Cómo utilizar FreeRADIUS para la autenticación SSH


Jack Wallen le muestra cómo instalar y configurar FreeRADIUS como una herramienta de autenticación SSH centralizada.

Asegurar una computadora portátil

Imagen: iStock / structurexx

Es posible que tenga una gran cantidad de máquinas Linux en su centro de datos, la mayoría de las cuales son administradas por un equipo de administradores. Esos administradores probablemente usen un shell seguro para acceder a esos servidores. Por eso, es posible que desee utilizar una ubicación centralizada para administrar la autenticación de esos administradores. Para eso, puede emplear un FreeRADIUS servidor.

FreeRADIUS es una herramienta de autenticación que utilizan más de 100 millones de personas a diario. Esta herramienta incluye soporte para más protocolos de autenticación que cualquier otro servicio de código abierto.

Le mostraré cómo usar FreeRADIUS para la autenticación de SSH en su LAN.

VER: Política de respuesta a incidentes (TechRepublic High quality)

Lo que necesitarás

Estaré demostrando con dos instancias de Ubuntu: un servidor y un escritorio. Puede instalar FreeRADIUS en casi cualquier distribución de Linux, pero deberá modificar los pasos de instalación si está utilizando un sistema operativo que no esté basado en Debian. También necesitará un usuario con privilegios de sudo.

Cómo instalar y configurar FreeRADIUS en el servidor

Lo primero que haremos será instalar FreeRADIUS. Inicie sesión en su servidor Ubuntu e instale el software con el comando:

sudo apt-get set up freeradius mlocate -y

Con FreeRADIUS instalado, necesitamos agregar un cliente (la máquina que usará el servidor FreeRADIUS para la autenticación SSH) al archivo de configuración. Primero, cambie al usuario root con el comando:

sudo -s

Abra el archivo de configuración necesario con el comando:

nano /and so forth/freeradius/3./purchasers.conf

En la parte inferior del archivo, agregará una sección que se ve así:

shopper UBUNTU 
ipaddr = Customer
secret = CLIENTPASSWORD

Donde CLIENTE es la dirección IP del cliente remoto y CLIENTPASSWORD es una contraseña segura / única que se utilizará como administrador de FreeRADIUS.

Guarde y cierre el archivo.

A continuación, agregaremos un usuario editando el archivo de usuarios con el comando:

nano /and so on/freeradius/3./customers

En la parte inferior de ese archivo, agregue lo siguiente:

User Cleartext-Password := "USERPASSWORD"

Donde User es el nombre de usuario y USERPASSWORD es una contraseña segura / única.

Reinicie FreeRADIUS con el comando:

systemctl restart freeradius

Salga del usuario root con el comando:

exit

Cómo configurar el cliente

Pase a su máquina cliente. Primero deberá instalar los paquetes necesarios para que el cliente pueda interactuar con FreeRADIUS con el comando:

sudo apt-get set up libpam-radius-auth freeradius-utils -y

Abra el archivo de configuración con el comando:

sudo nano /etc/pam_radius_auth.conf

Cerca de la parte inferior de ese archivo, verá la siguiente sección:

#127...1 solution 1
other-server other-secret 3

Debajo de eso, agregue una nueva sección como esta:

SERVER	CLIENTPASSWORD5

Donde SERVER es la dirección IP de su servidor FreeRADIUS y CLIENTPASSWORD es la contraseña que estableció en el archivo de configuración del cliente en el servidor.

Guarde y cierre el archivo.

A continuación, crearemos una cuenta de usuario en el cliente con una contraseña deshabilitada como esta:

sudo adduser USERNAME --disabled-password --peaceful --gecos ""

Donde NOMBRE DE USUARIO es el nombre de usuario que se agregará.

Ahora probemos la autenticación en nuestro servidor. Desde el cliente, emita el comando:

radtest USERNAME CLIENTPASSWORD SERVER  USERPASSWORD

Donde USERNAME es el nombre de usuario en el cliente remoto, CLIENTPASSWORD es la contraseña establecida en el archivo clients.conf en el servidor, SERVER es la dirección IP del servidor FreeRADIUS y USERPASSWORD es la contraseña para el usuario remoto configurado en el archivo de configuración de usuarios en el servidor.

Debería ver algo como:

Sent Access-Request Id 134 from ...:45348 to 192.168.1.53:1812 length 75
Consumer-Title = "USERNAME"
User-Password = "USERPASSWORD"
NAS-IP-Deal with = 127..1.1
NAS-Port = 
Message-Authenticator = 0x00
Cleartext-Password = "USERPASSWORD"
Gained Entry-Accept Id 134 from 192.168.1.53:1812 to 192.168.1.124:45348 duration 20

Para la prueba actual, inicie sesión en otra máquina en su purple y SSH al cliente con el NOMBRE DE USUARIO y la CONTRASEÑA DE USUARIO para las credenciales. Aunque ese usuario se creó en el cliente sin contraseña, debería poder autenticarse con éxito en el cliente.

Felicitaciones, acaba de configurar FreeRADIUS para la autenticación SSH.

La advertencia

El problema con esta configuración es que ha dejado las contraseñas de texto sin cifrar configuradas en los archivos de FreeRADIUS. La única gracia salvadora con esto es que para verlos, primero debe obtener acceso al usuario root. Eso es un obstáculo, pero no imposible. Discutiremos el uso de un método más seguro más adelante. Hasta entonces, practique la configuración de FreeRADIUS en una crimson de prueba para asegurarse de que comprende cómo funciona.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia unique