Задания WSR/Linux: Radius

Задача:

1) На SRV разверните RADIUS-сервер с использованием пакета freeradius для
  организации централизованного управления учетными записями
  a. Создайте учетные записи user01 … user50
  b. Учетные записи должны храниться в локальном файле /etc/passwd
  c. Настройте RTR, CLI-C и CLI-P в качестве клиентов RADIUS-сервера.

Параметры сервера SRV.

Создаем пользователей (с домашним каталогом, оболочкой и паролем) при помощи несложного скрипта useradd.sh

#!/bin/bash
# цикл перебирает числа от 1 до 50
for NUM in {1..50}
do
  if [ $NUM -lt 10 ];
  # если число меньше 10 добавим 0
  then
    USERNAME="user0${NUM}"
  # иначе
    USERNAME="user${NUM}"
  fi
  # создаем пользователя
  useradd -m -s /bin/bash -p $USERNAME
  # задаем одинаковый пароль всем
  echo ${USERNAME}:SecretPass | chpasswd
done

делаем скрипт исполняемым
# chmod a+x useradd.sh
запускаем скрипт (чтобы результат не вываливался в консоль можно перенаправить все в null)
# ./useradd.sh &> /dev/null

Устанавливаем радиус (в Debian 9.2 на DVD не оказалось пакетов, пришлось скачать их отдельно freeradius, freeradius_common, freeradius_config, libfreeradius)
# apt-get install freeradius
или (если из вручную скачанных пакетов)
# dpkg -i *.deb
# ставим зависимости
# apt-get install -f 

добавляем параметры клиентов в файл /etc/freeradius/3.0/clients.conf, для CentOS /etc/raddb/clients.conf
client LAN {
  ipaddr = 172.16.100.0/24
  secret = SuperSecretPass
}

меняем параметры группы в файле /etc/freeradius/3.0/radiusd.conf, для CentOS /etc/raddb/radiusd.conf (для доступа к системному файлу паролей /etc/shadow)
security {
  user = freerad
  group = shadow
}
* для CentOS root/root

включаем системную аутентификацию при помощи модуля unix в файле etc/freeradius/3.0/sites-enabled/default, для CentOS /etc/raddb/sites-enabled/default
authorize {
    unix
}

Параметры клиентов CLI-P, CLI-C, RTR.

Создаем пользователей тем же скриптом как и на сервере, но без строчки задания пароля.

Устанавливаем пакет (для CentOS - pam_radius)
# apt-get install libpam-radius-auth

редактируем файл /etc/pam_radius_auth.conf (для CentOS /etc/pam_radius.conf)
указываем адрес сервера и пароль
#server[:port]     shared_secret        timeout (s)
srv.house.mad    SuperSecretPass    3

Дописываем строку в /etc/pam.d/login перед строчкой @inlude common-auth
auth    sufficient    pam_radius_auth.so

Ссылки:

• Linux Radius Client
• FreeRadius Documentation