A tavalyi év során, az iskola alapítványának hála, végre le tudtuk fedni az egész épületet WiFi hozzáféréssel. Az egyik legnagyobb gondot ekkor az okozta, hogy olyan azonosítási eljárást találjunk, ami amellett, hogy egyszerű használni, sokkal nagyobb biztonságot és rugalmasságot biztosít, mint az eddigi közös jelszó. A megoldást a vállalati WiFi jelentette.

A WPA2 Enterprise (azaz vállalati WiFi) nagyon leegyszerűsítve abban különbözik az otthon leggyakrabban használt WPA2 Personal titkosítástól, hogy a felhasználót központilag azonosítja. Az azonosítást egy úgynevezett RADIUS szerver végzi, amely a számára elküldött bejelentkezési adatok (pl.: felhasználónév / jelszó) alapján visszajelez a routernek / access pointnak, hogy az adott eszközt felengedheti-e a hálózatra vagy sem. A módszer legizgalmasabb része azonban nem az, hogy így minden felhasználót egyenként is azonosíthatunk, hanem, hogy olyan szabályrendszert alakíthatunk ki, ami egy hagyományos, megosztott jelszóval nem kivitelezhető. Például: pár kattintással tucatjával készíthetünk nyomtatható, egyszer használatos kódokat, amelyek csak az első bejelentkezéstől számított 45. percig élnek.

45 perc

A rengeteg elérhető megoldás közül mi a Rasberry Pi miniszámítógépen is futtatható Freeradius / Daloradius rendszert választottuk. A Raspberry előnye, hogy olcsó (az általunk jelenleg használt 2014-es B+ -os szett jelenleg ~15 000Ft), keveset fogyaszt (2W alatt) és a rajta futtatható rendszerről könnyű biztonsági mentést készíteni.

A telepítést, a mellékelt utasítások alapján, mi magunk is könnyedén elvégezhetjük, azonban, akik csak a végeredményre kíváncsiak, azoknak készítettem egy képfájlt egy üres, de bekonfigurált rendszerről, amit a Win32DiskImager programmal pár kattintást követően kiírhatunk egy 4 vagy 8Gb-os SD kártyára.

A rendszerhez a http://saját.ip/daloradius webcímen kapcsolódhatunk (a jelszó: radius). Ha meg tudjuk állapítani, hogy a DHCP szerver milyen IP címet adott a készüléknek, akkor nem szükséges monitort és billentyűzetet kapcsolni a rendszerhez, ha nem, akkor egy rövid ideig még szükség van a perifériákra. Az indítást követően, ha már tisztában vagyunk az IP címmel, akkor egy pillanatra be kell még jelentkeznünk az operációs rendszerbe pl. Windows alól a putty program segítségével (felhasználónév: root, jelszó: raspberry). A bejelentkezést követően adjuk ki a raspi-config parancsot, majd a megjelenő menüben válasszuk ki az “Expand Filesystem” menüpontot. Így az SD kártyánk teljes területét kihasználhatjuk majd. A “Finish”-re kattintva a rendszer újraindul, a Radius szerverünk működésre kész. A Daloradius webes felületével egy következő bejegyzésben részletesen is foglalkozom majd.

 

A használt IMG fájl innen letölthető (Raspberry Pi 2 vagy 3-hoz).

A telepítés részletes leírása azoknak, akik nem kérnek az IMG fájlból (PDF + ZIP).

 

A használt programok:

Daloradius
http://www.daloradius.com/

Raspbian
https://www.raspberrypi.org/downloads/raspbian/

WinSCP
https://winscp.net/eng/docs/lang:hu

Putty
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Win32DiskImager
https://sourceforge.net/projects/win32diskimager/

 

A felhasznált weblapok:

Providing 802.1X authentication with FreeRADIUS and PEAPv0/EAP-MSCHAPv2 support over a Raspberry Pi
http://steven-england.info/2014/11/06/providing-802-1x-authentication-freeradius-peapv0eap-mschapv2-support-raspberry-pi/

Raspberry PI based FreeRadius Server with GUI
http://www.binaryheartbeat.net/2013/12/raspberry-pi-based-freeradius-server.html

 

Az IP cím megállapítása:

ifconfig paranccsal

Fix IP beállítása:

http://www.modmypi.com/blog/tutorial-how-to-give-your-raspberry-pi-a-static-ip-address