Подготовка образа Docker

Чтобы установить и настроить модуль FreeRADIUS Extension:

1. Импортируйте образ Docker.
2. Настройте переменные окружения.
3. Укажите адреса клиентов сервера FreeRADIUS.
4. Создайте новые каталоги и настройте права.
5. Запустите контейнер с приложением.

Импорт образа Docker

1. Скачайте архив ea-freeradius-<номер версии>.tar.gz, загрузите его на целевую машину в необходимый каталог.

2. Распакуйте в этот каталог архив с помощью команды:

   sudo tar -xvf <имя архива>.tar.gz

3. Перейдите в целевую папку с архивом и импортируйте образ Docker с помощью команды:

   sudo docker load -i <имя архива>
   Подсказка

   Вы можете просмотреть список всех импортируемых образов с помощью команды:

   docker images

Настройка переменных окружения

1. Сделайте копию файла freeradius/.example-env и переименуйте его в .env.

2. В файле .env укажите необходимые значения для переменных окружения:

   • Задайте значения для переменных RAD_UID и RAD_GID.
   • В переменной INDEED_AM_URI укажите URL-адрес сервера Core Server.

Полное описание переменных окружения смотрите в разделе Настройка переменных окружения FreeRADIUS.

Пример файла .env

RADIUS_TAG=9.2.0-master.1334-5d52ab70

#User id and group id
RAD_UID=200000
RAD_GID=200000

#Radius variables
INDEED_AM_URI=https://127.0.0.1/am/core
INDEED_AM_VALIDATE_CERT=false
INDEED_AM_CA_CERT_PATH=/tmp/certs
# INDEED_AM_CLIENT_CERT=client.crt
# INDEED_AM_CLIENT_KEY_CERT=client.key
LDAP_SERVER=127.0.0.1
LDAP_PORT=389
LDAP_IDENTITY=cn=Administrator,cn=users,dc=mycompany,dc=com
LDAP_PASSWORD=password
LDAP_BASE_DN=cn=users,dc=mycompany,dc=com
LDAP_CERT=ad.crt
AM_PUSH_TIMEOUT_SEC=30
AM_CACHE_LIFETIME_SEC=600
# AM_DEBUG=true
# AM_MT_DEBUG=true

# DEFAULT_DOMAIN_NAME=example.com
# DEFAULT_NETBIOS_NAME=EXAMPLE

# DISABLE_RLM_PREPROCESS=false

Настройка клиентов

1. Сделайте копию файла freeradius/example-clients.conf и переименуйте его в clients.conf.

2. Откройте файл clients.conf.

3. Укажите адреса клиентов, которые будут подключаться к серверу FreeRADIUS Extension, и секретные ключи. Поддерживается формат IPv4.

   В файле уже есть примеры адресов, вы можете отредактировать их или создать новые. При создании новых учитывайте формат client NAME, client NAME_WITH_SPACE.

4. Если клиентское приложение отправляет атрибут Message-Authenticator, добавьте параметры со значениями require_message_authenticator=yes и limit_proxy_state=yes, чтобы защитить FreeRadius от уязвимости Blast-RADIUS.

5. При любых изменениях в файле clients.conf перезапустите контейнер с приложением.

Информация

Подробнее о файле clients.conf, атрибуте Message-Authenticator и Blast-RADIUS вы можете узнать в документации FreeRADIUS.

Пример файла clients.conf с одним клиентским приложением

client <Name>_wifi {
  ipaddr = 192.168.3.100
  secret = secret123
}

Создание каталогов и настройка прав

1. Перейдите в каталог freeradius и создайте новые каталоги common_certs, radius_certs, logs с помощью команды:

sudo mkdir common_certs radius_certs logs

2. Установите права доступа к каталогам с помощью команды:

   sudo chmod 744 common_certs radius_certs logs

3. В каталог common_certs положите доменный сертификат в формате Base-64 с именем файла, которое вы указали в переменной LDAP_CERT.

4. Сделайте владельцем пользователя, которого вы указали в файле .env в переменных RAD_UID и RAD_GID через следующую команду:

   sudo chown <RAD_UID:RAD_GID> ./*

Запуск контейнера

Чтобы создать и запустить контейнер, используйте следующую команду:

sudo docker-compose up -d

После запуска настройте интеграцию с бизнес-приложениями в Management Console.

Клиентские приложения должны быть добавлены в файл clients.conf.