Bacsó Márton Károly

A Daloradius nem önálló szoftver, hanem egy nagyon okos grafikus felület a Freeradius nevet viselő RADIUS szerverhez. Sajnos az alkotó már egy ideje nem fejleszti tovább a rendszert, de a fórumokon és a levelező listákon továbbra is aktív, így probléma esetén van rá esély, hogy kapjunk valamilyen fajta segítséget. A Freeradius-ra sok más GUI is elérhető, a Daloradius előnye azonban, a kis gépigényében rejlik,  ami miatt tökéletesen működik MálnaPC-n is.

Fontos, hogy bár a szükséges WPA2 Enterprise szabványt majd minden router / access point támogatja, a Freeradius legtöbb funkciójának kihasználásához teljesebb kompatibilitásra van szükség. A mi iskolánkban elsősorban TP-LINK WA901ND access pointok üzemelnek, a gyári program helyett OpenWRT-vel, illetve 1-2 régebbi routeren DD-WRT-vel. A következőkben ismertetett szolgáltatásokkal a fenti két operációs rendszer remekül együttműködik.

NAS összegzés

1. lépés: a WiFi routerek regisztrálása (Management > NAS)

Ahhoz, hogy a routerek kommunikálni tudjanak a szerverrel szükség van azok regisztrációjára a rendszerben. A NAS itt nem a Network Attached Storage rövidítése, hanem a Network Access Server-é. Amit új eszköz hozzáadása esetén mindenképpen meg kell adni: az adott router IP címe, egy

NAS részletezés

közös jelszó, illetve az eszköz típusa (other). FONTOS, itt a módosítások csak a freeradius szolgáltatás újraindítást követően lépnek életbe. Ezt terminál programon keresztül (putty) az /etc/init.d/freeradius restart parancssal tehetünk meg, vagy az egész gépet le kell kapcsolni, majd vissza.

2. lépés: felhasználói csoportok létrehozása (Management > Profiles)

Bár nem kötelező elem, de erősen ajánlott a felhasználóinkat különböző csoportokba sorolni. Új csoport létrehozása esetén csak a csoport nevét adjuk meg, a részletes beállításokat a mentést követően végezzük el inkább. Itt meg kell állnunk egy kissé, hogy megértsük a RADIUS szerver működését.

Profilok / csoportok

Mikor egy eszköz csatlakozni szeretne a hálózathoz, a router / access point elküldi a kapcsolódó eszköz adatait a megadott felhasználónévvel és jelszóval. Ezen adatok alapján a szerver eldönti, hogy abban a pillanatban engedélyezi-e a kapcsolódás vagy sem. Ha igen, akkor küld egy ACCESS-ACCEPT üzenetet, ha nem, akkor egy ACCESS-REJECT-et. Azonban a társalgás folyamán a szerver több mindent is ellenőriz(het) és üzenetként is több mindent küld(het), mint egy egyszerű “minden rendben, mehet” szignál.

Az ellenőrzés folyamán érintett tulajdonságokat “CHECK ATTRIBUTE”-nek, a visszaküldötteket pedig “REPLY ATTRIBUTE”-nek hívják. Az, hogy a router mit ért meg nagyban függ az adott eszköztől. A következőkben ismertetett attribútumok a mi OpenWRT-t futtató eszközeinkkel biztosan együttműködnek. A CHECK és REPLY üzenetek szabadon kombinálhatóak.

CHECK ATTRIBUTE példák

Check attributes / DiákWiFi

Cleartext-Password: A jelszó, nem igényel különösebb magyarázatot
Cleartext-Password := Jelszó

Access-Period: Az első bejelentkezést követően mennyi időt tölthet a felhasználó online, másodpercben megadva.
Access-Period := 2700

Max-Daily-Session: Mennyi időt tölthet a felhasználó egy nap online, másodpercben megadva.
Max-Daily-Session := 7200

CS-Total-Octets-Monthly: Mekkora forgalmat generálhat a felhasználó egy hónapban összesen, byte-ban megadva.
CS-Total-Octets-Monthly := 1073741824

Simultaneous-Use: Hány eszközzel kapcsolódhat a hálózathoz egyszerre a felhasználó.
Simultaneous-Use := 1

Login-Time: Mikor jelentkezhet be az adott felhasználó. Pl. a diákok online idejét korlátozhatjuk a szünetek idejére.
Login-Time := Wk0700-0730,Wk0815-0825,Wk0910-0925,Wk1010-1020,Wk1105-1115,Wk1200-1220,Wk1305-1315

Called-Station-Id: A használható eszközök, laptopok, mobilok MAC azonosítója, több tétel esetén | -el elválasztva
Called-Station-Id := 54-A3-FC-C8-72-48

Calling-Station-Id: A használható WiFi routerek / access pointok MAC azonosítója SSID-vel, több tétel esetén | -el elválasztva.
Calling-Station-Id := 54-E6-FC-C8-72-48:ThanWiFi|74-EA-3A-C2-7E-4E:ThanWiFi|A0-F3-C1-E2-66-43:ThanWiFi

REPLY ATTRIBUTE példák

Acct-Interim-Interval: Hány másodpercenkét küldjön a router állapotjelentést a RADIUS szervernek a kapcsolódó felhasználóról.
Acct-Interim-Interval := 120

Session-Timeout: Hány másodpercig tartson egy kapcsolat. A megadott idő elteltével a router újra ellenőrzi a jogosultságokat. Ha időközben a felhasználó elért egy limitet megszakítja a kapcsolatot, ha nem, akkor tovább engedi az eszközt.

Reply attributes / DiákWiFi

Session-Timeout := 120

Idle-Timeout := A router ennyi tétlen másodperc után megszakítja a kapcsolatot.
Idle-Timeout := 180

3. lépés: a felhasználók regisztrálása (Management > Users)

Új felhasználó hozzáadása

Ezen a panelen keresztül tudunk új felhasználót hozzáadni a rendszerhez. A legtöbb sor funkciója magáért beszél. A “Group”  legördülő menüben az előzőekben a “Profiles” alatt beállított csoportok közül választhatunk. Természetesen egyéni attribútumok hozzáadására is van lehetőség. Az “Import Users” menü pont alatt pedig gyorsan tudunk új felhasználókat tömegesen rögzíteni.

+1. lépés: egyszer használatos fiókok létrehozása (Management > Batch users)

A legizgalmasabb része a rendszernek. A Daloradius a megadott szempontok alapján és az előre beállított csoport tulajdonságokkal tömegével tudja előállítani a nyomtatható hozzáférési adatokat, random felhasználónevekkel és jelszavakkal. FONTOS, hogy a nyomtatásra kész cetlikhez CSAK a létrehozást követően tudunk hozzáférni, később erre már nem lesz lehetőség. Az oldalon a továbbiakban viszont nyomon követhetjük a már aktivált felhasználóneveket. Ha a csoportot töröljük, az összes kapcsolódó felhasználónév törlésre kerül.

Bár nem kapcsolódik közvetlen a vállalati WiFi témakörhöz, de a teljes iskolai rendszer kiépítése nem múlt el minden tanulság nélkül, talán másoknak is szolgálhat hasznos információval.

Router vs AP
Manapság már nincsen sok különbség a routerek és az access pointok között. Az APk elsődleges feladata, hogy az eszközök hálózathoz való csatlakozását lehetővé tegyék, ezért általában csak egy RJ45-ös csatlakozóval rendelkeznek és a rajtuk futó szoftver sem képes pl. rendes DHCP szervert üzemeltetni. Ami miatt azonban mégis érdemes AP-t választani az az, hogy már az olcsóbb változatokon is PoE kombatibilisek. A PoE szabvány a “Power-Over-Ethernet” rövidítése és arra szolgál, hogy a működéséhez szolgáló energiát a hálózati kábelen keresztül juttassa el az eszközökhöz. Előnye, hogy nem kell konnektort rakni közvetlenül a készülék mellé, az áramot elég egy távolabbi ponton “rákeverni” az adatkábelre. Az általunk használt TP-LINK WA901ND AP-k ~ 13 000Ft-os értéket képviselnek és mindhez adnak passzív PoE adaptert, amivel 30 méteres távolságból is elláthatjuk őket energiával.

Egységes SSID
Több AP esetén nem kell külön SSID-t (nevet) adni az access point-oknak. Egységes elnevezést használva a csatlakozó eszközök mindig a hozzájuk legközelebb eső AP-hez csatlakoznak és mozgás közben a készülékek intelligenciájától függően váltogatják a csatlakozási pontokat (hasonlóan a mobilokhoz). Arra kell csak odafigyelni, hogy az egymáshoz közel lévő készülékek más-más csatornán (frekvencián) sugározzanak. A legjobb ha legalább 3 csatorna különbség van közöttük.

Hőtérkép
Nagyobb épület esetén javasolt először csak 2-3 AP-t beszerezni és egy laptoppal felszerelkezve kimérni, hogy hova érdemes az eszközöket elhelyezni. Ebben nyújthatnak segítséget a hőtérkép programok, amik folyamatosan mérik a jelszinteket és színes ábrákat készítenek a könnyebb értelmezhetőség érdekében. Ilyen ingyenes program pl.: az Ekahau Heatmapper.

4. emelet

A tavalyi év során, az iskola alapítványának hála, végre le tudtuk fedni az egész épületet WiFi hozzáféréssel. Az egyik legnagyobb gondot ekkor az okozta, hogy olyan azonosítási eljárást találjunk, ami amellett, hogy egyszerű használni, sokkal nagyobb biztonságot és rugalmasságot biztosít, mint az eddigi közös jelszó. A megoldást a vállalati WiFi jelentette.

A WPA2 Enterprise (azaz vállalati WiFi) nagyon leegyszerűsítve abban különbözik az otthon leggyakrabban használt WPA2 Personal titkosítástól, hogy a felhasználót központilag azonosítja. Az azonosítást egy úgynevezett RADIUS szerver végzi, amely a számára elküldött bejelentkezési adatok (pl.: felhasználónév / jelszó) alapján visszajelez a routernek / access pointnak, hogy az adott eszközt felengedheti-e a hálózatra vagy sem. A módszer legizgalmasabb része azonban nem az, hogy így minden felhasználót egyenként is azonosíthatunk, hanem, hogy olyan szabályrendszert alakíthatunk ki, ami egy hagyományos, megosztott jelszóval nem kivitelezhető. Például: pár kattintással tucatjával készíthetünk nyomtatható, egyszer használatos kódokat, amelyek csak az első bejelentkezéstől számított 45. percig élnek.

A rengeteg elérhető megoldás közül mi a Rasberry Pi miniszámítógépen is futtatható Freeradius / Daloradius rendszert választottuk. A Raspberry előnye, hogy olcsó (az általunk jelenleg használt 2014-es B+ -os szett jelenleg ~15 000Ft), keveset fogyaszt (2W alatt) és a rajta futtatható rendszerről könnyű biztonsági mentést készíteni.

A telepítést, a mellékelt utasítások alapján, mi magunk is könnyedén elvégezhetjük, azonban, akik csak a végeredményre kíváncsiak, azoknak készítettem egy képfájlt egy üres, de bekonfigurált rendszerről, amit a Win32DiskImager programmal pár kattintást követően kiírhatunk egy 4 vagy 8Gb-os SD kártyára.

A rendszerhez a http://saját.ip/daloradius webcímen kapcsolódhatunk (a jelszó: radius). Ha meg tudjuk állapítani, hogy a DHCP szerver milyen IP címet adott a készüléknek, akkor nem szükséges monitort és billentyűzetet kapcsolni a rendszerhez, ha nem, akkor egy rövid ideig még szükség van a perifériákra. Az indítást követően, ha már tisztában vagyunk az IP címmel, akkor egy pillanatra be kell még jelentkeznünk az operációs rendszerbe pl. Windows alól a putty program segítségével (felhasználónév: root, jelszó: raspberry). A bejelentkezést követően adjuk ki a raspi-config parancsot, majd a megjelenő menüben válasszuk ki az “Expand Filesystem” menüpontot. Így az SD kártyánk teljes területét kihasználhatjuk majd. A “Finish”-re kattintva a rendszer újraindul, a Radius szerverünk működésre kész. A Daloradius webes felületével egy következő bejegyzésben részletesen is foglalkozom majd.

A használt IMG fájl innen letölthető (Raspberry Pi 2 vagy 3-hoz).

A telepítés részletes leírása azoknak, akik nem kérnek az IMG fájlból (PDF + ZIP).

A használt programok:

Daloradius
http://www.daloradius.com/

Raspbian
https://www.raspberrypi.org/downloads/raspbian/

WinSCP
https://winscp.net/eng/docs/lang:hu

Putty
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Win32DiskImager
https://sourceforge.net/projects/win32diskimager/

A felhasznált weblapok:

Providing 802.1X authentication with FreeRADIUS and PEAPv0/EAP-MSCHAPv2 support over a Raspberry Pi
http://steven-england.info/2014/11/06/providing-802-1x-authentication-freeradius-peapv0eap-mschapv2-support-raspberry-pi/

Raspberry PI based FreeRadius Server with GUI
http://www.binaryheartbeat.net/2013/12/raspberry-pi-based-freeradius-server.html

Az IP cím megállapítása:

ifconfig paranccsal

Fix IP beállítása:

http://www.modmypi.com/blog/tutorial-how-to-give-your-raspberry-pi-a-static-ip-address