การใช้งาน radius server บน PSU-12

จาก Wiki Opensource

ยกเลิกการใช้งานแล้ว เนื่องจากล้าสมัย ให้ใช้ psu12-sritrang แทน ที่นี่ http://opensource.cc.psu.ac.th/PSU-Open-server

บันทึกนี้ ปรับปรุงล่าสุดเมื่อวันที่ 08-03-2555

ดูแลโดย WIPAT


  • ใช้กับ PSU-12 เท่านั้น


  1. ระบบ radius server นี้ได้ถูกปิดไว้ ต้องสั่งเปิด radius server นี้ก่อนด้วยคำสั่ง
    sudo update-rc.d freeradius defaults

    เสร็จแล้วสั่งให้ radius server ทำงานใหม่ด้วยคำสั่ง
    sudo /etc/init.d/freeradius start
  2. ทดสอบ user ใน server แบบ localhost โดยตรง ใช้คำสั่งว่า
    sudo radtest mama 123456 127.0.0.1 0 testing123

    ทดสอบ user ใน server ผ่าน network ใช้คำสั่งประมาณว่า
    sudo radtest mama 123456 server_ip 0 mytestkey

    ทดสอบ user@gmail.com ใช้คำสั่งประมาณว่า
    sudo radtest user@gmail.com yourpassword 127.0.0.1 0 testing123
  3. การยืนยันตัวตนใช้ username / password ตั้งให้ authen กับ server ต่างๆได้ที่แฟ้ม /etc/freeradius/imap-authen.sh เลือกตั้งค่าดังนี้

    AUTHEN_SHADOW="YES" หมายถึงให้ authen กับแฟ้ม /etc/passwd ด้วย

    AUTHEN_MAIL="YES" หมายถึงให้ authen กับ mail server ด้วย
    ให้ปรับค่า DEFAULT_MAIL_SERVER="your.domain" ให้เป็น mail server ที่ต้องการ

    AUTHEN_LDAP="NO" หมายถึงไม่ต้อง authen กับ ldap server
    ถ้าต้องการให้ authen กับ ldap server ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_LDAP="YES"
    แล้วแก้ไขแฟ้ม /etc/freeradius/check-ldap.sh ตั้งค่า LDAP SEVER ให้ถูกต้องเช่น
    LDAP_HOST="ldap://your.domain"
    LDAP_BASE="dc=aa,dc=bb"

    AUTHEN_SSH="NO" หมายถึงไม่ต้อง authen กับ ssh server
    ถ้าต้องการให้ authen กับ ssh server ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_SSH="YES"
    และปรับค่า SSH_SERVER="server.domain" ให้เป็น ssh server ที่ต้องการ

    AUTHEN_PSU_PASSPORT="NO" หมายถึงไม่ต้อง authen กับระบบ PSU passport
    ถ้าต้องการให้ authen กับระบบ PSU passport ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_PSU_PASSPORT="YES"

    CHECK_PREBLACKLIST="YES" หมายถึงตรวจสอบระบบ blacklist ด้วย
    รายชื่อ blacklist อยู่ในแฟ้ม /etc/freeradius/preblacklist.txt
    ถ้ามีชื่อปรากฏในแฟ้ม /etc/freeradius/preblacklist.txt ระบบจะไม่ไป authen เพื่อลดการโดน spam ถล่ม
  4. เมื่อ authen ด้วย username / password ถูกต้องผ่านมาได้แล้ว ต่อไปก็เป็นการตรวจสอบรายชือผู้มีสิทธิ์ใช้บริการ
    แก้ไขระบบตรวจสอบสิทธิ์ที่แฟ้ม /etc/freeradius/my-authen.sh ตั้งค่าดังนี้

    CHECK_BLACKLIST="YES" หมายถึงตรวจสอบระบบ blacklist ด้วย
    รายชื่อ blacklist อยู่ในแฟ้ม /etc/freeradius/blacklist.txt
    ถ้ามีชื่อปรากฏในแฟ้ม /etc/freeradius/blacklist.txt จะถูกตัดสิทธ์ใช้งาน

    ALL_PASS="YES" หมายถึงไม่ต้องตรวจสอบ ให้ผ่านได้ทุกคน
    หากเปลี่ยนป็น ALL_PASS="NO" หมายถึงว่าต้องตรวจสอบขั้นตอนอื่นตามลำดับถัดไป

    CHECK_VIPLIST="YES" หมายถึงตรวจสอบระบบแฟ้ม vip ด้วย
    หากมีรายชื่อปรากฏในแฟ้ม /etc/freeradius/viplist.txt ก็จะสามารถผ่านได้เลย

    CHECK_PSU_STAFF="YES" หมายถึงตรวจสอบว่าเป็น staff ของ PSU หรือไม่

    CHECK_PSU_STUDENT="YES" หมายถึงตรวจสอบว่าเป็น student ของ PSU หรือไม่
  5. หากต้องการปรับตั้งค่าให้ radius server นี้บริการผ่าน network และปรับตั้ง key
    ให้แก้ไขรายการ client ผ่าน network ที่แฟ้ม /etc/freeradius/clients.conf
    ตัวอย่างประมาณว่า
    client 10.0.5.0/24 {
    secret = mytestkey
    shortname = private-network
    }