Установка и настройка

Чтобы установить и настроить модуль FreeRADIUS Extension:

1. Импортируйте образ Docker.
2. Настройте переменные окружения.
3. Укажите адреса клиентов сервера FreeRADIUS.
4. Создайте новые каталоги и настройте права.
5. Запустите контейнер с приложением.

Импорт образа Docker

1. Скачайте архив ea-freeradius-<номер версии>.tar.gz, загрузите его на целевую машину в необходимый каталог.

2. Распакуйте в этот каталог архив с помощью команды:

   sudo tar -xvf <имя архива>.tar.gz

3. Перейдите в целевую папку с архивом и импортируйте образ Docker с помощью команды:

   sudo docker load -i <имя архива>
   Подсказка

   Вы можете просмотреть список всех импортируемых образов с помощью команды:

   docker images

Настройка переменных окружения

1. Сделайте копию файла freeradius/.example-env и переименуйте его в .env.

2. В файле .env укажите необходимые значения для переменных окружения:

   • Задайте значения для переменных RAD_UID и RAD_GID.
   • В переменной INDEED_AM_URI укажите URL-адрес сервера Core Server.

Полное описание переменных окружения смотрите в разделе Переменные окружения FreeRADIUS.

Пример файла .env

RADIUS_TAG=9.3.0-master.3261-40314f2

#User id and group id
RAD_UID=200000
RAD_GID=200000

#Radius variables
INDEED_AM_URI=https://amdeb3.company.local/am/core
INDEED_AM_VALIDATE_CERT=false
INDEED_AM_CA_CERT_PATH=/tmp/certs
# INDEED_AM_CLIENT_CERT=client.crt
# INDEED_AM_CLIENT_KEY_CERT=client.key
LDAP_SERVER=ldaps://dc.company.local
LDAP_PORT=636
LDAP_IDENTITY=cn=amadm,cn=users,dc=company,dc=local
LDAP_PASSWORD=password
LDAP_BASE_DN=cn=users,dc=company,dc=local
LDAP_CERT=ca.crt
AM_PUSH_TIMEOUT_SEC=30
AM_CACHE_LIFETIME_SEC=600
# AM_DEBUG=true
# AM_MT_DEBUG=true

# DEFAULT_DOMAIN_NAME=company.local
# DEFAULT_NETBIOS_NAME=EXAMPLE

# DISABLE_RLM_PREPROCESS=false

Настройка клиентов

1. Сделайте копию файла freeradius/example-clients.conf и переименуйте его в clients.conf.

2. Откройте файл clients.conf.

3. Укажите адреса клиентов, которые будут подключаться к серверу FreeRADIUS Extension, и секретные ключи. Поддерживается формат IPv4.

   В файле уже есть примеры адресов, вы можете отредактировать их или создать новые. При создании новых учитывайте формат client NAME, client NAME_WITH_SPACE.

4. Если клиентское приложение отправляет атрибут Message-Authenticator, добавьте параметры со значениями require_message_authenticator=yes и limit_proxy_state=yes, чтобы защитить FreeRadius от уязвимости Blast-RADIUS.

5. При любых изменениях в файле clients.conf перезапустите контейнер с приложением.

Информация

Подробнее о файле clients.conf, атрибуте Message-Authenticator и Blast-RADIUS вы можете узнать в документации FreeRADIUS.

Пример файла clients.conf с одним клиентским приложением

client <Name>_wifi {
  ipaddr = 192.168.3.100
  secret = secret123
}

Создание каталогов и настройка прав

1. Перейдите в каталог freeradius и создайте новые каталоги common_certs, radius_certs, logs с помощью команды:

   sudo mkdir common_certs radius_certs logs

2. Установите права доступа к каталогам с помощью команды:

   sudo chmod 744 common_certs radius_certs logs

3. В каталог common_certs положите доменный сертификат в формате Base64 с именем файла, которое вы указали в переменной LDAP_CERT.

4. Сделайте владельцем пользователя, которого вы указали в файле .env в переменных RAD_UID и RAD_GID, через следующую команду:

   sudo chown <RAD_UID>:<RAD_GID> ./*

Запуск контейнера

Чтобы создать и запустить контейнер, используйте следующую команду:

sudo docker-compose up -d

После запуска настройте интеграцию с бизнес-приложениями в Management Console.

Клиентские приложения должны быть добавлены в файл clients.conf.