Hướng dẫn sử dụng FreeRADIUS để thẩm định Wi-Fi – Phần 2
Quản trị mạng – Trong phần một của loạt bài này chúng tôi đã giới thiệu cho các
bạn cách cài đặt FreeRADIUS để thực hiện thẩm định 802.1 X/PEAP, với mục
đích để chạy mã hóa WPA hoặc WPA2 Enterprise trên mạng Wi-Fi. Chúng ta đã
load một PC với hệ điều hành CentOS 5.3 và đã cài đặt FreeRADIUS phiên bản
2.1.6. Thêm vào đó chúng ta đã tạo một số tài khoản người dùng và đã nhập vào
một số thông tin chi tiết của AP.
Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn cách mở tường lửa CentOS
và cấu hình các điểm truy cập (AP). Sau đó sẽ là phân phối file CA đến tất cả các
máy tính và cấu hình chúng với các thiết lập thẩm định và mã hóa. Cuối cùng là
thiết lập SQL để bạn có thể lưu trữ các thông tin AP và thông tin người dùng trong
một cơ sở dữ liệu thay vì các file văn bản.
Mở tường lửa
CentOS có tường lửa đính kèm được kích hoạt một cách mặc định. Để lưu lượng
RADIUS đến được FreeRADIUS, bạn phải mở các cổng mà nó sử dụng. Kích
System > Administration > Security Level and Firewall. Sau đó kích mũi tên để
mở rộng phần Other Ports. Thêm các cổng UDP 1812 và 1813 sau đó kích Apply.
Khởi động lại máy chủ để load các thiết lập mới
Nếu bạn thực hiện những thay đổi về cấu hình trong khi FreeRADIUS đang hoạt
động, khi đó bạn phải khởi động lại máy chủ để những thay đổi của bạn có hiệu
lực. Để stop máy chủ, hãy vào cửa sổ terminal và nhấn Ctrl + C. Sau đó đánh
'/usr/sbin/radiusd -X' lần nữa (hoặc nhấn phím mũi tên hướng lên) để bắt đầu quá
trình khởi động lại. Nếu bạn đang mở một cửa sổ terminal mới, bạn phải đánh 'su'
trước để chạy ở chế độ root.
Lúc này máy chủ sẽ chạy và chuẩn bị chấp nhận các yêu cầu thẩm định từ phía
người dùng Wi-Fi.
Khi mạng mã hóa của bạn hoạt động, bạn có thể bỏ qua '–X' để bắt đầu
FreeRADIUS mà không cần việc gỡ rối. Máy chủ sẽ làm việc trong chế độ
background và bạn có thể tham chiếu đến các file bản ghi và việc giải thích dữ liệu.
Cấu hình các AP
Đây cũng là lúc bạn có thể cấu hình các AP. Sau khi thiết lập chúng để sử dụng mã

hóa WPA (TKIP) hay WPA2 (AES) Enterprise, bạn phải nhập vào các thiết lập
RADIUS. Những thiết lập này bao gồm địa chỉ IP của máy FreeRADIUS, cổng
(1812), và những bí mật mà bạn đã định nghĩa cho AP nào đó. Hầu hết các AP đều
hỗ trợ việc giải thích để lưu các thông tin session. Nếu bạn cần giải thích, bạn phải
nhập vào các thông tin chi tiết tương tự của máy chủ với cổng 1813.
Cài đặt file CA trên tất cả các máy tính
Mặc dù giao thức thẩm định PEAP không yêu cầu các chứng chỉ máy khách, tuy
nhiên bạn vẫn phải cài đặt một chứng chỉ cho Certificate Authority (CA) trên mỗi
một máy tính. Điều này là vì chúng ta sẽ sử dụng chứng chỉ tự ký cho máy chủ
thay cho việc mua một chứng chỉ đã ký từ một CA mà Windows có thể nhận diện,
chẳng hạn như VeriSign hoặc GoDaddy.
Bạn cần copy file etc/raddb/certs/ca.dervào tất cả các máy tính. Bạn có thể copy nó
vào ổ USB và thực hiện paste vào mỗi một máy tính. Để copy, bạn hãy mở một
terminal mới và đánh "su" để vào chế độ root, hoặc sử dụng một chế độ đang tồn
tại nào đó, và chạy một lệnh copy, chẳng hạn như "cp /etc/raddb/certs/ca.der
/newlocation/certs".
Mẹo: Để tìm ra đường dẫn đến thiết bị, chẳng hạn như USB, kích Places >
Computer, mở thiết bị và kích chuột phải vào bất cứ file nào trên thiết bị đó, sau đó
chọn Properties và copy lấy giá trị Location.
Lúc này, trên mỗi máy tính Windows, kích chuột phải vào file chứng chỉ và chọn
Install Certificate. Sau đó đặt nó vào kho lưu trữ Trusted Root Certification
Authorities. Trên hộp thoại xác nhận, chọn Yes để cài đặt.

Cấu hình các máy tính với các thiết lập thẩm định và mã hóa
Trên các mạng WEP và WPA/WPA2-personal, bạn chỉ chọn mạng và sẽ được
nhắc nhở về key. Mặc dù việc kết nối đến các mạng mã hóa doanh nghiệp gặp
nhiều phức tạp trong việc cấu hình hơn nhưng khi đã cấu hình, bạn có thể kết nối
một cách đơn giản với mạng bằng cách nhập vào username và password, thậm chí
bạn có thể lưu những thông tin này để không phải nhập nó nhiều lần.
Nếu chưa có một profile nào không tồn tại trong mạng, bạn cần tạo một profile

mới. Sau đó cấu hình các thiết lập. Nhớ rằng, bạn đang sử dụng mã hóa WPA
(TKIP) hoặc WPA2 (AES) Enterprise với thẩm định PEAP. Trong hộp thoại các
thuộc tính của PEAP, bạn cần chọn để hợp lệ hóa chứng chỉ máy chủ và chọn
chứng chỉ mình đã import. Thêm vào đó bạn có thể nhập địa chỉ IP của máy chủ để
sử dụng khi hợp lệ hóa. Sau đó bảo đảm rằng bạn sử dụng phương pháp Password
(EAP-MSCHAP v2). Kích nút Configure để bảo đảm thiết lập (Automatically use
my Windows logon name and password) trên hộp thoại không được kiểm.
Cần lưu ý rằng, lần đầu bạn kết nối mạng, hộp thoại Validate Server Certificate sẽ
xuất hiện, đôi khi nó có thể ẩn đằng sau các cửa sổ khác. Khi đó hãy kích Ok để
chấp nhận chứng chỉ và tiếp tục kết nối.
Thiết lập SQL cho người dùng và tra cứu AP
Nếu bạn có một số lượng lớn người dùng và các AP, hoặc bạn thay đổi các thông
tin chi tiết của họ hay của các AP một cách thường xuyên, khi đó bạn có thể sử
dụng một cơ sở dữ liệu để lưu các thông tin thay cho các file văn bản. Bạn có thể
cài đặt và cấu hình máy chủ của mình hoặc sử dụng một máy chủ được host trước,
chẳng hạn từ một nhà cung cấp website. Bằng cách nào trong hai cách trên, bạn
cũng phải cài đặt gói phần mềm FreeRADIUS MySQL (freeradius2-mysql).
Lúc này bạn cần load cấu trúc cơ sở dữ liệu mặc định vào máy chủ cơ sở dữ liệu.
Nếu đang chạy máy chủ của bạn trong CentOS, bạn hãy chạy lệnh "mysql -uroot -
prootpass radius < /etc/raddb/sql/mysql/schema.sql" từ một Terminal. Nếu sử dụng
một máy chủ từ xa hoăc máy chủ được host từ một nhà cung cấp, khi đó bạn hãy
chạy "gedit" với một root Terminal và sử dụng Text Editor để mở
etc/raddb/sql/mysql/schema.sql. Sau đó copy và paste các lệnh SQL vào máy chủ
để chạy chúng.
Nếu bạn muốn sử dụng SQL cho các thông tin chi tiết của AP, hãy load file
etc/raddb/sql/mysql/nas.sql vào cơ sở dữ liệu của bạn.
Bạn cần chỉnh sửa các file cấu hình FreeRADIUS để mách bảo máy chủ sử dụng
SQL. Từ root Text Editor,, mở etc/raddb/radiusd.conf và không comment dòng
"$INCLUDE sql.conf". Mở etc/raddb/sites-enabled/inner-tunnel và không
comment "sql" từ phần Authorize. Lúc này FreeRADIUS sẽ sử dụng các file và

SQL.
Bạn cần cung cấp cho FreeRADIUS kết nối cơ sở dữ liệu và các thông tin chi tiết
về đăng nhập. Từ trình soạn thảo gốc, mở etc/raddb/sql.conf. Sau đó bảo đảm cho
database = 'mysql'. Nếu đang sử dụng một cơ sở dữ liệu từ xa hoặc một cơ sở dữ
liệu được cấu hình sẵn, hãy nhập vào địa chỉ máy chủ. Bảo đảm bạn nhập vào
Username và Password cho máy chủ của mình. Với giá trị radius_db value, nhập
vào tên cơ sở dữ liệu. Nếu đang sử dụng SQL cho các thông tin chi tiết của AP,
không comment "readclients = yes".
Cuối cùng, chèn các hàng vào bảng để định nghĩa các tài khoản người dùng. Định
dạng tương tự như định dạng đối với file người dùng:
username attribute op value
egeier Cleartext-Password := pass123
Đây là một ví dụ về những gì bạn có thể chèn vào bảng cho các thông tin về AP
nếu đã kích hoạt nó:
nasname shortname type secret
192.168.0.1 private-network-1 other testing123
Khắc phục sự cố
Cần lưu ý rằng trong khi thiết lập máy chủ hoặc sau khi tạo những thay đổi, hãy sử
dụng chế độ gỡ rối để thấy được hành động của máy chủ. Nếu bạn gặp phải các
vấn đề về đăng nhập hoặc kết nối, hãy kiểm tra một cách cẩn thận và phần gỡ rối
và phân tích những thay đổi được thực hiện gần đây.