運用 Raspberry Pi 架設 FreeRADIUS + DaloRADIUS,結合 Unifi AP 進行認證連線

Posted on Posted in 網路工程

雖然新的Unifi Cloud key  Beta 版本內部已經內建FreeRadius Server.
但是穩定性不佳 因此本案例是使用Raspberry Pi來做FreeRasius Server+ DaloRadius的GUI.
同樣可以架設Unifi 與其他Radis Server驗證.

首先下載 RASPBIAN JESSIE 安裝作業系統,安裝完畢之後先接上螢幕跟鍵盤滑鼠來操作,因為還沒開啟SSH,無法遠端登入。

 

再來使用 sudo rasps-config,選第五項

 

再選SSH去啟動

 

離開之後再使用以下指令更新:

然後再重開機。

 

完成之後就開始使用遠端登入 Raspberry Pi 做操作,這次實驗的結構圖如下

 

然後就要安裝 Apache、MySQL、PHP

 

安裝完畢之後下載 DaloRADIUS 安裝檔,在 RASPBIAN JESSIE 裡,apache 的預設路徑是在 /var/www/html,前面的版本是在 /var/www/,這個分別要注意一下。

 

然後開始建立 FreeRADIUS/DaloRADIUS 的資料庫,這邊登入MySQL的密碼都是登入作業系統的密碼。

 

然後要設 定DaloRADIUS 與資料庫連結

 
找到相同的段落並把值填進去 

 

FreeRADIUS的使用者名單路徑是在 /etc/freeradius/users,在做資料庫連結前最好先做測試來檢查運作是否正常。 

 

更改下面這兩行 :

變成這樣: 

 
然後停止 freeradius 服務並進入偵錯模式

 

如果全部都執行正確應該會在最後一行看到這樣的資訊:

再按下 ctrl+c 結束連線。

重新啟動 freeradius 服務

使用 radtest 來確定可以通過認證 

 

成功會看到下面的訊息:

 

這些都通過就可以切換到MySQL認證的部份

 

對下面這兩行的內容刪除掉註解符號: 

 

改成: 

 

再把 /etc/freeradius/sql.conf 內的資訊修改成前面更改過的帳號密碼:


 

編輯 /etc/freeradius/sites-enabled/default 並把所有 sql 前的註解都拿掉 

 

把 authorize{} 中 sql 前的註解符號刪掉

 

把 accounting{} 中 sql 前的註解符號刪掉

 

把 session{} 中 sql 前的註解符號刪掉

 

把 post-auth{} 中 sql 前的註解符號刪掉

 

測試設定的結果,先停止 freeradius 服務

 

再啟用 freeradius 偵錯模式

 

沒有顯示任何錯誤就可以繼續進行下去。

然後要將無線基地台設定為 client 才能讓其他裝置透過 client 與 FreeRADIUS 主機連線。

 

最下面新增 AP 的資訊

 

重新啟動 FreeRADIUS 服務

 

都設定正確的話就能夠使用web介面登入DaloRADIUS來設定FreeRADIUS,在我們的例子中就是
http://192.168.1.110/daloradius
 
會看到這樣的畫面
 
預設帳號:administrator
預設密碼:radius
 
登入後
 
主畫面下選擇 Management點左邊的New User
 
在User輸入要新增的帳號及密碼,密碼模式選擇 Cleartext 作為連線測試並按下 apply 新增
 
新增的使用者可以使用List User 檢查
 
然後點選 Config 的 Maintenance,點左邊的 Test User Connectivity
 
輸入帳號跟密碼點下 Perform Test
 
 
都有運作的話應該會有像下面的畫面及最後一行的訊息:Access Accept
 
目前為止可以判定 daloRADIUS 是可以運作的
 
監控使用者的流量使在 Accounting 的 User Accounting及Date Accounting
 
 
接下來是與 Unifi 操作系統整合,
 
進入Unifi 管理介面的設定選擇 Wireless Network,並選擇 CREATE NEW WIRELESS NETWORK
 
 
在 Security 選擇 WPA Enterprise
 
 
IP輸入RADIUS server 的 IP:192.168.1.110,password 輸入 testing123,按下Save就完成該設定的部份
 
 
 
 
 
這時候如果使用筆電或手機等裝置做網路連線卻連不上,有兩個地方要注意:
1. 修改  /etc/freeradius/sites-enabled/inner-tunnel,將 sql 的項目的註解符號都移除然後存檔並重新啟動 freeradius 服務。
2. 使用 DaloRADIUS 介面新增使用者的時候,password type 請使用 cleartext-password,不然也會無法驗證密碼。 

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *