RADIUS na klientských stanicích
Jan Povolný
Computerworld, 12. srpna 2011
V minulém dílu jsme zdárně pronikli do problematiky konfigurace RADIUS serverů a do autentizačně (kdo jsme) autorizačního (zda můžeme) procesu jako takového. Dnes se podíváme na nastavení klientských stanic. Pod Windows i Linuxem.
Proces přístupu ke sdíleným síťovým službám sestává z několika kroků, které je nutné při nastavení klienta zohlednit. Jeho nasměrování na běžící RADIUS server je tak spíše poslední kapkou, které předcházejí fyzická autorizace do sítě a nutná instalace kořenových certifikátů.
Typickým příkladem komplexního použití jsou právě autorizace a autentizace do veřejné bezdrátové sítě, např. již zmíněného Eduroamu, který naleznete v akademických budovách a veřejně prospěšných institucích (nemocnice, úřady) v celé České republice. Více informací o této síti a způsobu její ochrany najdete přímo na stránkách sdružení CESNET.
Vzhledem k zásadním rozdílům mezi konfiguračními postupy ve Windows XP a Windows Vista/7 se budeme těmto systémům věnovat odděleně. Použití RADIUS serveru se vždy děje v součinnosti s nastavením konkrétního síťového rozhraní (v našem případě Wi-Fi).
Certifikáty
Instalace kořenových certifikátů je nezbytným krokem, který musíte provést pod každým operačním systémem. Ve Windows postačí poklepat na soubor ve formátu PEM a řídit se pokyny operačního systému. Jako vhodné úložiště doporučujeme certifikáty důvěryhodné. Vyhnete se tak zbytečným bezpečnostním dotazům při jejich použití.
Kontrolu správně instalovaného certifikátu lze provést v dialogu Možnosti Internetu, který najdete v Ovládacích panelech. Přítomné certifikáty jsou souhrnně k dispozici na záložce Obsah pod stejnojmenným tlačítkem. Jedná se o systémové úložiště, ve kterém obecně aplikace certifikáty hledají. Výjimkou jsou internetové prohlížeče, které obvykle používají úložiště vlastní (např. Mozilla).
Pod Linuxem lze využít buď grafické nástroje použitého prostředí (Gnome, KDE), nebo certifikáty ručně nakopírovat do správné podsložky ve složce /etc. Zde odkážeme na minulé díly našeho seriálu, kde se této problematice věnujeme.
Windows XP
Windows XP jsou stále globálně nejpoužívanějším OS na světě. Nastavení profilů bezdrátových sítí najdete pod ikonou Síťová připojení, umístěné opět v Ovládacích panelech. Zde poklepejte pravým tlačítkem na bezdrátové rozhraní a z kontextového menu zvolte Vlastnosti. Na záložce Bezdrátové sítě pak snadno vytvoříte profil, jenž obsahuje dva důležité dialogy. Přidružení definuje autorizační proces, ve kterém volíte mezi standardními kódovacími mechanizmy, jako je WEP nebo WPA. Ty vás fyzicky spojí s příslušným přístupovým bodem.
Ověřování pak poslouží k samotné definici RADIUS serveru jako součásti protokolu EAPPEAP, který vyberte z nabízeného roletového menu. Nastavení PEAP je již zřejmé. Nezapomeňte vybrat správný certifikát a také způsob přenosu jména a hesla, který je založen na dalším z protokolů rodiny CHAP (Chalenge-Handshake Authentication Protocol), typicky volíme jeho poslední verzi, tedy MS-CHAP v2. Připojení k bezdrátové síti tak skutečně probíhá ve dvou krocích. Nejprve se autorizujeme do sítě jako takové a teprve potom proběhne autentizace pomocí RADIUS.
Windows Vista/7
V nových generacích Windows provedl Microsoft v rámci zjednodušení přeskupení konfiguračních dialogů do takzvaných center. V podstatě tak vypíchl jednoduchá nastavení na úkor komplikovanějších a méně používaných. k definici všeho síťového použijeme Centrum sítí a sdílení, které je opět dostupné z Ovládacích panelů Windows. I přes celkovou komplikovanost tohoto centra najdeme bezdrátové profily poměrně snadno.
Přímý odkaz totiž Microsoft umístil do levého horního menu jako položku s názvem Spravovat bezdrátové sítě. Po vytvoření profilu je k dispozici dialog, jenž sdružil dříve používané záložky do jedné. Nastavení autorizace a autentizace tak provedete souhrnně na záložce Zabezpečení. Zbytek je v podstatě analogií k témuž v předchozí kapitole o Windows XP. Opět volíte protokol PEAP a opět vyberete příslušný RADIUS server a certifikát. Více není potřeba dodávat.
Linux
Přístup k nastavení bezdrátového rozhraní Linuxu je obdobný výše nastíněnému v kapitole Certifikáty. Opět volíme mezi použitím grafického nástroje a ruční editací konfiguračních souborů ve složce /etc. V prvním případě zde uvedu aplikaci Network manager, kterou spolehlivě najdete ve všech desktopových distribucích. Ta vás provede nastavením autorizace i autentizace způsobem ne nepodobným tomu ve Windows. Konfigurační dialog je přehledný a zcela odpovídá již dříve uvedeným.
Ve druhém případě lze autentizaci zakomponovat do procesu přihlášení na desktop. Použitý LDAP server totiž využívá pro úschovu uživatelských účtů i náš v minulém dílu nastavený RADIUS. Teoreticky je tak možné autentizaci sjednotit a být ověřen ke všem službám v jednom jediném autentizačním dialogu. Praktická konfigurace však rozhodně nepatří mezi ty jednoduché. Zde odkazuji na předchozí díly seriálů, kde jsme se této problematice (LDAP, PAM atd.) věnovali podrobně.
Ostatní systémy
Pokud hovoříme o bezdrátových sítích, nemůžeme pominout chytré mobilní telefony a dnes stále populárnější tablety. I přes jistou jednoduchost ukazují směr, kterým se budou mobilní zařízení v budoucnosti ubírat.
Operační systémy jsou zastoupeny silnou čtyřkou, tedy Androidem (Google), iOS (Apple), Symbianem (Nokia) a BlackBerry (RIM). Ve všech je dnes podpora potřebných PEAP a CHAP protokolů přítomna, ve všech pohodlně nastavíte RADIUS server a implementujete certifikát. Jediným rozdílem je právě správa certifikátu, která je u Androidu a BlackBerry více systémová a nesvázána pouze s bezdrátovým modulem. Postupy konfigurace najdete přímo v manuálu ke konkrétnímu mobilnímu prvku.
V příštím dílu se odkloníme od serverového Linuxu a podíváme se podrobněji na TCP/IP pod klienty s Windows. Možnosti jeho konfigurace jsou poměrně rozsáhlé.
O autorovi
Jan Povolný
Pracuje jako vedoucí Informačního centra Fakulty výrobních technologií a
managementu Univerzity Jana Evangelisty Purkyně v Ústí nad Labem.