vkladimirov a a wi fu phần 7 pps

Файл /etc/freeradius/realms будет полезен, если вы захотите развернуть несколько серверов и потребовать, чтобы мобильные пользователи переходили с одного на другой.RADIUS-В последних вер

2 8 4 ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

и возврат всех деталей конфигурации клиенту, который будет предоставлять вателю определенные сервисы Кроме того, RADIUS-сервер может выступать в видеproxy-клиента для других RADIUS-серверов или иных серверов аутентификации;

пользо-о сетевая безпользо-опаснпользо-ость Впользо-о время аутентификации ппользо-ользпользо-ователя пользо-обмен данными

меж-ду клиентом и сервером шифруется с помощью разделяемого секрета, который когда не передается по сети в открытом виде Пароли пользователей клиент переда-

ни-ет RADIUS-серверу также в зашифрованном виде, чтобы исключить возможностьпрослушивания;

о гибкие механизмы аутентификации RADIUS-сервер допускает различные методы

аутентификации пользователей Получив имя пользователя и его пароль, он можетаутентифицировать его по протоколу РАР или CHAP, выполнить стандартную проце-дуру входа в ОС UNIX или поискать информацию в иных хранилищах, например РАМ,LDAP, SQL и т.д.;

о расширяемый протокол Все данные передаются в виде троек переменной длины:

атрибут-длина-значение (Attribute-Length-Value - ALV) Можно добавлять новые чения атрибутов, не нарушая корректность работы существующей реализации, за счетчего протокол становится более гибким и динамичным, способным к расширению

зна-Форматы пакетов

Пакеты протокола RADIUS инкапсулированы в поток данных протокола UDP без ния Для этого протокола зарезервированы порты 1812, 1813 и 1814, предназначенныесоответственно для доступа, учета и организации proxy Ради совместимости и по истори-ческим причинам некоторые серверы продолжают работать через порты 1645 и 1646 Такповелось еще со времен ранних этапов разработки RADIUS, а теперь вступает в противоре-чие со службой «метрик данных»

состоя-В RFC специфицирована структура пакета протокола RADIUS (рис 13.1)

Рис 13.1 Структура пакета протокола RADIUSНиже описаны отдельные элементы этого пакета:

о код Поле кода длиной в один октет определяет тип пакета Получив пакет с

некор-ректным значением кода, сервер игнорирует его без каких-либо уведомлений пустимые типы пакетов рассматриваются в следующем разделе;

(Response) Поле запроса может встречаться в пакетах типа Access (Доступ) иAccounting Request (Запрос учетной информации), его значение должно быть слу-чайно и уникально Поле ответа встречается в пакетах типа Access-Accept (Доступразрешен), Access-Reject (Доступ запрещен) и Access-Challenge (Запрос) Оно долж-

но содержать одностороннюю МБ5-свертку, вычисленную по значениям полей кода,идентификатора, длины, аутентификатора, атрибутов и по разделяемому секрету;

о атрибуты В этом поле передаются различные характеристики службы, обычно для

анонсирования конкретных предлагаемых или запрашиваемых возможностей Шестьатрибутов и их допустимые значения представлены в табл 13.1

Таблица 13.1 Типы атрибутов в протоколе RADIUS

ТИПЫ пакетов

RADIUS-сервер идентифицирует типы сообщений по значению поля кода Возможные кодыописаны в табл 13.2 Мы не будем вдаваться в подробности, поскольку считаем, что назва-ния понятны без пояснений Но, если хотите, можете прочитать раздел «Packet Types»(Типы пакетов) в RFC 2138

arhontus:$ /configure help

Затем выполните конфигурирование и запустите компиляцию:

arhontus:$ /configure

arhontus:$ make

Для инсталляции FreeRADIUS вам потребуются привилегии пользователя root ните команды:

Выпол-arhontus:$ su

arhontus:# make i n s t a l l

Чтобы настроить FreeRADIUS под свои нужды, вы, возможно, захотите отредактироватьфайл Makefile или указать дополнительные флаги сценарию configure Подробно об имею-щихся возможностях можно узнать, набрав команду

Затем выполните конфигурирование и запустите компиляцию:

Для инсталляции FreeRADIUS вам потребуются привилегии пользователя root ните команды:

По завершении инсталляции переходите к следующему разделу, в котором

описывают-ся процедуры конфигурирования RADIUS-сервера

Конфигурирование

Во время работы над этой книгой конфигурационные файлы для стабильной версии ходились в каталоге /etc/raddb, а для CVS-версии - в каталоге /etc/freeradius, так что,возможно, ваши действия будут слегка отличаться от описанных ниже Предлагаем вамсразу познакомиться со структурой каталогов и наиболее важными конфигурационны-

на-ми файлана-ми

2 8 8 А ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

clients, conf

Информация, хранящаяся в этом файле, более приоритетна, чем та, что находится в файлахclients или naslist Конфигурация включает все данные из этих двух файлов, а также до-полнительные возможности Чтобы сконфигурировать сервер с учетом особенностей ва-шей сети, редактируйте именно файл clients.conf Вот пример одной записи:

Файл /etc/freeradius/radiusd.conf - это сердце RADIUS-сервера Именно в нем ется большая часть параметров и директив Ниже для иллюстрации приведен небольшойфрагмент этого файла Его необходимо отредактировать в соответствии с вашими требова-ниями Можете также посмотреть наш пример файла radiusd.conf, в котором прописанымногие возможности FreeRADIUS, в том числе аутентификация посредством LDAP, EAP-TLSили паролей UNIX

прописыва-Настоятельно рекомендуем в качестве разделяемого секрета выбирать строки, ствующие в словаре, и употреблять в них символы разных типов: буквы, цифры, знакипрепинания и др Если вы не измените принятые по умолчанию значения, то поставитебезопасность сети под угрозу!

отсут-naslist

Далее отредактируйте файл /etc/freeradius/naslist, указав в нем канонические названия,сокращенные названия и типы всех NAS-серверов, которые будут обращаться к данномуRADIUS-серверу Полный перечень поддерживаемых видов NAS-серверов можно узнать настранице руководства или из самого файла naslist Ниже приведен пример:

Файл /etc/freeradius/realms будет полезен, если вы захотите развернуть несколько серверов и потребовать, чтобы мобильные пользователи переходили с одного на другой.

RADIUS-В последних версиях FreeRADIUS этот файл уже не используется и заменен файлом proxy.conf,

в котором хранятся настройки для организации proxy

users

В этом файле описываются методы и процедуры аутентификации пользователей Мы местим сюда разных пользователей вместе с указанием тех сервисов, к которым у них естьдоступ, а также применяемых по умолчанию механизмов аутентификации Более подроб-ную информацию об этом файле можно найти на странице руководства man 5 users Нижеприведен пример:

по-Если вы работаете на платформе Microsoft Windows, то можете скачать утилиту NTRadPingдля тестирования RADIUS-сервера со страницы http://www.mastersoft-group.com/download/.Окно утилиты показано на рис 13.2.

Успешно завершив тестирование сервера, можете переходить к следующему разделу,

в котором речь идет об основах мониторинга и учета в RADIUS Это важно знать для вседневного администрирования, а также на случай, если все-таки произойдет вторже-ние в сеть

по-В протоколе сервера должна появиться запись об авторизации такого вида:

Успешно запустив FreeRADIUS-сервер, вы сможете протестировать аутентификациюпользователя, причем несколькими разными способами Первый способ - воспользо-ваться утилитой radtest, которая пытается установить соединение с сервером, отпра-вив ему указанные «верительные грамоты», и выводит полученный от сервера ответ.Вот пример:

Если это не так, запустите FreeRADIUS в режиме отладки, чтобы из диагностическихсообщений понять, в чем причина ошибки:

Если сервер запустился успешно, то, выполнив показанную ниже команду, вы увидитечто-то типа:

arhontus:~# /etc/init.d/freeradius start

Учет работы пользователей

В документе RFC 2139 перечислены основные возможности службы учета RADIUS Accounting:

о модель клиент-сервер NAS-сервер работает как клиент учетного RADIUS-сервера.

Клиент передает учетную информацию о пользователе учетному серверу Учетный сервер принимает запрос и возвращает клиенту отве г о том, что запрос получен Учет- ный сервер может выступать в роли proxy-клиента ^ля других учетных серверов;

о сетевая безопасность Транзакции между клиенток и сервером

аутентифицируют-ся с помощью разделяемого секрета, который никогда не передаетаутентифицируют-ся по сети;

о расширяемый протокол В ходе любой транзакции [передается тройка

атрибут-дли-на-значение переменной длины Новые значения! атрибутов можно добавлять, не нарушая работу существующей реализации протокола.

Любой вид оборудования, входящий в состав сервера доступа к сети (NAS), должен держивать учетные функции RADIUS Должна быть возможность сконфигурировать его так, чтобы протоколировалась информация о типичных для Пользователя способах доступа в сеть Ниже приведен пример учетной информации о сеансе с точки доступа Orinoco, но ясно, что в реальности картина будет зависеть от вида обррудования NAS и способа учета, заданного администратором.

под-Прочитать об утилитах для анализа учетных данных и формирования отчетов на ихоснове можно ниже в разделе «Инструменты, относящиеся к RADIUS».

Уязвимости RADIUS

Известен целый ряд слабостей RADIUS, причиной которых является как сам протокол, так

и неудачная реализация клиентов Сам по себе протокол UDP, не имеющий состояния, зволяет подделывать пакеты Уязвимости, о которых пойдет речь в этом разделе, не исчер-пывают весь список проблем протокола, а призваны лишь продемонстрировать несколькоспособов обойти аутентификацию пользователя Атаки можно отнести к следующим кате-гориям:

от комбинации полей кода+идентификатора+длины+аутентификатора+атрибутов,

посколь-ку большая часть составных частей аутентификатора известны, а затем повторять эту тку при каждой попытке угадать разделяемый секрет

свер-Атака на разделяемый секрет на основе атрибута Password

Мандат, содержащий пару имя-пароль, является защищенным, но противник может чить информацию о разделяемом секрете, если будет следить за попытками аутентифика-ции Если взломщик предпримет попытку аутентифицироваться с известным паролем, азатем перехватит отправляемый в результате пакет Accept-Request, то он сможет выпол-нить XOR между защищенной частью атрибута U s e r - P a s sword с паролем, который онсообщил клиенту ранее Поскольку аутентификатор ответа известен (его можно увидеть впакете Accept-Request), то противник получает возможность провести атаку методом пол-ного перебора на разделяемый секрет, уже не находясь в сети

полу-2 9 полу-2 ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

Атака на пароль пользователя

Она аналогична предыдущей: зная разделяемый секрет, противник может пробовать личные пароли путем модификации и воспроизведения пакетов типа Access-Request Еслисервер не ограничивает число безуспешных попыток аутентификации одного пользовате-

раз-ля, то атакующий сумеет выполнить полный перебор всех паролей, пока не отыщет вильный Не забывайте, что применение стойкой схемы аутентификации в пакете Access-Request сделает такую атаку почти невозможной

пра-Атаки на аутентификатор запроса

Безопасность пакета в протоколе RADIUS зависит от содержимого поля аутентификатора роса (Request Authenticator) Оно должно быть уникальным и непредсказуемым Однако вспецификациях протокола важности способа генерирования этого поля не уделено долж-ного внимания, поэтому существует много реализаций, в которых алгоритм оставляет же-лать лучшего Если клиент пользуется генератором псевдослучайных чисел с короткимпериодом, то желаемый уровень безопасности протокола не будет достигнут Вспомните,что говорилось в главах о прикладной криптографии по поводу работы и тестированиягенераторов псевдослучайных чисел

зап-Повтор ответов сервера

Противник может создать базу данных с аутентификаторами запросов,

идентификатора-ми и соответствующиидентификатора-ми им ответаидентификатора-ми сервера, если будет периодически прослушивать иперехватывать трафик между клиентом и сервером Увидев запрос с уже встречавшимсяранее аутентификатором, противник замаскирует себя под сервер и повторит наблюдав-шийся ранее ответ Кроме того, противник может воспроизвести похожий на правду от-вет сервера типа Access-Accept и тем самым аутентифицироваться, не представив кор-ректных «верительных грамот»

Проблемы, связанные с разделяемым секретом

Стандарт протокола RADIUS допускает использование одного и того же разделяемого секретамногими клиентами Это небезопасно, так как позволяет некорректно реализованным клиен-там скомпрометировать сразу много машин Мы рекомендуем задавать разные разделяемыесекреты для каждого клиента, причем выбирать слова, отсутствующие в словаре, чтобы их не-возможно было угадать При этом позаботьтесь и о физической безопасности клиентов

Инструменты, относящиеся к RADIUS

Ниже перечислен ряд альтернативных RADIUS-серверов, а также несколько утилит дляадминистрирования и мониторинга работы пользователей:

о Cistron Этот бесплатный сервер, написанный Мигелем ван Смуренбургом (Miquel

van Smoorenburg) на базе исходных текстов сервера Livingston, нашел широкое

дополнитель-о Accounting logparser Этдополнитель-о написанный на Perl сценарий для анализа учетндополнитель-огдополнитель-о прдополнитель-отдополнитель-о-

прото-кола RADIUS Он включает средства формирования различных отчетов Подробнее

см на странице http://www.shenton.org/~chris/nasa-hq/dialup/radius;

о RadiusReport Это тоже утилита для анализа протоколов, написанная на Perl Она

позволяет генерировать разнообразные отчеты на основе одного или несколькихфайлов протоколов RADIUS Подробнее о реализации см http://www.pgregg.com/projects/radiusreport;

о RadiusSplit Этот сценарий предназначен для сортировки учетных файлов RADIUS,

чтобы их затем можно было обработать с помощью RadiusReport В результате много сокращается время, необходимое для анализа Скачать программу можно состраницы http://www.pgregg.com/projects/radiussplit;

на-о RadiusContext Этна-о набна-ор утилит для быстрна-огна-о и эффективнна-огна-о анализа прна-отна-окна-о-

протоко-лов Утверждается, что они работают намного быстрее и потребляют

существен-но меньше памяти, чем сценарий RadiusReport Программы написаны на языкеPython и доступны для скачивания на странице http://www.tummy.com/Software/radiuscontext

802.1х: на страже беспроводной крепости

802.1х - это стандарт, в котором определена безопасность на уровне портов для генных сетей Первоначально он был разработан для проводных сетей, а теперь адаптиро-ван и для беспроводных и стал частью стандарта 802.Hi Необходимость адаптации былавызвана, главным образом, желанием авторизовать законных пользователей и ограничитьвсем остальным доступ к принципиально небезопасной беспроводной среде Стандарт802.11 и протокол ЕАР стали очень популярны по мере роста числа беспроводных сетей,так что все большее число компаний принимают на вооружение эту комбинацию Тому естьследующие причины:

гетеро-о ее сравнительнгетеро-о легкгетеро-о реализгетеро-овать, пгетеро-оскгетеро-ольку для аутентификации и инфраструктурыбезопасности в целом применяются уже давно известные средства, к примеру RADIUS;

о она обеспечивает высокую степень безопасности;

о в схеме аутентификации применяются сеансовые и пакетные ключи, в том числе основанные на инфраструктуре PKI;

о имеется поддержка для одноразовых паролей и смарт-карт;

о она легко масштабируется по мере роста сети.

В этом разделе мы продемонстрируем методику внедрения схемы безопасного доступа к проводной сети на базе стандарта 802.1х и протокола стойкой аутентификации на уровне 2, например, EAP-TLS Кроме того, мы покажем, как на практике сочетание 802.1х и EAP-TLS можно применить в различных сценариях на базе модели клиент-сервер в Windows и UNIX.

бес-Основы EAP-TLS

В документе RFC 2284 протокол ЕАР описан следующим образом: «Расширяемый протокол аутентификации (ЕАР) - это общий протокол для аутентификации поверх протокола РРР, ко- торый поддерживает несколько механизмов аутентификации ЕАР не выбирает конкретный механизм аутентификации на этапе управления каналом, а откладывает выбор до этапа аутен- тификации Это позволяет аутентификатору запросить больше информации еще до выбора конкретного механизма Это также открывает возможность для применения поддерживающе-

го сервера, который и реализует различные механизмы, тогда как аутентификатор на уровне РРР просто пропускает через себя все необходимые для аутентификации сообщения» После того как канал установлен, аутентификация по протоколу ЕАР выполняется в сле- дующем порядке:

о первоначально аутентификатор посылает запросы для аутентификации

претенден-та В запросе есть поле типа, показывающее, что именно запрашивается Вот сколько примеров запросов разных типов: идентификация, МБ5-запрос, одноразовый пароль, некая карта с записанной на ней информацией и т.д Аутентификатор посы- лает начальный запрос идентификации (Identity Request), за которым следует один или несколько запросов о предоставлении информации для аутентификации;

не-о затем претендент пне-осылает не-ответ на каждый запрне-ос В пакете, сне-одержащем не-ответ, также есть поле типа, соответствующее полю типа в запросе;

о аутентификатор завершает процесс аутентификации отправкой пакета об успехе или неудаче аутентификации.

На рис 13.3 показан процесс аутентификации по протоколу EAP-TLS.

2 9 6 А ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

У протокола ЕАР много достоинств, в том числе поддержка различных методов фикации без необходимости фиксировать какой-то механизм на этапе управления кана-лом Кроме, того, оборудование NAS-сервера не обязано понимать все типы запросов иможет просто работать как агент, переадресующий запросы RADIUS-серверу Следователь-

аутенти-но, само устройство должно лишь отслеживать ответы сервера об успешной или ной аутентификации, чтобы знать, каков был результат

неудач-Формат пакета

Согласно RFC 2284, «один пакет РРР ЕАР инкапсулируется в поле Information фреймаканального уровня РРР, причем поле протокола должно содержать шестнадцатеричноезначение С227 (РРР ЕАР)» На рис 13.4 представлена структура пакета протокола ЕАР

Структура сообщения ЕАР аналогична структуре пакета RADIUS, которая лась в первой части этой главы, поэтому здесь мы ее подробно обсуждать не будем Де-тальная информация о типах пакетов ЕАР приведена в RFC 2284

рассматрива-Ознакомившись с основными идеями аутентификации на базе стандарта 802.1х с токолом ЕАР, мы можем перейти к следующей части, где будет приведен практическийпример того, как интегрировать описанную схему в работающую домашнюю или корпо-ративную беспроводную сеть Мы будем предполагать, что имеется операционная систе-

про-ма Debian Linux с сервером FreeRADIUS и точкой доступа Orinoco AP-2000, выступающей

в роли NAS-сервера для аутентификации клиентов на платформах Linux и Windows Нампонадобятся еще некоторые утилиты и сценарии, с которыми мы ознакомимся по ходуизложения

Создание сертификатов

Для построения механизма аутентификации пользователей на базе архитектуры PKI

нуж-но выпустить сертификаты для клиентов и сервера, для чего понадобится развернуть стоверяющий центр (СА - Certification Authority).

удо-С этой целью мы воспользуемся набором сценариев, взятых из написанного РаймондомМак-Кеем (Raymond McKay) документа EAP/TLS H0WT0 и слегка подправленных Сценарииназываются CA.root, CA.server и CA.client Еще нам понадобится файл xpextensions Преждечем пользоваться ими, убедитесь, что установлен пакет OpenSSH, и измените в тексте сце-нариев путь к каталогу SSL в соответствии со своим сервером, если, конечно, в вашем ди-стрибутиве Debian Linux они уже не подправлены Кроме того, рекомендуется изменитьповсюду пароль в запросе с testinglll на что-нибудь более подходящее

Для начала сгенерируем корневой удостоверяющий центр, запустив сценарий CA.root иответив на вопросы об организации: местоположение, название, организационная едини-

ца и т.д В результате будут созданы следующие файлы:

После создания удостоверяющего центра можно выпустить сертификат для сервера, пустив сценарий CA.server и указав в качестве параметра имя сервера, например:

за-arhontus:-# /CA.server radius.core.arhont.com

В результате будет создан набор файлов с сертификатом сервера, которые позже нужнобудет интегрировать с RADIUS-сервером Вот эти файлы:

Последний шаг - создание сертификатов для каждого пользователя с помощью рия CA.client, которому передается имя пользователя без пробелов в том виде, в которомоно представлено в файле users RADIUS-сервера:

сцена-В результате для каждого клиента будут созданы такие файлы:

Создав все необходимые сертификаты, скопируйте файлы root.der и <usemame>.pl2 накаждый из клиентских компьютеров и установите их для всех клиентов на платформеWindows Процедура установки сертификатов рассматривается ниже в разделе «Претенден-ты» Кроме того, файлы root.pem и <servemame>.pem понадобятся для настройкиFreeRADIUS-сервера, о которой будет рассказано в следующем разделе Из соображенийсовместимости мы рекомендуем также поместить копию сгенерированных сертификатов вкаталог OpenSSL, указанный в файле openssl.cnf (обычно /etc/ssl)

Как практически все в мире UNIX, процедура конфигурирования сервера FreeRADIUS в ОСLinux проста, изящна и логична В предыдущем разделе вы уже познакомились с протоко-лом RADIUS и, надеемся, установили и сконфигурировали сервер Здесь мы расскажем, как

2 9 8 ^ ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

активизировать поддержку протокола EAP-TLS, чтобы мобильные пользователи смогли торизоваться в вашей беспроводной сети по технологии PKI.

ав-В этом примере мы предполагаем, что вы создали каталог /etc/lx с правами, шающими читать его FreeRADIUS-серверу Поместите в этот каталог файлы root.pem и

разре-<servername.pem> и тоже разрешите серверу их читать Поскольку вы уже ровали файл clients.conf и разрешили оборудованию доступа к сети соединяться с сер- вером, то осталось лишь изменить файлы users и radiusd.conf, после чего интеграция 802.1x/EAP/RADIUS будет завершена.

Затем отредактируйте раздел Authentication и раскомментарьте все ссылки на ЕАР Преждечем приступать к редактированию файла users, нужно будет создать два файла со случайнымиданными и сделать их доступными для чтения процессу FreeRADIUS В файле radiusd.conf пути

к этим файлам являются значениями переменных dh_f Н е й random_f i I e Например,

мож-но создать их следующим образом:

arhontus:~# dd if=/dev/urandom of=/etc/lx/DH bs=lK count=2048

arhontus:~# dd if=/dev/urandom of=/etc/lx/randomH bs=lK count=2048

Файл users

Для каждого пользователя, который будет проходить аутентификацию по протоколу TLS, добавьте в файл users следующую строку (в ней < c l i e n t n a m e > должно в точности

ЕАР-совпадать со значением поля Common Name, указанным при создании клиентского

серти-фиката):

"<clientname>" Auth-Type := ЕАР

Теперь можно перезапустить FreeRADIUS-сервер Далее мы опишем процедуры гурирования аутентификации клиентов

конфи-Претенденты

До сих пор мы имели дело, главным образом, с серверной стороной процедуры ции, теперь перейдем к клиентской Сначала опишем конфигурацию клиента на платформеLinux с помощью приложения XSupplicant, а затем утомительную последовательность щелч-ков мышью, необходимую для конфигурирования Windows-клиентов Ладно, я и без вас знаю,что справедливость искать бесполезно! Вам не только приходится платить за этот «стабиль-ный, дружественный и работающий софт», но еще и тратить драгоценное время, пробиваясьсквозь дебри его настроек, аки обезьяна! Но в конце-то концов разве администратору платят

аутентифика-не за это? Не стааутентифика-нем ввязываться в споры о том, что лучше - Windows или Linux

Linux

Приводимые ниже инструкции должны работать в любом дистрибутиве Linux Сначала нужноскачать с сайта http://www.openlx.org и установить программу Xsupplicant Во время работынад книгой последней стабильной версией была 0.6, но можно взять версию и из CVS-хранили-

ща, которая обычно работает не хуже, зато имеет больше возможностей Скачав дистрибутив,выполните следующие команды, чтобы развернуть архив, собрать и установить пакет:arhontus:~$ tar zxvf xsupplicant-0.б.tar gz

отре-была указана в качестве значения поля Common Name при создании сертификата.

3 0 0 ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

параметры сетевого интерфейса На этом процедура Инсталляции клиента Xsupplicant вLinux завершена.

Windows 2000 и Windows XP

В этом разделе обсуждается процедура установки сертификата, а также настройка

сетево-го соединения, для которосетево-го аутентификация будет производиться по протоколу 802.1х/EAP-TLS К счастью, в Windows XP имеется встроенная поддержка для аутентификации попротоколу 802.1х, так что скачивать из сети дополнительные программы не понадобится.Пользователи же Windows 2000 должны будут поставить патч, который дает возмож-ность аутентифицироваться по протоколу 802.1х Загрузить его можно с сайта Microsoft(http://www.microsoft.com/Windows2000/downloads/recommended/q313664/download.asp).После установки и перезапуска компьютера можно будет активизировать этот сервис, от-

крыв Панель управления (Control Panel), выбрав пункты Administrative Tasks => Services

(Административные задачи => Сервисы) и установив для сервиса Wireless Configuration

ав-томатический режим запуска (Automatic) Затем этот сервис надо будет запустить.

Следующие инструкции должны работать и в Windows 2000, и в Windows XP ровав сервис Wireless Configuration Service, вы сможете импортировать сертификаты root.der

Активизи-и <clientname>.pl2, выполнАктивизи-ив следующАктивизи-ие действАктивизи-ия: дважды щелкнАктивизи-ите мышью по файлуroot.der и следуйте инструкции для его установки в папку Trusted Root Certificate Authrities(Доверенные корневые удостоверяющие центры) - рис 13.5 и 13.6

Покончив с этим, вы должны будете установить закрытый ключ, дважды щелкнув пофайлу <clientname>.p!2 и выполнив инструкции Мастера (рис 13.7 и 13.8)

3 0 2 ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

После установки сертификата вы должны будете разрешить использовать на данном тевом соединении протокол 802.1х/ЕАР Для этого откройте Панель управления, выберите пункт Network Connections (Сетевые соединения), щелкните правой кнопкой мыши по

се-беспроводному соединению (представленному, например, иконкой Local Area Connection(Локальное соединение)), выберите из контекстного меню пункт Properties (Свойства), пе-рейдите на вкладку Authentication (Аутентификация) и отметьте флажки, как показано

на рис 13.9 и 13.10

3 0 4 ВОРОТА КРЕПОСТИ: АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

После выполнения всех этих инструкций ваш сертификат должен автоматически тифицироватъся RADIUS-сервером Если возникнут сложности, запустите сервер FreeRADIUS

аутен-в режиме отладки, например с флагами -X -А, и испрааутен-вьте аутен-все ошибки, о которых гоаутен-ворится

в диагностических сообщениях Если это не получается, обратитесь к группе пользователейFreeRADIUS (http://www.freeradius.org/list/users.html) и попросите у них совета

Пример конфигурирования точки доступа Orinoco AP-2000

Порядок включения аутентификации по протоколу 802.1х/ЕАР на оборудовании для тупа в сеть должен быть одним и тем же вне зависимости от производителя В качествепримера опишем процедуры настройки точки доступа Orinoco AP-2000, которая была лю-безно предоставлена компании Arhont для тестирования фирмой Proxim

дос-Зайдите на точку доступа, выберите в меню пункт Configure и щелкните по элементу RADIUS Введите параметры вашего FreeRADIUS-сервера, в том числе разделяемый секрет,

который был задан в файле clients.conf Необходимо также включить учетный протоколRADIUS Окно должно выглядеть примерно так, как показано на рис 13.11 и 13.12

Теперь перейдите на вкладку Security (Безопасность) и в списке 802.IX Security Mode (Режим безопасности для 802.1х) выберите элемент Mixed Mode (Смешанный режим), ко-

торый обеспечивает совместимость с существующими пользователями WEP и клиентами споддержкой 802.1х Если вы вообще не хотите использовать WEP, оставьте только прото-кол 802.1х, а шифрование по протоколу WEP отключите вовсе

Чтобы новые параметры вступили в силу, точку доступа придется перезагрузить (рис 13.13

и 13.14) Все, можете наслаждаться аутентификацией по протоколу EAP-TLS

Что такое LDAP

Аббревиатура LDAP означает Lightweight Directory Access Protocol (Облегченный протокол

службы каталогов) Информационная модель в LDAP состоит из ряда отдельных записей (Entries), имеющих глобально уникальные различимые имена (Distinguished Name - DN),

в каждой из которых хранится набор атрибутов У каждого атрибута в записи есть тип иодно или несколько значений Типы обычно представляют собой строки, например, u i d