实验三无线网路802.1x与RADIUS.pptVIP

實驗三無線網路與802.1x與RADIUS 瞭解802.1x的認證機制 Supplicant →使用peap方案 Authenticator →使用Host AP Authentication Server →使用Free RADIUS 繳交時間：2006/11/16 實驗目的 Station Join到AP之後，對於認證方式傳統上都是透過一台AP本身去執行的。 在802.1x機制上，提供Authentication Server(即AS)，AS可以同時服務許多台AP，並且提供認證與記帳等機制(AAA)。 利用架設802.1x相關環境來瞭解802.1x運作的方式，以及透過Ethereal抓取EAP與Radius封包來瞭解運作流程。 EAP有多種身分認證方式，其中包括EAP-MD5、EAP-TLS、EAP-PEAP……(參見課本第五章介紹) 知識背景 基礎概念802.1x 運作流程 基礎概念HOSTAP三部分 HOSTAP driver for prism (2/2.5/3) 此為特別的driver，會將無線網路卡以AP的模式驅動 本driver可設定無線網卡成為AP模式 HOSTAPD 主要負責802.1x的部分，可以利用hostapd.conf簡單設定AP的認證機制 HOSTAP utility 主要是一些公用程式可以把參數傳給hostap-driver，以方便作一些測試或者其他用途 實驗設備與環境 硬體 電腦兩台(Linux FC5)： 一台接上有線網路當作RADIUS Server使用 一台架設hostap，需有兩張網卡用作bridge 筆記型電腦：需有無線網卡 軟體 Authentication Server：採用Free RADIUS Authenticator：採用Host AP Daemon Supplicant：採用windows內建的802.1X verification function方案 Ethereal：抓EAP與RADIUS封包 實驗方法與步驟Authentication Server (1/10) 抓取Free RADIUS版本。 到/網址上抓取download目前的版本。 wget /pub/radius/freeradius-1.1.3.tar.gz 解壓縮FREERADIUS抓回來的版本。 tar zxvf freeradius-1.1.3.tar.gz 實驗方法與步驟Authentication Server (2/10) 切換到FREERADIUS解壓縮後的目錄，並且執行./configure設定編譯時所需用到的相關參數。 cd freeradius-1.1.3 ./configure 對程式作編譯。 make 安裝編譯好的執行檔與相關設定檔。 make install 實驗方法與步驟Authentication Server (3/10) 切換到設定檔預設安裝的目錄，並且對RADIUS Server進行設定，首先修改允許連線到此台RADIUS Server的AP，即802.1x中的Authenticator相關資訊。 cd /usr/local/etc/raddb vi clients.conf 實驗方法與步驟Authentication Server (4/10) 設定將要連線進來的AP相關資訊。包括對AP之間traffic所使用加密的key，以及AP的名稱。 在第99行中新增四行資訊： client 05/24{ ? IP address and mask of AP secret = secret ? encryption key between AP and AS shortname = netlab15 ? Name of AP } 實驗方法與步驟Authentication Server (5/10) 修改使用者登入時所需要的設定檔。 cd /usr/local/etc/raddb vi users 增加使用者帳號，並且設定使用者密碼與認證的方式。 在第96行新增兩行資訊： “netlab” Auth-Type := EAP, User-Password == “hello” Reply-Message = “Hello, %u” 實驗方法與步驟Authentication Server (6/10) Open the main configuration file radiusd.conf a. Make sure mschap contains: mschap { authtype = MS-CHAP ?認證方法 use_mppe = yes ?ass