Die im vorherigen Absatz erwähnte Modulkonfigurationsdatei
»sites-enabled/inner-tunnel
«
kommt unter anderem bei der Authentifizierung mittels WPA-Enterprise zum Tragen. Der WPA-Enterprise zugrunde liegende 802.1X-Standard definiert nämlich eine verschlüsselte Verbindung nach dem EAP-over-LAN-Protokoll (EAPOL), wobei EAP für
»Extensible Authentication Protocol
«
steht.
Bei EAPOL erfolgt die Übermittlung der Benutzerdaten vom Client an den Zugangsknoten, bei 802.1X der WLAN-Hotspot, über einen verschlüsselten Tunnel. Der Zugangsknoten gibt die Anfrage an den Radius-Server weiter, der diese nach dem üblichen Prinzip behandelt. Allerdings liest Freeradius bei der Verwendung von EAP-Protokollen eben statt
»sites-enabled/default
«
die Liste der Module aus
»sites-enabled/inner-tunnel
«
.
Der Tunnel benötigt weiterhin ein Verschlüsselungszertifikat. Im Produktivbetrieb sollte dies von einer vertrauenswürdigen Stelle signiert werden. Dem Freeradius-Quellpaket liegt aber zu Testzwecken ein Demozertifikat bei, das der Befehl
»make
«
im Unterverzeichnis
»certs
«
generiert. Allerdings fehlt das Demo-Zertifikat in den Paketen der meisten Linux-Distributionen, da es sich eben nicht um ein signiertes und damit vertrauenswürdiges Zertifikat handelt.
Wer die EAPOL-Authentifizierung ausprobieren möchte, findet dafür außerdem das Programm
»eapol_test
«
im WPA-Supplicant-Paket, das die verschiedenen WPA-Verschlüsselungsmechanismen zu Test- und Analysezwecken implementiert. Standardmäßig wird
»eapol_test
«
allerdings nicht kompiliert, sondern nur wenn man in den Quellen die Konfigurationsoption
»CONFIG_EAPOL_TEST=y
«
aktiviert. Sie steht auskommentiert in der Datei
»defconfig
«
im Unterverzeichnis
»wpa_supplicant
«
des WPA-Supplicant-Quellpakets; also kopiert man diese Datei nach
»wpa_supplicant/.config
«
, entfernt das Kommentarzeichen in der
».config
«
-Datei und kompiliert mit
»make eapol_test
«
.
Für den Test von WPA-Enterprise eignet sich die Beispielkonfigurationsdatei
»peap-mschapv2.conf
«
unter
[7]
. Darin passt man die Einträge
»identity
«
und
»password
«
an, um einen in Freeradius angelegten User zu authentifizieren. Nun erfolgt der Test mit:
eapol_test -c peap-mschapv2 -s Client-Passwort
Das Client-Passwort entspricht dabei dem in der Datei
»clients.conf
«
festgelegten. In der vorgegebenen Beispielkonfiguration für
»localhost
«
heißt es
»testing123
«
. Nach erfolgreichem Test sollte man den
»localhost
«
-Client wie alle nicht verwendeten Client-Einträge deaktivieren oder das Passwort ändern.
Freeradius ist für die Benutzerverwaltung in der Größenordnung von Internet-Providern konzipiert worden. Die mit Freeradius paketierte Standardkonfiguration erhält damit einen großen Wert, denn sie macht den Einstieg dennoch einfach; so erhält der lokale WLAN-Hotspot statt eines gemeinsamen Passworts problemlos eine benutzerspezifische Authentifizierung und Konfiguration – WPA-Enterprise-Kompatibilität vorausgesetzt.
Infos