freeradiusとciscoでeap tlsを実装した時の設定等のメモ
前回のエントリhttp://blog.rino-server.jp//?p=2465まで終わっていること。
参照
http://wiki.freeradius.org/Certificates#Configuration
/etc/raddb/certs/README
http://freeradius.org/doc/EAPTLS.pdf
環境
サーバ:freeradius(Fedora14 i686)
192.168.0.155
ネットワーク機器:Cisco 2950
192.168.0.165
端末PC:WindowsXP
DHCP
サーバ
※opensslがなければyum install opensslでssl入れる。
- ※作成前に/etc/raddb/certsのバックアップを取っておくと、やり直す時に楽です。
ca.cnf、server.cnf、client.cnfのinput_password、output_passwordを適当に変更する
※今回はinput_password = input_pass、output_password = output_passにしました。
cd /etc/raddb/certs
make - で、何故かクライアント証明書が作成されなかったので
make client
client.p12が作成されるはず。 - ca.derとclient.p12を端末PCにコピーする。
- freeradiusの設定(/etc/raddb/eap.conf)
default_eap_typeをtlsに変更
private_key_passwordを証明書作成時に設定したoutput_passwordに変更
端末PC
証明書のインストール
- 証明書インストール準備
ファイル名を指定して実行→mmc
ファイル→スナップインの追加と削除
証明書→追加→ユーザーアカウント - CAルート証明書のインストール
信頼されたルート証明書右クリ→全てのタスク→インポート→参照でca.derを選択。
証明書をすべて次のストアに配置する→信頼されたルート証明書 - クライアント証明書のインストール
信頼されたルート証明書右クリ→全てのタスク→インポート→参照でclient.p12を選択。
→パスワードは/etc/raddb/certs/ca.cnfなどで設定されているoutput_password
→証明書の種類に基づいて、自動的に証明書ストアを選択する。
NICの設定
- ※サーバでservice radiusd startかradiusd -X(デバッグモード)でデーモンを立ち上げておく。
NICのプロパティ→認証タブ→802.1Xを有効化にチェック→スマートカードまたはその他の証明書を選択
設定→サーバの証明書を有効化するにチェック
設定を完了すると右下に何か出るので、クリックしてサーバの証明書を有効化するみたいなウィンドウがでたら、OKを押す。
終わり。