redes
Páginas: 17 (4010 palabras)
Publicado: 13 de enero de 2014
La Web de Miliu
RADIUS en Linux y Cisco
1 Introducción
RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por
Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. Fue diseñado para autenticar usuarios y
utiliza una arquitectura cliente/servidor. El servidor contiene información de los usuarios, almacenando suspasswords y
sus perfiles, y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las
autentique y responda al cliente diciéndole si ese usuario está o no registrado.
Un ejemplo de uso de RADIUS se puede dar en un ISP, donde el NAS (Network Access Server) hace de cliente
RADIUS y un host del ISP podría hacer de servidor. El NAS recibe vía módem unapetición de acceso y envía los datos
que el usuario ha proporcionado al servidor RADIUS. Es éste el que consulta su base de datos y comprueba si el usuario
que ha realizado la llamada es en realidad quien dice ser. En ese caso, responde al NAS con una respuesta de aceptación
de la llamada y, opcionalmente, con datos sobre el perfil del usuario (tipo de servicio, protocolo de conexión, IPasignada, ...). En caso contrario notifica al NAS que debe rechazar la petición de conexión. Opcionalmente, el servidor
RADIUS guardará logs de las conexiones en las que estemos interesados.
A lo largo del texto veremos con algo más de detalle como funciona este protocolo y algunos ejemplos de configuración
para autenticar usuarios en Linux y Cisco. El servidor RADIUS elegido para las pruebas hasido FreeRADIUS y se
puede descargar de www.freeradius.org . Los clientes son un PC Linux con PAM v.075 (
www.kernel.org/pub/linux/libs/pam/ ) modificado y un router Cisco 2500.
2 Protocolo RADIUS
La primeras páginas del RFC 2865 (las secciones 1 y 2, páginas de la 1 a la 13) describen el funcionamiento de este
protocolo. Ver [4].
3 Clientes RADIUS
3.1 Linux−PAM (Pluggable AuthenticationModules for Linux)
Linux−PAM es el sistema de autenticación utilizado en Linux. Antes, cuando una aplicación quería ofrecer un servicio
para el que se requería autenticación (como es el caso de login), la aplicación pedía al usuario que tecleara su login y su
password, consultaba el fichero /etc/passwd para comprobar que los passwords encriptados correspondían, y
lanzaba una shell con el PIDdel usuario. Nuevas formas de autenticación obligaban a nuevos programas login que las
implementaran.
Con Linux−PAM se define una interfaz para que los programas como login que requieran de una autenticación sean
transparentes al tipo de autenticación utilizada. Para ello se escribió una librería ( libpam.so y libpam_misc.so ) que
implementaba la interfaz para todo lo relacionado con accesos alsistema. Ahora una aplicación ya no trabaja con el
fichero /etc/passwd, sino que llama a una función genérica autenticar(usuario, token) implementada en la librería y,
dependiendo de la configuración que hizo el administrador del sistema, esta función usará una forma u otra de validar a
ese usuario.
PAM tiene cuatro formas de actuación, que se transforman en cuatro grupos de funcionesdistintas dentro de la librería:
• Authentication: utilizada para validar usuarios. Las funciones asociadas son: int
1/9
La Web de Miliu
pam_sm_authenticacion(...) int pam_sm_setcred(...)
• Accounting: se utiliza para gestionar la cuenta del usuario (habilitación/deshabilitación de la cuenta, fecha de
expiración, etc.). La función asociada es: int pam_sm_acct_mgmt(...)
• Password:actualización del password del cliente. Su función es: int pam_sm_chauthtok(...)
• Session: gestión de la sesión del usuario (logs al inicio y al final, montaje de directorios del usuario, etc. ). Las
funciones son: int pam_sm_open_session(...) int pam_sm_close_session(...)
La aplicación llamará a estas funciones con los parámetros necesarios y PAM hará el resto. El administrador del sistema
es el...
RADIUS en Linux y Cisco
1 Introducción
RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por
Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. Fue diseñado para autenticar usuarios y
utiliza una arquitectura cliente/servidor. El servidor contiene información de los usuarios, almacenando suspasswords y
sus perfiles, y el cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste las
autentique y responda al cliente diciéndole si ese usuario está o no registrado.
Un ejemplo de uso de RADIUS se puede dar en un ISP, donde el NAS (Network Access Server) hace de cliente
RADIUS y un host del ISP podría hacer de servidor. El NAS recibe vía módem unapetición de acceso y envía los datos
que el usuario ha proporcionado al servidor RADIUS. Es éste el que consulta su base de datos y comprueba si el usuario
que ha realizado la llamada es en realidad quien dice ser. En ese caso, responde al NAS con una respuesta de aceptación
de la llamada y, opcionalmente, con datos sobre el perfil del usuario (tipo de servicio, protocolo de conexión, IPasignada, ...). En caso contrario notifica al NAS que debe rechazar la petición de conexión. Opcionalmente, el servidor
RADIUS guardará logs de las conexiones en las que estemos interesados.
A lo largo del texto veremos con algo más de detalle como funciona este protocolo y algunos ejemplos de configuración
para autenticar usuarios en Linux y Cisco. El servidor RADIUS elegido para las pruebas hasido FreeRADIUS y se
puede descargar de www.freeradius.org . Los clientes son un PC Linux con PAM v.075 (
www.kernel.org/pub/linux/libs/pam/ ) modificado y un router Cisco 2500.
2 Protocolo RADIUS
La primeras páginas del RFC 2865 (las secciones 1 y 2, páginas de la 1 a la 13) describen el funcionamiento de este
protocolo. Ver [4].
3 Clientes RADIUS
3.1 Linux−PAM (Pluggable AuthenticationModules for Linux)
Linux−PAM es el sistema de autenticación utilizado en Linux. Antes, cuando una aplicación quería ofrecer un servicio
para el que se requería autenticación (como es el caso de login), la aplicación pedía al usuario que tecleara su login y su
password, consultaba el fichero /etc/passwd para comprobar que los passwords encriptados correspondían, y
lanzaba una shell con el PIDdel usuario. Nuevas formas de autenticación obligaban a nuevos programas login que las
implementaran.
Con Linux−PAM se define una interfaz para que los programas como login que requieran de una autenticación sean
transparentes al tipo de autenticación utilizada. Para ello se escribió una librería ( libpam.so y libpam_misc.so ) que
implementaba la interfaz para todo lo relacionado con accesos alsistema. Ahora una aplicación ya no trabaja con el
fichero /etc/passwd, sino que llama a una función genérica autenticar(usuario, token) implementada en la librería y,
dependiendo de la configuración que hizo el administrador del sistema, esta función usará una forma u otra de validar a
ese usuario.
PAM tiene cuatro formas de actuación, que se transforman en cuatro grupos de funcionesdistintas dentro de la librería:
• Authentication: utilizada para validar usuarios. Las funciones asociadas son: int
1/9
La Web de Miliu
pam_sm_authenticacion(...) int pam_sm_setcred(...)
• Accounting: se utiliza para gestionar la cuenta del usuario (habilitación/deshabilitación de la cuenta, fecha de
expiración, etc.). La función asociada es: int pam_sm_acct_mgmt(...)
• Password:actualización del password del cliente. Su función es: int pam_sm_chauthtok(...)
• Session: gestión de la sesión del usuario (logs al inicio y al final, montaje de directorios del usuario, etc. ). Las
funciones son: int pam_sm_open_session(...) int pam_sm_close_session(...)
La aplicación llamará a estas funciones con los parámetros necesarios y PAM hará el resto. El administrador del sistema
es el...
Leer documento completo
Regístrate para leer el documento completo.