- PSU-radius เป็น freeradius รุ่นที่ได้ปรับแต่งให้ติดตั้งพร้อมใช้งาน สามารถ authen กับ mail server และ PSU passport ได้
- ทดสอบกับ ubuntu 10.04
- ให้ดาวน์โหลดแฟ้ม http://ftp.psu.ac.th/pub/psu-radius/psu-radius.tgz มาเก็บไว้ก่อน
ตัวอย่างดาวน์โหลดมาเก็บไว้ที่ /tmp ใช้คำสั่งประมาณว่า
wget http://ftp.psu.ac.th/pub/psu-radius/psu-radius.tgz -N -P /tmp - แตกแฟ้มที่ดาวน์โหลดมา เอาไปเก็บไว้ที่ /tmp ด้วยคำสั่งประมาณว่า
tar -zxpvf /tmp/psu-radius.tgz -C /tmp - เข้าไปทำงานใน directory ที่ถูกสร้างขึ้นมาตอนแตกแฟ้มนี้ ด้วยคำสั่งประมาณว่า
cd /tmp/psu-radius - เริ่มขั้นตอนติดตั้งด้วยคำสั่ง
sudo sh install-psu-radius.sh - ระบบจะเริ่มทำการติดตั้ง รอสักครู่ก็จะใช้งานได้
- ทดสอบ user ใน server แบบ localhost โดยตรง ใช้คำสั่งว่า
sudo radtest mama 123456 127.0.0.1 0 testing123 - หากต้องการปรับตั้งค่าให้ radius server นี้บริการผ่าน network และปรับตั้ง key
ให้แก้ไขรายการ client ผ่าน network ที่แฟ้ม /etc/freeradius/clients.conf
ตัวอย่างประมาณว่า
client 10.0.5.0/24 {
secret = mytestkey
shortname = private-network
} - ทดสอบ user ใน server ผ่าน network ใช้คำสั่งประมาณว่า
sudo radtest mama 123456 server_ip 0 mytestkey - ทดสอบ user@gmail.com ใช้คำสั่งประมาณว่า
sudo radtest user@gmail.com yourpassword 127.0.0.1 0 testing123 - การยืนยันตัวตนใช้ username / password ตั้งให้ authen กับ server
ต่างๆได้ที่แฟ้ม /etc/freeradius/imap-authen.sh เลือกตั้งค่าดังนี้
AUTHEN_SHADOW="YES" หมายถึงให้ authen กับแฟ้ม /etc/passwd ด้วย
AUTHEN_MAIL="YES" หมายถึงให้ authen กับ mail server ด้วย
ให้ปรับค่า DEFAULT_MAIL_SERVER="your.domain" ให้เป็น mail server ที่ต้องการ
AUTHEN_LDAP="NO" หมายถึงไม่ต้อง authen กับ ldap server
ถ้าต้องการให้ authen กับ ldap server ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_LDAP="YES"
แล้วแก้ไขแฟ้ม /etc/freeradius/check-ldap.sh ตั้งค่า LDAP SEVER ให้ถูกต้องเช่น
LDAP_HOST="ldap://your.domain"
LDAP_BASE="dc=aa,dc=bb"
AUTHEN_SSH="NO" หมายถึงไม่ต้อง authen กับ ssh server
ถ้าต้องการให้ authen กับ ssh server ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_SSH="YES"
และปรับค่า SSH_SERVER="server.domain" ให้เป็น ssh server ที่ต้องการ
AUTHEN_PSU_PASSPORT="NO" หมายถึงไม่ต้อง authen กับระบบ PSU passport
ถ้าต้องการให้ authen กับระบบ PSU passport ต้องแก้ไขตัวแปรเปลี่ยนเป็น AUTHEN_PSU_PASSPORT="YES"
CHECK_PREBLACKLIST="YES" หมายถึงตรวจสอบระบบ blacklist ด้วย
รายชื่อ blacklist อยู่ในแฟ้ม /etc/freeradius/preblacklist.txt
ถ้ามีชื่อปรากฏในแฟ้ม /etc/freeradius/preblacklist.txt ระบบจะไม่ไป authen เพื่อลดการโดน spam ถล่ม - เมื่อ authen ด้วย username / password ถูกต้องผ่านมาได้แล้ว ต่อไปก็เป็นการตรวจสอบรายชือผู้มีสิทธิ์ใช้บริการ
แก้ไขระบบตรวจสอบสิทธิ์ที่แฟ้ม /etc/freeradius/my-authen.sh ตั้งค่าดังนี้
CHECK_BLACKLIST="YES" หมายถึงตรวจสอบระบบ blacklist ด้วย
รายชื่อ blacklist อยู่ในแฟ้ม /etc/freeradius/blacklist.txt
ถ้ามีชื่อปรากฏในแฟ้ม /etc/freeradius/blacklist.txt จะถูกตัดสิทธ์ใช้งาน
ALL_PASS="YES" หมายถึงไม่ต้องตรวจสอบ ให้ผ่านได้ทุกคน
หากเปลี่ยนป็น ALL_PASS="NO" หมายถึงว่าต้องตรวจสอบขั้นตอนอื่นตามลำดับถัดไป
CHECK_VIPLIST="YES" หมายถึงตรวจสอบระบบแฟ้ม vip ด้วย
หากมีรายชื่อปรากฏในแฟ้ม /etc/freeradius/viplist.txt ก็จะสามารถผ่านได้เลย
CHECK_PSU_STAFF="YES" หมายถึงตรวจสอบว่าเป็น staff ของ PSU หรือไม่
CHECK_PSU_STUDENT="YES" หมายถึงตรวจสอบว่าเป็น student ของ PSU หรือไม่
0 comments:
Post a Comment