Open Source im professionellen Einsatz
Linux-Magazin 09/2009
613

Benutzer einrichten

Als Nächstes benötigt der RAS-Server Angaben über die zugelassenen Benutzer. Will es sich der Systemverwalter ganz einfach machen, stattet er jeden Anwender einfach mit einem von der CA unterzeichneten Client-Zertifikat aus. Wenn er die Radius-Konfigurationsdatei »users« nicht anfasst, gewährt der RAS jedem Zugang, der ein gültiges vorweisen kann. Der Switch weist dem Antragsteller dann das dort hinterlegte VLAN zu.

Möchte der Systemverwalter dem RAS-Server jedoch noch zusätzliche Informationen über die User mitgeben, hat er mehrere Optionen: Am schnellsten gelingt es, die Berechtigten und Unberechtigten in der Datei »users« zu erfassen. Listing 5 gibt ein Beispiel.

Listing 5:
Benutzerdatenbank

01 dau Auth-Type := Reject
02 
03 DEFAULT Auth-Type := EAP, Login-Time := "Wk0800-2000"
04     Tunnel-Type = 13,
05     Tunnel-Medium = 6,
06     Tunnel-Private-Group-Id = 23,
07     Fall-Through = Yes
08 
09 uebelacker Auth-Type := EAP, Login-Time = "Any"
10     Tunnel-Private-Group-Id = 42

Die Vorgabe für jeden Antragsteller, der per EAP ein gültiges Zertifikat vorlegt, definiert der Systemverwalter ab Zeile 3. Die Angaben zu »Tunnel-Type« und »Tunnel-Medium« schreibt der Standard vor, wenn der Switch ein VLAN vergeben soll, beispielsweise »23« für das Benutzer-Segment. Weitere Radius-Extensions definiert RFC 2869, so dürfen sich Anwender nur werktags zwischen 8 und 20 Uhr anmelden, um nächtliches Hacking zu unterbinden.

Die erste Zeile sperrt den Benutzer »dau« aus, der das Unternehmen verlassen hat, aber noch ein gültiges Zertifikat besitzt. Alternativ lässt sich diese Logik auch mit Certificate Revocation Lists (CRLs) mit etwas mehr Aufwand realisieren. Für die Datei gilt die First-Match-Regel, es sei denn, der Admin setzt das Attribut »Fall-Through« wie in Zeile 7. Auf diese Weise überschreiben die zusätzlichen Attribute die Einstellungen für den Administrator mit dem Namen »uebelacker«: Er erhält keine Zeitbegrenzung und findet sich direkt im Admin-Segment wieder.

Mit »radiusd -X« startet der RAS im Debug-Modus, der mögliche Fehlkonfigurationen einfach erkennbar macht. Hat der Start keine hervorgebracht, zeigt Radius an, dass er nun Anfragen beantwortet:

Listening on authentication address 192.168.123.23 port 1812
Ready to process requests.

Es ist ratsam, den Daemon bis zur erfolgreichen Freischaltung eines Netzwerk-Ports im Debug-Modus laufen zu lassen, da er alle Aktivitäten ausführlich auf die Standardausgabe schreibt.

Client einrichten

Im späteren Produktivbetrieb verfolgt der Admin diese Angaben mit »tail -f /var/log/radius/radius.log«:

Info: Ready to process requests.
Auth: Login OK: [uebelacker] (from client uebelhackers port 13 cli 00:19:e0:18:38:5c)

Aus dieser Angabe erkennt er, dass sich der Besitzer des Zertifikats, ausgestellt auf »uebelacker«, am Switchport 13 angemeldet hat. Dazu sendet der Client dem Switch EAPoL-Pakete. Diese Funktionalität liefern sowohl Xsupplicant aus dem Open1X-Projekt [11] der OpenSEA Alliance [12] als auch das etwas bekanntere »wpa_supplicant« [13]. Nicht alle Distributionen stellen beide Supplikanten zur Verfügung. Als grafisches Frontend für »wpa_supplicant« dient unter Ubuntu 9.04 der Network-Manager (siehe Abbildungen 3 und 4).

Abbildung 3: Der Network-Manager unter Ubuntu kennt bereits EAP-TLS und konfiguriert es grafisch.

Abbildung 4: Einmal eingerichtet, bekommen Anwender von der Anmeldung am Switch nichts mehr mit.

In der »/etc/xsupplicant/xsupplicant.conf« konfiguriert der Benutzer sein 802.1X-Profil (siehe Listing 6) und testet mit dem folgenden Aufruf den Supplikanten:

xsupplicant -D wired -i eth0 -d 5 -f -c /etc/xsupplicant/xsupplicant.conf

Nach erfolgreicher 802.1X-Authentifizierung und Freischaltung am Netzwerk-Port, die das Tool mit »Changing from AUTHENTICATING to AUTHENTICATED« quittiert, vergibt das Startskript die IP-Adresse wie gewohnt statisch oder per DHCP. Wenn der Xsupplicant per »/etc/init.d/xsupplicant start« im Hintergrund läuft und mit »chkconfig xsupplicant on« den Reboot übersteht, findet die 802.1X-Authentifizierung automatisch statt.

Listing 6:
»xsupplicant.conf«

01 default_netname = intranet
02 intranet {
03   type = wired
04   allow_types = eap_tls
05   identity = uebelacker
06   eap_tls {
07      user_cert = "/path/to/s@uebelhacker.de.pem"
08      user_key  = "/path/to/s@uebelhacker.de.pem"
09      user_key_pass = "Usercert-Passwort"
10      root_cert = "/path/to/ca.pem"
11      chunk_size = 1398
12      random_file = /dev/urandom
13   }
14 }

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schutz in der Tiefe

    Das Radius-Protokoll dient meist dazu, Benutzer an Dial-in-Systemen zu authentifizieren. In Kombination mit 802.1X schützt Radius aber auch lokale Netze: Anwender und deren Rechner müssen sich erst in tiefen Protokollschichten authentifizieren, bevor der Switch ihren Port freigibt.

  • In eigener Sache: Artikel-Bundle "Netzwerk total" für echte Profis

    Effiziente Netzwerke betreiben ist die Domäne von Linux schlechthin - da macht ihm kein anderes System etwas vor. Offen und pragmatisch, effizient und anpassbar sind seine Tools und Protokolle. Dieser Schwerpunkt widmet sich dem Klassiker und nimmt Neues und Nützliches unter die Lupe.

  • Schutzwall

    Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

  • In eigener Sache: Großes Security-Bundle bietet 12 Mal Sicherheit

    Das große Security-Bundle mit 52 Seiten enthält die 12 interessantesten, nützlichsten und unterhaltsamsten Artikel über Open-Source-Security aus 14 Monaten Linux-Magazin.

  • Kostenloses Lesefutter aus dem Linux-Magazin 09/2009 "Netzwerk Total"

    Mit Erscheinen von Linux-Magazin 08/2010 sind die Artikel der Linux-Magazin-Ausgabe 09/2009 "Netzwerk total: Neue Sicherheits-, Performance- und HA-Tools für den Admin" in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.