|
Pagina 5 di 12
L'autenticazione Radius avviene secondo i
seguenti punti:
l'utente stabilisce una connessione
con il server di accesso alla rete.
l'utente e l'access server negoziano
il meccanismo di autenticazione (nel caso della rete Wi-Fi e' consigliato EAP)
L'utente e l'access server si
scambiano informazioni per l'autenticazione
l'access server impacchetta le
informazioni per l'autenticazione in un pacchtto di "richiesta
autenticazione"; la password e' crittata utilizzando una password condivisa
con il server Radius.
Il pacchetto e' inviato al Radius
server utilizzando la connessione in uso.
Quando il server Radius riceve il
pacchetto di richiesta autenticazione tenta di autenticare l'utente
utilizzando gli account a cui ha accesso; se l'utente ha indicato un reame non
locale effettua il proxyng della richiesta e attende la risposta del radius
server di livello superiore. Alla fine il server invia un messaggio di
"Authentication Acknowledgment" o un "Authentication Reject" all'access
server.
Per effettuare
l'autenticazione di un utente e' possibile appoggiarci ai servizi di un database, al fine di gestire i dati in
maniera centralizzata e sicura. I database supportati dallo standard Radius sono
parecchi e comprendono tutti quelli piu' utilizzati. Considerando in particolare
il freeradius possiamo citare LDAP che sara' anche quello utilizzato nel test.
Progetto operativo
Il progetto si
propone di creare una infrastruttura Wi-Fi in grado di gestire le esigenze di un
campus universitario: gestire un gran numero di utenze che si spostano
all'interno dell'ateneo; gli utenti disporranno di un account gestito dal
reparto IT del dipartimento di provenienza e l'obiettivo e' rendere disponibile
il collegamento Wi-Fi in tutte le strutture. rendere possibile il collegamento
di diversi poli universitari o diverse sedi puo'; essere considerato un
ulteriore obbiettivo. Per creare una infrastruttura che risolve queste esigenze
e' necessario utilizzare un autenticazione remota 802.1x (supportata sempre pi
dai moderni sistemi operativi), configurando uno o pi server radius in grado di
autenticare accedendo ai vari database nei quali sono contenuti i dati di
studenti e docenti. Questo e' possibile creando un database centralizzato o
delocalizzando le informazioni e creando una rete di radius che comunicano tra
loro all'atto dell'autenticazione effettuando il proxing delle richieste. Sara'
inoltre necessario configurare correttamente la rete di access-point e scegliere
uno schema di autenticazione per gli utenti compatibile con le varie
architetture, con i database e soprattutto sicuro. Nella fase di test viene
utilizzato per praticita' ed economia un server Freeradius ed un solo AP Cisco
1100 series.
Configurazione server
Freeradius
Il primo passo
da compiere e' configurare un server freeradius funzionante: dopo aver scaricato
direttamente dal sito ufficiale, compilato ed installato la versione 1.0.2 si
puo' procedere all'analisi dei files di configurazione
i files di
configurazione pi importanti vengono installati in:
/etc/raddb/radiusd.conf
/etc/raddb/clients.conf
/etc/raddb/proxy.conf
/etc/raddb/users
/etc/raddb/eap.conf
le opzioni
generali sono configurabili in radiusd.conf, la gestione dei NAS in clients.conf, il settaggio dei proxy in
proxy.conf e le opzioni generali per
gli utenti in users. La personalizzazione del server e' notevole, tutti i files
sono commentati in maniera esaustiva; il pacchetto che installa server contiene
anche una utility per testarlo e un semplice client radius. Il settaggio di
default dovrebbe gia consentire un corretto funzionamento del server effettuando
autenticazioni che si basano sugli account di sistema della macchina ospite. Il
corretto funzionamento con l'autenticazione di sistema si e' osservato su un
S.O. Red Hat Linux 9, mentre sulla macchina virtuale "Scientific Linux" con la
quale sono stati portati avanti i test l'autenticazione di sistema non e' andata
a buon fine, probabilmente per la gestione delle password.
|
Guide sul Wireless 
Wireless
