rooINSTALACIN SERVIDOR FREERADIUS CON GESTIN

WEB PASO A PASO

vamos a mostrar paso a paso la instalacin de un servidor

FreeRADIUS bsico y sencillo de gestionar, que ser el
encargado de gestionar el acceso a nuestra red que va a
funcionar sobre UBUNTU.

El nombre de RADIUS es el acrnimo de Remote

Authentication Dial In User Sevice, y ste protocolo no slo
logra el acceso a la red, sino que tambin gestiona cuentas de
usuario.

A continuacin voy a mostrar los pasos a seguir para instalar

nuestro servidor FreeRADIUS con gestin web de forma muy
esquematizada y sencilla paso a paso:

1. Instalar FreeRADIUS.
2. Preparar base de datos e insertarla.
3. Configurar FreeRADIUS.
4. Reiniciar sistema y testeo de FreeRadius
5. Descargar daloRADIUS.
6. Instalar dependencias daloRADIUS.
7. Instalar y configurar daloRADIUS.
8. Test de funcionamiento.
9. Solucin problema importar usuarios DaloRADIUS
10. Dar de alta puntos de acceso
11. Solucin de problema autenticacin de usuarios
1. Instalar FreeRADIUS

El primer paso que deberemos realizar es instalar FreeRADIUS

desde paquetes.

Para realizar esta tarea necesitamos acceder en modo root y

actualizaremos el sistema para que las descargas e
instalaciones sean ms rpidas y sencillas. Para ello
ejecutaremos el apt-get update y apt-get upgrade:

o sudo-i
o sudo apt-get update
o sudo apt-get upgrade

Ahora lanzamos el siguiente comando desde una terminal y

confirmamos la instalacin:

o apt-get install mysql-server

o apt-get install freeradius freeradius-mysql freeradius-
utils

2. Preparar Base de datos e insertarla

Una vez instalado el servidor freeRADIUS, lo que haremos ser

preparar la base de datos que vayamos a utilizar en el servidor.
Para realizar esta tarea, crearemos dicha base de datos que
llamaremos radius y le asignaremos un nuevo usuario y
password para acceder a ella:

o # mysql u root p
o mysql> create database radius;
o mysql> grant all on radius.* to radius@localhost
identified by 123456.

Si nos da problemas deberemos de eliminar y crear el user

radius
DROP USER radius @localhost;
CREATE USER 'radius'@'localhost' IDENTIFIED BY 'tu_contrasena';
grant all on radius.* to radius@localhost identified by
 123456.

Ahora vamos a instalar FreeRADIUS para que conecte

posteriormente:

o # mysql u root p <

/etc/freeradius/sql/mysql/schema.sql
o # mysql u root p < /etc/freeradius/sql/mysql/nas.sql

Insertaremos un usuario en la base de datos de forma manual:

o # mysql u root p
o mysql> use radius;
o mysql> INSERT INTO radcheck (UserName,
Attribute, Value) VALUES (sqltest, Password,
testpwd);
o mysql> exit;

3. Configurar FreeRADIUS

Tenemos que dejar preparado nuestro FreeRADIUS para que

conecte posteriormente con la base de datos MySQL.

Para realizar esta tarea vamos a modificar varios archivos:

Los datos de conexin a la base de datos dejaremos los

predeterminados que aparecen en /etc/freeradius/sql.conf y
activaremos el soporte sql para autenticacin y cuentas.
Ejecutamos los siguientes comandos como root:

o sudo nano /etc/freeradius/sql.conf

Cambiamos el usuario y contrasea

a: login=radius password=123456
Y descomentamos la lnea readclients=yes (se quita el $ de
principio de lnea)

Procedemos a configurar /etc/freeradius/sites-enabled/default

o sudo nano /etc/freeradius/sites-enabled/default

En los apartados authorize, accounting , sesin y post-

authdescomentamos las lneas sql.

Para activar el soporte SQL editaremos el

fichero radiusd.conf y descomentaremos la lnea $INCLUDE
sql.conf. Para ello como root ejecutamos el siguiente
comando:

o sudo nano /etc/freeradius/radiusd.conf

Descomentamos la lnea

$INCLUDE sql.conf

Abrimos el inner-tunnel para que funcione correctamente la

conexin con los puntos de acceso

o sudo nano /etc/freeradius/sites-available/inner-tunnel

En la seccin authorize section descomentamos sql

Aadimos los puntos de acceso que vayamos a conectar en

nuestra instalacin:

Para ello editaremos el clients.conf:

o sudo nano /etc/freeradius/clients.conf

Aadiremos los clientes, es decir, aadiremos todos los puntos

de acceso que forman nuestra red:
client 155.0.0.60 {

secret = 123456

shortname = alu

client 155.0.0.61 {

secret = 123456

shortname =alu

client 155.0.0.62 {

secret = 123456

shortname =alu

4. Reiniciar el sistema en modo depuracin y testeo de

conexin

Paramos el freeradius

o # /etc/init.d/freeradius stop

Reiniciamos en modo depuracin

o # freeradius X

Para posteriores reinicios insertaremos el siguiente comando

o # sudo service freeradius restart

 Para realizar el testeo realizamos lo siguiente en una ventana
nueva o con otro usuario:

o $ /etc/init.d/freeradius
o $ radtest sqltest testpwd localhost 1812 testing123

5. Descargar daloRADIUS

Ejecutamos los siguientes comandos como root:

o cd /usr/local/src
o wget URL de daloradius Depende de la versin en cada
momento

wget
http://sourceforge.net/projects/daloradius/files/daloradius/dalora
dius0.9-9/daloradius-0.9-9.tar.gz

https://github.com/lirantal/daloradius.git

6. Instalar dependencias daloRADIUS

Vamos a instalar el servicio Web, el de base de datos y un

paquete para gestin de imgenes. Como root ejecutamos el
siguiente comando:

o apt-get install apache2 php5 php5-gd php-pear php-db

libapache2-mod-php5 php-mail php5-mysql mysql-
server
o apt
o sudo add-apt-repository ppa:ondrej/php
o sudo apt-get update
o sudo apt-get install php5.6
7. Instalar y configurar daloRADIUS

Una vez instaladas las dependencias vamos a descomprimir la

aplicacin en el directorio de nuestro servicio Web y crearemos
la base de datos con las tablas pertinentes. Como root
ejecutamos los siguientes comandos:

o cd /var/www

Descargamos daloradius de la web y movemos el archivo

descargado al directorio daloradius:

o tar xzf /usr/local/src/<nombre archivo daloRADIUS.tar.gz>

o mv -f <DIRECTORIO_daloRADIUS> daloradius/

Ahora necesitamos establecer la base de datos. No

necesitamos una nueva base de datos, lo que tenemos que
hacer es dar acceso a nuestra base de datos al daloradius:

o cd /var/www/daloradius/contrib/db
o mysql -u root -p radius < mysql-daloradius.sql

Una vez que la base de datos est correctamente cambiada,

necesitamos cambiar la password:

o sudo nano daloradius/library/daloradius.conf.php

o $configValues[CONFIG_DB_PASS] = 123456;

8. Test de funcionamiento
9. http://yonedev.com/snippet/ubuntu-16-04-instalar-php-5-6-
php-7-0/

instalar php5.6

Ahora vamos a probar la instalacin que hemos realizado, pero

antes de nada vamos a reiniciar los servicios Web y
FreeRADIUS para que se apliquen todos los cambios hechos
anteriormente.

Para ello ejecutamos los siguientes comandos como root:

o /etc/init.d/freeradius restart

A travs de un explorador Web vamos a acceder a la gestin

de nuestro daloRADIUS para crear un usuario y realizar una
prueba desde consola.

Para ello ingresamos en la

direccin http://<SERVIDOR>/daloradius.

Las credenciales son administrator/radius.

p.e. http://ip_de_la_maquina_virtual/daloradius

us administrador

pass:radius

Ahora que tenemos el usuario vamos a realizar un test de

conexin desde la consola.

Para ello ejecutamos el siguiente comando como root y si nos

devuelve Access-Accept es que todo ha ido bien:

o radtest sqltest testpwd0.0.1 1812 testing123

 El parmetro testing123 es una contrasea que se usa para
conectar al servidor RADIUS como cliente.

9. Solucin problemas importar usuarios en DaloRADIUS

A la hora de importar usuarios para agilizar la gestin WEB de

nuestro servidor Radius, puede que nos encontremos con el
problema de no poder realizar dicha importacin de forma
automtica, y que los usuarios no se puedan importar.

Para solucionar ste problema deberemos modificar el archivo

mng-import-users.php y dejarlo tal como aparece en la
siguiente imagen:

o sudo nano /var/www/daloradius/mng-import-users.php

10. Dar de alta los PUNTOS DE ACCESO (AP)

Vamos a dar de alta nuestro servidor en los puntos de acceso

que tengamos instalados para que funcione la autenticacin
correctamente.
Para ello, lo que deberemos realizar es entrar en la
configuracin del punto de acceso, en el apartado WIRELESS
SECURITY, y decirle que queremos seguridad WPA/WPA2
Enterprise, y le damos la direccin de nuestro servidor
RADIUS, y la Password que le hemos asignado anteriormente
al usuario. En nuestro caso la IP del servidor es la
155.0.20.100, y la Password que le hemos asignado era
123456.

11. Solucin de problemas autenticacin usuarios

A la hora de autenticarnos en la red, podemos tener problemas

en algunas versiones de Windows anteriores a Windows 10.

A continuacin pongo un pequeo manual de cmo solucionar

estos problemas:

1. Entramos en panel de control, centro de redes y recursos

compartidos.
2. Administrar redes inalmbricas Agregar.
3. Crear perfil de red manualmente
4. Escribimos -> Nombre de la red: alu / Tipo de
seguridad: WPA-Enterprise / Tipo de cifrado: AES /
Marcamos la opcin: Iniciar conexin automticamente. Y
pulsamos siguiente
5. Aparece aluse agreg correctamente. Pulsamos
sobre Cambiar la configuracin manualmente
6. En la pestaa Conexin, dejamos la configuracin por
defecto.
7. Sobre la pestaa Seguridad Tipo de conexin: WPA-
Enterprise / Tipo de cifrado: AES / Elija un mtodo de
autenticacin de red: Microsoft EAP protegido (PEAP) /
Marcamos la opcin: Recordar mis credenciales para esta
conexin cada vez que se inicie sesin.
8. Pulsamos sobre el botn configurar y aparece una ventana
llamada Propiedades de EAP protegido.
Aqu desmarcamos la opcin: Validar un certificado de
servidor.

En seleccione el mtodo de autenticacin

elegimos: Contrasea segura (EAP-MSCHAP v2).

Marcamos la opcin: Habilitar reconexin rpida / Marcamos

la opcin: Aplicar Proteccin de acceso a redes.

9. Pulsamos sobre el botn configurar y desmarcamos la

opcin: Usar automticamente el nombre de inicio de sesin
y la contrasea de Windows (y dominio, si existe alguno) y
pulsamos aceptar.

Regresamos a la anterior pantalla y pulsamos aceptar.

10. Regresamos a la pantalla propiedades de la red

inalmbrica local y pulsamos sobre el botn Configuracin
avanzada.
11. Aparece la pantalla Configuracin avanzada. Marcamos
la opcin: Habilitar inicio de sesin nico en esta red, y
dentro de este apartado

Tambin activamos la opcin: Realizar inmediatamente

despus de que el usuario inicie sesin.

Dentro de esta pantalla activamos tambin la opcin: Permitir

cuadros de dilogo adicionales durante el inicio de sesin
nico.

El resto de las opciones las dejamos sin activar. Pulsamos

aceptar, y de nuevo aceptar y queda nuestro acceso
inalmbrico alu configurada con respecto a nuestro servidor
de autenticacin RADIUS.