク番号を指定します。

【変更前】

#client 10.10.10.10 {
#       # secret and password are mapped through the "secrets" file.
#       secret      = testing123
#       shortname   = liv1
#       # the following three fields are optional, but may be used by
#       # checkrad.pl for simultaneous usage checks
#       nastype     = livingston
#       login       = !root
#       password    = someadminpas
#}

【変更後】

client 192.168.1.0/24{
        secret  = cisco
        shortname = CISCO
}

#client 10.10.10.10 {
#       # secret and password are mapped through the "secrets" file.
#       secret      = testing123
#       shortname   = liv1
#       # the following three fields are optional, but may be used by
#       # checkrad.pl for simultaneous usage checks
#       nastype     = livingston
#       login       = !root
#       password    = someadminpas
#}

eap.conf ファイルの設定

 eap.conf ファイルには認証方式を指定します。今回は、「md5」を認証方式にしますので、eap.conf ファイルを編集する必要はありません。


                # Supported EAP-types

                #
                #  We do NOT recommend using EAP-MD5 authentication
                #  for wireless connections.  It is insecure, and does
                #  not provide for dynamic WEP keys.
                #
                md5 {
                }

「radiusd」の再起動

設定の変更が、発生する度に、RADIUS Server daemon を再起動させる必要があります。

「radiusd」を再起動させるには次のコマンドを実行します。

# service radiusd restart

「radiusd」を再起動するには、「サービスの設定」から行うこともできます。

「サービスの設定」の「再起動」をクリックします。

しばらく待つと、再起動に成功したことを示すメッセージが表示されます。

これで、設定は完了です。

次の「IEEE802.1X(Linux編 基本設定 その4)」では、構築したIEEE802.1Xを検証していきます。