Tạo các chứng chỉ tự ký cho PEAP
Mặc dù các chứng chỉ SSL được yêu cầu cho PEAP nhưng TLS hiện được tạo một cách tự động bởi FreeRADIUS, vì vậy bạn vẫn phải tùy chỉnh các thuộc tính nhận dạng và mật khẩu. Thực hiện điều này trước khi chạy máy chủ lần đầu và đây là cách thực hiện những thay đổi.
1. Mở một Terminal, đánh "su" cho root mode, và chạy "gedit" để mở trình soạn thảo văn bản. Sau đó mở các file ca, client và server cnf từ /etc/raddb/certs. Trong mỗi một file cấu hình, hãy chỉnh sửa như sau:
-
Thay đổi "default_days" trong phần CA Default thành con số lớn hơn một năm, vì vậy bạn không phải tạo và nâng cấp chứng chỉ ngay.
-
Thay đổi "input_password" và "output_password" trong phần Req để các chứng chỉ được bảo vệ thay cho mật khẩu mặc định.
-
Thay đổi 6 giá trị cho các trường nhận dạng trong các phần Certificate Authority, Client và Server.
2. Lưu các file nhưng không đóng trình soạn thảo lúc này.
3. Bạn cần nâng cấp mật khẩu trong file etc/raddb/eap.conf bằng cách thay đổi giá trị "private_key_password" trong phần TLS.
4. Lưu file và đóng trình soạn thảo.
Trong root terminal đang tồn tại, đánh "/usr/sbin/radiusd -X". Lệnh này sẽ tạo các chứng chỉ tự ký của bạn và bắt đầu máy chủ trong chế độ gỡ rối để bạn có thể thấy những gì đang xảy ra. Nếu mọi thứ diễn ra như kế hoạch thì bạn sẽ thấy dòng chữ "Ready to process requests" cuối cùng.
Mặc dù máy chủ hiện đã được cài đặt và có thể chạy, nhưng các phần tiếp theo sẽ hướng dẫn bạn cách cấu hình một vài thiết lập khác trước khi sẵn sàng thẩm định người dùng Wi-Fi của bạn.
Cài đặt các thiết lập EAP
Có nhiều kiểu EAP, vì vậy bạn phải chỉ định kiểu nào mình muốn sử dụng. Trong hướng dẫn này chúng ta sẽ thảo luận về việc sử dụng PEAP, đây là một kiểu EAP không yêu cầu bạn tạo các chứng chỉ bảo mật cho mỗi người dùng. Họ kết nối và mạng bằng cách sử dụng username và password của họ.
Khi bạn sẵn sàng, hãy tạo một thay đổi nhỏ đối với file cấu hình EAP:
1. Mở Terminal, đánh "su" cho root mode, và chạy "gedit" để mở Text Editor. Sau đó mở etc/raddb/eap.conf.
2. Trong phần đầu tiên của phần EAP, thay đổi "default_eap_type" từ "md5" thành "peap".
3. Lưu và đóng file, tuy nhiên vẫn để mở Text Editor.
Tạo tài khoản người dùng
Tiếp đến bạn cần tạo các username và password mà người dùng sẽ nhập vào khi kết nối đến mạng Wi-Fi. Đầu tiên chúng ta sẽ tạo một tài khoản người dùng trong file cấu hình để test máy chủ. Sau đó chúng ta sẽ sử dụng cơ sở dữ liệu MySQL để lưu thông tin người dùng, đây là một giải pháp tuyệt vời nếu bạn có nhiều người dùng hoặc cần thay đổi các thông tin về mật khẩu của họ một cách thường xuyên.
Trong trình soạn thảo văn bản root đang tồn tại, mở etc/raddb/users. Sau đó đánh vào username, nhấn Tab và đánh Cleartext-Password := "thepassword".
Đây là một ví dụ:
egeier Cleartext-Password := "pass123"
Lưu và đóng file, tuy nhiên vẫn để mở trình soạn thảo.
Nhập vào các thông tin chi tiết của AP (client)
Lúc này bạn phải nhập vào địa chỉ IP và bí mật đã chia sẻ (mật khẩu) của tối thiểu một AP không dây, thứ được gọi là client đối với FreeRADIUS. Tiếp đến bạn có thể lưu trữ các thông tin chi tiết của client trong một cơ sở dữ liệu, chẳng hạn như MySQL. Mặc dù vậy nếu bạn đang làm việc trong một mạng nhỏ, thì bạn có thể dễ dàng sử dụng phương pháp file văn bản.
Trên một trình soạn thảo văn bản root đang tồn tại, mở etc/raddb/clients.conf và nhập vào các thông tin chi tiết ở đâu đó cho mỗi một AP theo ví dụ dưới đây:
client 192.168.0.1 {
secret = testing123
shortname = private-network-1
}
Thay đổi địa chỉ IP, nhập vào bí mật duy nhất cho mỗi AP và có thể nhập cả tên mô tả. Sau đó không quên lưu file khi bạn đã thực hiện xong các thay đổi.
