ldap-client.key<\/code>.<\/p>\n\n\n\n4. Verifica connessione LDAP Google<\/h3>\n\n\n\n
Verifichiamo da terminale se il nostro server riesce a parlare con LDAP di Google con questa riga di comando (da copiare e inserire tutta):<\/p>\n\n\n\n
LDAPTLS_CERT=\/etc\/freeradius\/3.0\/certs\/ldap-client.crt LDAPTLS_KEY=\/etc\/freeradius\/3.0\/certs\/ldap-client.key ldapsearch -H ldaps:\/\/ldap.google.com:636 -b \"dc=vostrodominio,dc=tn,dc=it\" \"(mail=utenteesistente@vostrodominio.tn.it)\"\n<\/code><\/pre>\n\n\n\nSe il sistema ci risponde con informazioni tipo queste:<\/p>\n\n\n\n
# search result\nsearch: 3\nresult: 0 Success\n# numResponses: 1\n<\/code><\/pre>\n\n\n\nla comunicazione con Google \u00e8 OK e possiamo proseguire. Se invece ci dice che non riesce a contattare il server LDAP controlliamo il firewall (aprire in uscita la porta 636) e i certificati.<\/p>\n\n\n\n
5. Configurazione<\/h3>\n\n\n\n
Modifichiamo il file \/etc\/freeradius\/3.0\/clients.conf<\/code> aprendolo direttamente con WinSCP, o se preferite da terminale con:<\/p>\n\n\n\nnano \/etc\/freeradius\/3.0\/clients.conf\n<\/code><\/pre>\n\n\n\nAlla fine del file inserire:<\/p>\n\n\n\n
client unifi {\n ipaddr = vostro ip\/subnet (es. 192.168.15.0\/24)\n secret = vostrasecretimpostta\n}\n<\/code><\/pre>\n\n\n\nOra modifichiamo questi due file:<\/p>\n\n\n\n
\n\/etc\/freeradius\/3.0\/sites-enabled\/default<\/code><\/li>\n\n\n\n\/etc\/freeradius\/3.0\/sites-enabled\/inner-tunnel<\/code><\/li>\n<\/ul>\n\n\n\nDirettamente con WinSCP o da terminale con:<\/p>\n\n\n\n
nano \/etc\/freeradius\/3.0\/sites-enabled\/default\nnano \/etc\/freeradius\/3.0\/sites-enabled\/inner-tunnel\n<\/code><\/pre>\n\n\n\nNella sezione authorize<\/code> di ogni file, dopo pap<\/code>, aggiungere:<\/p>\n\n\n\nif (User-Password) {\n update control {\n Auth-Type := ldap\n }\n}\n<\/code><\/pre>\n\n\n\nNella sezione authenticate<\/code> correggere cos\u00ec:<\/p>\n\n\n\nauthenticate {\n Auth-Type PAP {\n ldap\n }\n}\n<\/code><\/pre>\n\n\n\nTogliere commento a ldap:<\/p>\n\n\n\n
# Auth-Type LDAP {\n ldap\n# }\n<\/code><\/pre>\n\n\n\nRicordarsi di farlo su entrambi i file!<\/p>\n\n\n\n
Modifichiamo questo file \/etc\/freeradius\/3.0\/mods-enabled\/ldap<\/code> aprendolo con WinSCP, o da sterminale con:<\/p>\n\n\n\nnano \/etc\/freeradius\/3.0\/mods-enabled\/ldap\n<\/code><\/pre>\n\n\n\nNel file cerchiamo queste righe, le scommentiamo se serve e aggiorniamo le informazioni:<\/p>\n\n\n\n
server = 'ldap:\/\/ldap.google.com'\nport = 636\nidentity = 'utente_copiato'\npassword = 'key_copiata'\nbase_dn = 'dc=vostrodominio, dc=tn, dc=it'\n\n# nella sezione TLS:\nstart_tls = no\ncertificate_file = \/etc\/freeradius\/3.0\/certs\/ldap-client.crt\nprivate_key_file = \/etc\/freeradius\/3.0\/certs\/ldap-client.key\nrequire_cert = 'allow'\n<\/code><\/pre>\n\n\n\nModifichiamo \/etc\/freeradius\/3.0\/mods-enabled\/eap<\/code><\/p>\n\n\n\nNella sezione eap<\/code>:<\/p>\n\n\n\ndefault_eap_type = ttls\n<\/code><\/pre>\n\n\n\nNella sezione ttls<\/code>:<\/p>\n\n\n\ndefault_eap_type = gtc\n<\/code><\/pre>\n\n\n\nInfine modifichiamo \/etc\/freeradius\/3.0\/proxy.conf<\/code><\/p>\n\n\n\nmax_connections = 0\n<\/code><\/pre>\n\n\n\nAlla fine del file aggiungere:<\/p>\n\n\n\n
realm vostrodominio {\n}\n<\/code><\/pre>\n\n\n\nOra riavviamo e vediamo se riparte:<\/p>\n\n\n\n
sudo systemctl restart freeradius.service\n<\/code><\/pre>\n\n\n\nPer controllare eventuali errori:<\/p>\n\n\n\n
journalctl -xe\n<\/code><\/pre>\n\n\n\nControlliamo se il nostro radius funziona:<\/p>\n\n\n\n
radtest utente@vostrodominio fakepwd [ip_server_radius] 1645 vostraPassword\n<\/code><\/pre>\n\n\n\nSe risponde qualcosa tipo Expected Access-Accept got Access-Reject<\/em> vuol dire che sta funzionando, il rifiuto deriva dal fatto che la password fakepwd<\/code> \u00e8 volutamente sbagliata e comunque non crittografata.<\/p>\n\n\n\n6. Certificati<\/h3>\n\n\n\n
Modifichiamo il file \/etc\/freeradius\/3.0\/certs\/ca.cnf<\/code><\/p>\n\n\n\nNella sezione CA_default<\/code> incrementare il numero di giorni prima della scadenza, es 10 anni:<\/p>\n\n\n\ndefault_days = 3650\n<\/code><\/pre>\n\n\n\nNella sezione req<\/code> cambiare input_password<\/code> e output_password<\/code> con una password interna:<\/p>\n\n\n\ninput_password = vostraPassword\noutput_password = vostraPassword\n<\/code><\/pre>\n\n\n\nNella sezione certificate_authority<\/code> mettere le info della scuola:<\/p>\n\n\n\n[certificate_authority]\ncountryName = IT\nstateOrProvinceName = Provincia\nlocalityName = Localt\u00e0\norganizationName = Nome Orgaizzazione\nemailAddress = unamaildiassistenza\ncommonName = \"Nome che si vuole fa apparire\"\n<\/code><\/pre>\n\n\n\nOra modifichiamo anche il file server con la stessa procedura: \/etc\/freeradius\/3.0\/certs\/server.cnf<\/code><\/p>\n\n\n\ninput_password = vostraPassword\noutput_password = vostraPassword<\/code><\/pre>\n\n\n[server]<\/p>\n\n\n\n
countryName = IT stateOrProvinceName = tuaProvincia localityName = TuaCitt\u00e0 organizationName =NomeScuola emailAddress = tecnici@rosabianca.tn.it commonName = “Certificato Wifi RosaBianca”<\/p>\n\n\n\n
Generiamo i certificati:<\/p>\n\n\n\n
sudo -s\ncd \/etc\/freeradius\/3.0\/certs\/\nmake ca.pem\nmake ca.der\nmake server.pem\nchown freerad:freerad \/etc\/freeradius\/3.0\/certs\/*\n<\/code><\/pre>\n\n\n\nAggiungiamo i certificati nel file di configurazione: \/etc\/freeradius\/3.0\/mods-enabled\/eap<\/code><\/p>\n\n\n\nprivate_key_password = whateverwifi\nprivate_key_file = \/etc\/freeradius\/3.0\/certs\/server.pem\ncertificate_file = \/etc\/freeradius\/3.0\/certs\/server.pem\nca_file = \/etc\/freeradius\/3.0\/certs\/ca.pem\n<\/code><\/pre>\n\n\n\nRiavviamo il server radius:<\/p>\n\n\n\n
systemctl restart freeradius\n<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"In questo articolo descrivo come ho configurato un server FreeRADIUS per l\u2019autenticazione Wi-Fi tramite LDAP di Google Workspace nella mia scuola. La soluzione supporta access point Ruckus e UniFi in due sedi collegate via VPN, garantendo un accesso centralizzato e sicuro alla rete wireless.<\/p>\n","protected":false},"author":1,"featured_media":106,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[13,17,16,12],"class_list":["post-107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-google-ldap","tag-google","tag-ldap","tag-linux","tag-wifi"],"_links":{"self":[{"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/posts\/107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/comments?post=107"}],"version-history":[{"count":6,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/posts\/107\/revisions"}],"predecessor-version":[{"id":500,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/posts\/107\/revisions\/500"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/media\/106"}],"wp:attachment":[{"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/media?parent=107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/categories?post=107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lorzeni.site\/index.php\/wp-json\/wp\/v2\/tags?post=107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}