FreeRADIUSは本来、ユーザアカウントなどをテキストファイルで管理するのですが、viなどでそれらを編集するのは利便性にかけるので、誰でも簡単に一括登録もできる管理ツールはないか探してみたところ、daloRADIUSというソフトがありました。
これはMySQLを使ってユーザ管理を行い、Web管理画面から操作を行うことのできるツールです。日本語には未対応ですが直感的でわかりやすく、ユーザの一括登録や削除などを行いたい場合はそれなりに使えるツールだと思われます。
Webから管理を行うのでApacheがインストールされているという前提です。まず、ベースとなるfreeradiusとMariaDBをインストールします。下記は2回にわけてインストールしていますが、一度に行っても問題ありません。
# yum install freeradius freeradius-utils freeradius-mysql # rpm -qa | grep freeradius freeradius-mysql-3.0.13-9.el7_5.x86_64 freeradius-utils-3.0.13-9.el7_5.x86_64 freeradius-3.0.13-9.el7_5.x86_64 # yum install mariadb-server # rpm -qa | grep mariadb mariadb-5.5.56-2.el7.x86_64 mariadb-libs-5.5.56-2.el7.x86_64 mariadb-devel-5.5.56-2.el7.x86_64 mariadb-server-5.5.56-2.el7.x86_64 |
MariaDBの初期設定を行います。設定ファイルは/etc/my.cnfになり、/etc/my.cnf.d以下の設定ファイルがインクルードされる形となっています。この中で/etc/my.cnfを編集し文字コードを設定しておきます。
# vi /etc/my.cnf [mysqld] datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock # Disabling symbolic-links is recommended to prevent assorted security risks symbolic-links=0 # Settings user and group are ignored when systemd is used. # If you need to run mysqld under a different user or group, # customize your systemd unit file for mariadb according to the # instructions in http://fedoraproject.org/wiki/Systemd character-set-server=utf8 |
systemctlコマンドでmariadbを有効にしてから起動します。 ( 有効にしてからでないと起動しませんでした )
# systemctl enable mariadb.service # systemctl start mariadb.service |
続いてMariaDBの初期設定を行います。初期セットアップコマンドがあり対話形式に進めていきますので、それを実行します。rootパスワードを設定するところのみ入力する必要がありますが、その他についてはそのままEnterで大丈夫です。
# mysql_secure_installation /usr/bin/mysql_secure_installation: 行 379: find_mysql_client: コマンドが見つかりません NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! In order to log into MariaDB to secure it, we'll need the current password for the root user. If you've just installed MariaDB, and you haven't set the root password yet, the password will be blank, so you should just press enter here. Enter current password for root (enter for none):[enter] OK, successfully used password, moving on... Setting the root password ensures that nobody can log into the MariaDB root user without the proper authorisation. Set root password? [Y/n][enter] New password:[パスワード入力] Re-enter new password:[パスワード入力] Password updated successfully! Reloading privilege tables.. ... Success! By default, a MariaDB installation has an anonymous user, allowing anyone to log into MariaDB without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n][enter] ... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n][enter] ... Success! By default, MariaDB comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n][enter] - Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n][enter] ... Success! Cleaning up... All done! If you've completed all of the above steps, your MariaDB installation should now be secure. Thanks for using MariaDB! |
続いてdaloRADIUS用のデータベースを作成します。
# mysql -u root -p Enter password:[rootパスワード入力] Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 10 Server version: 5.5.37-MariaDB MariaDB Server Copyright (c) 2000, 2014, Oracle, Monty Program Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> create database radius; Query OK, 1 row affected (0.00 sec) MariaDB [(none)]> grant all privileges on radius.* to radius@localhost identified by 'radius@123'; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> flush privileges; Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> exit Bye |
つづけてRADIUSデータベースにSQL文の流しこみを行います。以下のコマンドでユーザradiusでデータベースradiusに接続してschema.sqlを流し込みます。
# mysql -u root -p radius < /etc/raddb/mods-config/sql/main/mysql/schema.sql Enter password:[radiusのパスワードを入力] |
次に以下のようにシンボリックリンクをはっておきます。
# ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/ |
次に接続するMySQLサーバに関する設定を行います。/etc/raddb/mods-available/sqlを以下のように編集します。
# vi /etc/raddb/mods-available/sql <省略> sql { # The sub-module to use to execute queries. This should match # the database you're attempting to connect to. # # * rlm_sql_mysql # * rlm_sql_mssql # * rlm_sql_oracle # * rlm_sql_postgresql # * rlm_sql_sqlite # * rlm_sql_null (log queries to disk) # driver = "rlm_sql_mysql" <省略> # The dialect of SQL you want to use, this should usually match # the driver you selected above. # # If you're using rlm_sql_null, then it should be the type of # database the logged queries are going to be executed against. dialect = "mysql" # Connection info: # server = "localhost" port = 3306 login = "radius" password = "radius@123" # Database table configuration for everything except Oracle radius_db = "radius" <省略> # Set to 'yes' to read radius clients from the database ('nas' table) # Clients will ONLY be read on server startup. read_clients = yes |
あとはこのファイルの権限を変更しておきます。
# chgrp -h radiusd /etc/raddb/mods-enabled/sql |
あと、今後の運用のために認証ログが出力されるよう変更しておきます。下記は該当箇所の抜粋箇所です。
# vi /etc/raddb/radiusd.conf auth = yes auth_badpass = yes auth_goodpass = yes |
FreeRADIUS側の設定は以上となります。
daloRADIUSをインストールします。まずソフト本体をwgetでダウンロードし展開します。
# cd /tmp # wget https://github.com/lirantal/daloradius/archive/master.zip # unzip master.zip # mv daloradius-master/ daloradius # cd daloradius |
このあとSQL文を流し込みます。
# mysql -u root -p radius < contrib/db/fr2-mysql-daloradius-and-freeradius.sql Enter password:[パスワード入力] # mysql -u root -p radius < contrib/db/mysql-daloradius.sql Enter password:[パスワード入力] |
後はこのdaloRADIUS本体をApacheのドキュメントルートに配置します。
# cd .. # mv daloradius/ /var/www/html/ # chown -R apache.apache /var/www/html/daloradius/ # chmod 664 /var/www/html/daloradius/library/daloradius.conf.php |
続けてdaloRADIUS用のSQLの設定を行います。以下の3行を必要に応じて編集します。
# vi /var/www/html/daloradius/library/daloradius.conf.php <省略> $configValues['CONFIG_DB_USER'] = 'radius'; $configValues['CONFIG_DB_PASS'] = 'radius@123'; $configValues['CONFIG_DB_NAME'] = 'radius'; <省略> |
PHPも必要なパッケージがあったりするので以下でまとめて入れておきます。
# yum -y install php mod_php php-cli php-mysqlnd php-devel php-gd php-mcrypt php-pear php-pear-DB php-mbstring php-xml php-pear # systemctl restart httpd |
後はWebから画面が見えるか試してみます。アクセス先はhttp://[ip-address]/daloradius/login.phpとなります。以下の画面が見えたらOKです。
デフォルトのログインID/PASSはadministrator / radiusとなります。ログインできるか試して見てください。ログイン直後は以下のような画面となります。
WebUIのManagement – New Userから認証ユーザを追加することができます。テスト的にtestuser / testpasswordで作成し、認証に成功するかどうか試してみます。ユーザを作成した後に以下のコマンドでテストしてみてください。
# radtest testuser testpassword localhost 0 testing123 Sent Access-Request Id 250 from 0.0.0.0:45131 to 127.0.0.1:1812 length 78 User-Name = "testuser" User-Password = "testpassword" NAS-IP-Address = 127.0.0.1 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "testpassword" Received Access-Accept Id 250 from 127.0.0.1:1812 to 0.0.0.0:0 length 20 |
上記のようになれば成功です。/var/log/radius/radius.logにも以下のような出力が残っているはずです。
Auth: (0) Login OK: [testuser/testpassword] (from client localhost port 0) |