Különbségek

A kiválasztott változat és az aktuális verzió közötti különbségek a következők.

--- linux:freeradius [2025/09/09 20:03] – riba.zoltan
+++ linux:freeradius [2025/09/10 11:05] (aktuális) – [Kerberos hitelesítés] riba.zoltan
@@ Sor 694: / Sor 694: @@
 <code>
 # dnf install freeradius freeradius-utils freeradius-krb5 krb5-workstation
+</code>
+Hozzunk létre egy felhasználót a DC.n
+<code>
+# samba-tool user add radius-svc --random-password
+User 'radius-svc' added successfully
+</code>
+Hozzunk létre SPN-t a radius szervernek
+<code>
+# samba-tool spn add radius/dc1.adomain.lan radius-svc
+</code>
+Ellenőrizzük az SPN-t
+<code>
+# ldbsearch -H ldap://localhost -U administrator '(servicePrincipalName=radius/dc1.adomain.lan)' sAMAccountName servicePrincipalName
+Password for [ADOMAIN\administrator]:
+# record 1
+dn: CN=radius-svc,CN=Users,DC=adomain,DC=lan
+sAMAccountName: radius-svc
+servicePrincipalName: radius/dc1.adomain.lan
+# Referral
+ref: ldap://adomain.lan/CN=Configuration,DC=adomain,DC=lan
+# Referral
+ref: ldap://adomain.lan/DC=DomainDnsZones,DC=adomain,DC=lan
+# Referral
+ref: ldap://adomain.lan/DC=ForestDnsZones,DC=adomain,DC=lan
+# returned 4 records
+# 1 entries
+# 3 referrals
+</code>
+Ez a lépés nem kötelező . Beállíthatjuk a titkosítást a felhasználói fiók esetében.
+<code>
+# cat > ~/encryption-mod.ldif <<'EOF'
+dn: CN=radius-svc,CN=Users,DC=adomain,DC=lan
+changetype: modify
+replace: msDS-SupportedEncryptionTypes
+msDS-SupportedEncryptionTypes: 24
+EOF
+# ldbmodify -H ldap://localhost -U administrator ~/encryption-mod.ldif
+Password for [ADOMAIN\administrator]:
+Modified 1 records successfully
+</code>
+Exportáljuk a keytab-ot
+<code>
+# samba-tool domain exportkeytab /root/radius.keytab --principal=radius/dc1.adomain.lan
+Export one principal to /root/radius.keytab
+</code>
+Ellenőrizzük a keytab tartalmát
+<code>
+# klist -k -e /root/radius.keytab
+Keytab name: FILE:/root/radius.keytab
+KVNO Principal
+---- --------------------------------------------------------------------------
+radius/dc1.adomain.lan@ADOMAIN.LAN (aes256-cts-hmac-sha1-96)
+radius/dc1.adomain.lan@ADOMAIN.LAN (aes128-cts-hmac-sha1-96)
+</code>
+Másoljuk be a keytabot a megfelelő helyre és állítsuk be a jogosultságot
+<code>
+# cp -a /root/radius.keytab /var/lib/radiusd/keytab
+# chown radiusd:radiusd /var/lib/radiusd/keytab
+# chmod 0600 /var/lib/radiusd/keytab
+</code>
+Mentsük le az eredeti kerberos konfigurációt
+<code>
+# [ ! -f /etc/raddb/mods-available/krb5.orig ] && cp -a /etc/raddb/mods-available/krb5 /etc/raddb/mods-available/krb5.orig
+</code>
+Módosítsuk a konfigurációt
+<code>
+# cat > /etc/raddb/mods-available/krb5 <<'EOF'
+krb5 {
+	keytab = ${localstatedir}/lib/radiusd/keytab
+	service_principal = radius/dc1.adomain.lan
+	pool {
+		start = ${thread[pool].start_servers}
+		min = ${thread[pool].min_spare_servers}
+		max = ${thread[pool].max_servers}
+		spare = ${thread[pool].max_spare_servers}
+		uses = 0
+		lifetime = 0
+		idle_timeout = 0
+	}
+}
+EOF
+</code>
+Engedélyezzük a konfigurációt
+<code>
+# ln -s ../mods-available/krb5 /etc/raddb/mods-enabled/krb5
+</code>
+Indítsuk újra a szolgáltatást
+<code>
+# systemctl restart radiusd
+</code>
+Teszteljük a kapcsolatot
+<code>
+# radtest -t pap teszt.elek '12345678' localhost 0 testing123
+Sent Access-Request Id 176 from 0.0.0.0:36009 to 127.0.0.1:1812 length 80
+	User-Name = "teszt.elek"
+	User-Password = "12345678"
+	NAS-IP-Address = 192.168.110.11
+	NAS-Port = 0
+	Cleartext-Password = "12345678"
+Received Access-Accept Id 176 from 127.0.0.1:1812 to 127.0.0.1:36009 length 38
+	Message-Authenticator = 0x662c8de328ec1703342d74ece4225877
 </code>