Tomasz Wolniewicz UCI UMK Toruń Pakiet
Transkrypt
Tomasz Wolniewicz UCI UMK Toruń Pakiet
Tomasz Wolniewicz UCI UMK Toruń TESTOWANIE SERWERA RADIUS Pakiet FreeRADIUS zawiera dwa programy klienckie: radclient i radeapclient oraz skrypt radtest. Ten ostatni jest najwygodniejszy do wczesnych testów. Istnieją też inne pakiety testowe, ale różnią się głównie tym, że mają interfejs graficzny. Zaletą radtest jest to, że otrzymujemy odpowiedź serwera w formie Access-Accept lub AccessReject, widzimy wszystkie przesłane atrybuty, na przykład ustawienia VLAN-u albo wiadomość przesłaną w ramach pakietu Access-Reject. Zasadniczą wadą jest to, że korzystamy ze zwykłego hasła, które przesyłamy przez sieć zaszyfrowane w dość prymitywny sposób. Frame 1 (119 bytes on wire, 119 bytes captured) Radius Protocol Code: Access-Request (1) Packet identifier: 0x4 (4) Length: 77 Authenticator: C8CC15F813DE7F1EA013DBE879CD4A0E Attribute Value Pairs AVP: l=22 t=User-Name(1): [email protected] User-Name: [email protected] AVP: l=18 t=User-Password(2): Encrypted User-Password: \327\342\264\206\235\364\035\344\377\002eP>A\n\260 AVP: l=6 t=NAS-IP-Address(4): 255.255.255.255 NAS-IP-Address: 255.255.255.255 (255.255.255.255) AVP: l=6 t=NAS-Port(5): 0 NAS-Port: 0 AVP: l=5 t=Proxy-State(33): 323136 Proxy-State: 323136 Frame 2 (67 bytes on wire, 67 bytes captured) Radius Protocol Code: Access-Accept (2) Packet identifier: 0x4 (4) Length: 25 Authenticator: 863BA76AE055F58C0864B5E47134B688 Attribute Value Pairs AVP: l=5 t=Proxy-State(33): 323136 Proxy-State: 323136 W powyższej ramce widzimy zrzut pakietów wykonany za pomocą ethereal. Żeby skorzystać z radtest musimy w pliku clients.conf uwzględnić adres z którego będziemy się łączyć i nadać odpowiedni klucz „secret”. Jak to zostanie zrobione, to możemy wywołać radtest uzytkownik@realm haslo_uzytkownika adres_serwera 0 secret Gdyby radius pracował na innym porcie niż 1812, to trzeba by jeszcze i to uwzględnić w postaci: adres_serwera:port. Jeżeli wszystko jest skonfigurowane prawidłowo to powinniśmy otrzymać Access-Accept. Jeżeli nie będzie żadnych odpowiedzi, to albo nie działa Radius, albo coś blokuje dostęp do portu.