Einen Freeradius Server auf Debian aufsetzen

Einen Radius Server kann man auf Debian/Raspian recht einfach aufsetzen. Warum man das macht?

Ich möchte zukünftig einige Dienste (WLAN/OpenVPN) nicht mehr mit einem sogenannten Pre Shared Key (PSK) absichern sondern durch persönliche Kennwörter.

Wir haben hier jetzt demnächst vier Personen im Haushalt und da wäre mir etwas mehr “personalisierte” Sicherheit lieber. Dazu aber mehr wenn es so weit ist.

Ich wollte das schon länger angehen aber die Beschreibungen waren mir immer zu aufwendig (mysql, ldap, AD). In diesem Video habe ich gesehen das es auch ganz einfach geht und das man die Benutzer auch in einer einfachen Textdatei speichern kann. Bei vier Personen ist das ok.

Hier die Schritte:

apt-get update
apt-get install freeradius -y
vi /etc/freeradius/clients.conf

     client 0.0.0.0/0 {
     secret = schluesselfuerberechtigteclients
     shortname = any
     }

und etwas weiter unten den Eintrag für localhost löschen

Der Schlüssel ist der Schlüssel mit dem sich zukünftig Geräte die einen Login prüfen wollen (AP, Switch) beim Radius Server anmelden. Ich bin da recht “freizügig”.

Die Nutzer kommen in eine Textdatei:

vi /etc/freeradius/users
    hbauer Cleartext-password :="geheimeskennwort"

Ja ich weiß Klartext Kennwörter sind doof und das geht anders aber wenn jemand auf diesem Rechner toben kann habe ich ein anderes Problem.

Zum debuggen startet man am Anfang den Server am besten freeradius -X um die Fehlermeldungen schön zu sehen.

 freeradius -X

Testen kann man dann schön mit

radtest hbauer geheimeskennwort dein.radius.server 0 schluesselfuerberechtigteclients
Sending Access-Request of id 65 to 127.0.0.1 port 1812
User-Name = "hbauer"
User-Password = "geheimeskennwort"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=65, length=20

Danach kann man der Server “richtig starten”

service freeradius restart