Professional Documents
Culture Documents
SERVIDOR
RADIUS
WPA + EAP-TTLS/PAP + FREERADIUS en Debian
IEEE 802.1x
IES. JACARAND
GRADO SUPERIOR DE A.S.I.R. 2012/13
JUAN MANUEL ROLDN DURN
SERVIDOR RADIUS
INDICE
Introduccin
..........................................
Definiciones
..........................................
Instalacin
.................................... .....
Configuracin servidor
.............................................
Configuracin cliente
.............................................
Configuracin usuario con ldap .............................................
Certificados
.................................... .....
Modo depuracin
.................................... .....
Problemas
.................................... .....
Futuro prximo
........................................ .....
Detalles tcnicos interesante (encontrados en el desarrollo del proyecto) .....
TPM: Tareas Pendientes y Mejoras
........................................
Bibliografa
........................................ ......
3,4
5-8
9-14
15-30
31-33
34-45
46-51
52-64
65,66
67,68
69
70
71,72
SERVIDOR RADIUS
INTRODUCCIN
Prtica:
Enunciado
Queremos montar un servidor Radius que permite la autenticacin de clientes
WIFIs tanto Linux como Windows en los diferentes puntos de acceso disponible en
un entorno empresarial.
La autenticacin:
Se har mediante dertificados digitales creados por nuestra propia
entidad certificadora.
Como alternativa, tambin queremos que la conexin de los clientes a
los puntos de accesso se haga con open LDAP.
Anlisis y pruebas de su implantacin para su uso tanto en la red del centro
como internamente en el departamento.
Por otro lado, dejaremos montado el punto WIFI del departamento.
SERVIDOR RADIUS
SERVIDOR RADIUS
VUELTA AL INDICE
SERVIDOR RADIUS
DEFINICIONES
RADIUS (Remote Authentication Dial-In User Server)
Es un protocolo que nos permite gestionar la autenticacin, autorizacin
y registro (es ms conocida como AAA, al ser ste su acrnimo de su denominacin
original inglesa Authentication, Authorization, and Accounting) de usuarios
remotos sobre un determinado recurso.
AAA (autenticacin , autorizacin y resgistro) sus definiciones a continuacin.
Autenticacin (authentication)
Hace referencia al proceso por el cual se determina si un usuario tiene
permiso para acceder a un determinado servicio de red del que quiere hacer uso. El
proceso de autenticacin se realiza mediante la presentacin de una identidad y unos
credenciales por parte del usuario que demanda acceso.
Un tipo habitual de credencial es el uso de una contrasea (o password) que
junto al nombre de usuario nos permite acceder a determinados recursos. Otros tipos
ms avanzados de credenciales son los certificados digitales.
Existen muchos mtodos concretos que implementan el proceso de la
autenticacin. Algunos de ellos, soportados por RADIUS, son:
Autenticacin de sistema (system authentication).
Los protocolos PAP (Password Authentication Protocol), y su versin
segura CHAP (Challenge Handshake Authentication Protocol), que son
mtodos de autenticacin usados por proveedores de servicios de
Internet (ISPs) accesibles va PPP.
LDAP (Lightweight Directory Access Protocol), un protocolo a nivel de
aplicacin (sobre TCP/IP).
Kerberos, el famoso mtodo de autenticacin diseado por el MIT.
EAP (Extensible Authentication Protocol), que no es un mtodo concreto
sino un entorno universal de autenticacin empleado frecuentemente en
redes inalmbricas y conexiones punto a punto.
SERVIDOR RADIUS
Por ltimo, tambin se permite la autenticacin basada en ficheros
locales de configuracin del propio servidor RADIUS.
Autorizacin (authorization)
Se refiere a conceder servicios especficos (entre los que se incluye la
negacin de servicio) a un determinado usuario, basndose para ellos en su propia
autenticacin, los servicios que est solicitando, y el estado actual del sistema. Es
posible configurar restricciones a la autorizacin de determinados servicios en
funcin de aspectos como, por ejemplo, la hora del da, la localizacin del usuario, o
incluso la posibilidad o imposibilidad de realizar mltiples logins de un mismo
usuario.
Los mtodos de autorizacin soportados habitualmente por un servidor de
RADIUS incluyen bases de datos LDAP, bases de datos SQL (como Oracle, MySQL
y PostgreSQL), o incluso el uso de ficheros de configuracin locales al servidor.
***
No se debe confundir los trminos autenticacin con autorizacin.
Mientras que la autenticacin es el proceso de verificar un derecho reclamado por un individuo (persona o
incluso ordenador), la autorizacin es el proceso de verificar que una persona ya autenticada tiene la autoridad
para efectuar una determinada operacin.
SERVIDOR RADIUS
un elemento que controla el acceso a un recurso protegido.
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS,
quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando
si los credenciales proporcionados por el cliente son vlidos. Basndose en su
respuesta, NAS le permitir acceder o no a este recurso protegido. El sistema NAS no
contiene ninguna informacin sobre los usuarios que se pueden conectar ni sus
credenciales, sino que utiliza esta informacin para enviarla a RADIUS, y que ste le
informe sobre los permisos del cliente.
VUELTA AL INDICE
SERVIDOR RADIUS
INSTALACIN
REQUISITOS
Para la prctica que vamos a realizar necesitaremos lo siguiente:
Hardware:
Una mquina, con los requisitos siguientes:
256 MB de memoria RAM ( mnimo ).
10 GB de disco duro (tener en cuenta el peso que pueda tener la base de datos).
2 tarjetas de red ( 1 para WAN ).
Dos puntos de acceso ( que soporte seguridad RADIUS ).
Software:
Debian 6 con los siguientes paquetes:
Paquete freeradius-ldap ( contiene soporte para ldap ).
Paquetes slapd, ldap-utils.
SERVIDOR RADIUS
INSTALACIN DE INFRAESTRUCTURAS
10
SERVIDOR RADIUS
INSTALACIN
Para empezar actualizaremos los repositorios con el siguiente comando para
instalar las versiones ms actualizadas.
aptitude update && aptitude upgrade -y
11
SERVIDOR RADIUS
12
SERVIDOR RADIUS
13
SERVIDOR RADIUS
VUELTA AL INDICE
14
SERVIDOR RADIUS
CONFIGURACIN DEL
SERVIDOR
La configuracin del servidor se hace mediante el fichero radiusd.conf del
directorio /etc/freeradius/ (en versiones anteriores se haca todo en /etc/raddb).
Aqu podemos seleccionar aspectos relacionados con el servidor (ficheros de
log, parmetros de uso mximo, usuarios, grupos, ), bases de datos a utilizar para
autenticar y autorizar (ficheros, SQL, LDAP, ), mtodos de AAA.
Para evitar una excesiva longitud de este fichero radiusd.conf y por
cuestiones de organizacin, se subdivide en varios ficheros mediante la directiva
$INCLUDE:
*** imagen de la estructura que tendremos en cuenta en nuestra prctica (no se representa toda
estructura de freeradius).
15
SERVIDOR RADIUS
16
SERVIDOR RADIUS
La configuracin que realizamos ser para tener aunteticacin mediante EAPTTLS por las siguientes razones:
1. Es la configuracin que queremos realizar.
2. Permite usar certificado de cliente.
3. Permite usar base de datos LDAP (que implementaremos en esta
prctica) para autenticar usuarios.
4. No es vulnerable actualmente a ataques MITM ni de diccionario.
17
SERVIDOR RADIUS
modificaremos las siguientes lneas:
auth = no
yes
auth_badpass = no
yes
auth_goodpass = no
yes
Esto har que los logs de freeradius (ruta: /var/log/freeradius/radius.log)
tenga ms detalles.
2. Aunque podramos trabajar con ms de un servidor en el que
tendramos que usar el proxy, en nuestra prctica lo haremos solo con
un servidor al cual llamaremos iesjacaranda. Por tanto
desactivaremos el proxy (que por defecto viene activado) en el
siguiente apartado de este mismo fichero:
18
SERVIDOR RADIUS
3. Como vamos a usar LDAP para los usuarios y no MYSQL dejamos
comentadas las siguientes lneas en este fichero:
#$INCLUDE sql.conf
#$INCLUDE sql/mysql/counter.conf
#$INCLUDE sqlippool.conf
SERVIDOR RADIUS
default_eap_type = ttls
#tiempo de expiracin de la entrada (se elimina entrada)
timer_expire = 60
#ignorar tipos desconocidos de eap
ignore_unknown_eap_types = no
#mximas sesiones
max_sessions = 2500
tls
{
#entidad certificadora, certificados de entidad y servidor
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${confdir}/certs/dh
random_file = ${confdir}/certs/random
#Establezca esta opcin para especificar: permitir los sitios de cifrado tls
cipher_list = DEFAULT
cache
{
#para cuando queramos activar la cach
enable = no
20
SERVIDOR RADIUS
lifetime = 24 # hours
max_entries = 255
}
}
ttls
{
#protocolo de autenticacin por defecto
default_eap_type = tls
#cualquier atributo se copia en la solicitud de tnel
copy_request_to_tunnel = no
#uso replicado del tunel
use_tunneled_reply = no
#incluir longitud del mensaje
include_length = yes
}
}
SERVIDOR RADIUS
2. Si una entrada contiene el item Fall-Through = Yes, se contina el
procesamiento de la siguiente entrada en orden.
3. Si una entrada contiene el item Fall-Through = No, el
procesamiento del fichero se detiene y no se procesarn ms
entradas.
Lo siguiente a modificar
/etc/freeradius/modules/.
es
el
fichero
ldap
situado
en
La conexin entre Radius y LDAP podra ser sin cifrar o cifrada (en
22
SERVIDOR RADIUS
nuestro caso, sin cifrar), con lo cual la configuracin ser la siguiente:
Tendremos que indicar el servidor LDAP, en este caso localhost.
Indicamos en que rama se encuentran los usuarios basedn.
Definimos el filtro de acceso: El acceso a travs de radius se hace
con aquellos usuarios cuyo nombre de usuario est en el campo
dialupAccess.
Algunas definiciones del contenido del fichero a modificar:
Server = debe ir la direccin IP o el nombre de dominio del servidor.
Identity = Usuario con privilegios en el LDAP y dominio de
busqueda.
Password = Password de este usuario (de conexin al LDAP).
Basedn, definimos la rama base de busquedas, es decir le decimos
donde buscar en el LDAP.
Filter, aqui se define la busqueda LDAP.
Habr que modificar el servidor virtual que configuremos, para
habilitar la autenticacin LDAP.
Captura de ejemplo:
23
SERVIDOR RADIUS
ldap
{
#conexin con ldap
#port = 636
ldap_connections_number = 2500
timeout = 4
timelimit = 3
net_timeout = 1
# Para posibilitar de hacer conexiones seguras habra que hacer modificaciones con las siguientes lneas:
tls {
start_tls = no
#cacertfile = /path/to/cacert.pem
#require_cert = ..... never
}
#ruta de mapeo de atributos
dictionary_mapping = ${confdir}/ldap.attrmap
#directiva de password
password_attribute = userPassword
#especifica si el mdulo tiene que hacer cumplir Novell eDirectory, cuenta de cheques de polticas, y para
#la deteccin de intrusos usuarios (depende de --with-edir )
edir_account_policy_check = no
#directivas para filtrado
groupname_attribute = radiusGroupName
groupmembership_filter = (dialupAccess=%u)
groupmembership_attribute = radiusGroupName
}
24
SERVIDOR RADIUS
En este esquema podremos ver el significado de las lneas del fichero
anterior, os dejo un par de enlaces por si queris verlo mediante la web:
25
SERVIDOR RADIUS
26
SERVIDOR RADIUS
http://www.novell.com/documentation//edir_radius/radiusadmin/?
page=/documentation//edir_radius/radiusadmin/data/bxxdaa0.html
27
SERVIDOR RADIUS
/etc/freeradius/sites-
authorize {
preprocess
auth_log
chap
mschap
digest
suffix
eap {
ok = return
}
files
ldap
expiration
logintime
28
SERVIDOR RADIUS
pap
}
#mdulo para la autenticacin
authenticate {
Auth-Type LDAP {
ldap
}
# Allow EAP authentication
eap
}
#mdulo de filtros de Contabilidad-Solicitud de paquetes
preacct {
preprocess
acct_unique
suffix
files
}
#mdulo de contabilidad
accounting {
detail
unix
radutmp
attr_filter.accounting_response
}
#mdulo para la sesiones
session {
radutmp
}
#mdulo para la despues de autenticar
post-auth {
exec
Post-Auth-Type REJECT {
attr_filter.access_reject
29
SERVIDOR RADIUS
}
}
#mdulos para el proxy que no vamos a usar, por lo tanto no tiene directivas
pre-proxy {
}
post-proxy {
}
As como los servidores virtuales se definen en /etc/freeradius/sitesavailable, para activar los servidores que queremos tener en uso, tendremos
que situarnos en la segunda ruta indica anteriormente (/etc/freeradius/sitesenabled/) y crear un enlace. Para ello, lanzaremos el siguiente comando para
activar el servidor virtual que hemos creado y modificado.
Ln -s /etc/freeradius/sites-available/iesjacaranda /etc/freeradius/sitesenabled/iesjacaranda
Como solo vamos a usar este servidor virtual borraremos el enlace
default(que viene por defecto creado), para que solo funcione el servidor
virtual que nosotros hemos creado y que hemos denominado iesjacaranda.
VUELTA AL INDICE
30
SERVIDOR RADIUS
CONFIGURACIN DEL
CLIENTE
Los denominados clientes del servidor, en nuestra prctica ser los puntos de
acceso que instalaremos en nuestra red.
Los puntos de acceso no realizan el papel de autenticador y su nica funcin es
encapsular los paquetes de tipo EAP en paquetes RADIUS. Esto nos proporciona una
ventaja importante:
**
Podremos ampliar la cobertura wifi de la manera mas
sencilla que es aadiendo nuevos puntos de acceso a nuestra infraestructura de red.
Por ello configuramos el punto de acceso que acte como los denominados
clientes del servidor Radius (Freeradius en nuestro caso).
Antes de configurar el punto de acceso, introduciremos los datos necesario en
el fichero de clientes (clients.conf) para definir el punto de acceso como cliente del
servidor Radius.
31
SERVIDOR RADIUS
3. Mode Security
4. Cipher Type
5. Radius Server
32
SERVIDOR RADIUS
6.
7.
8.
9.
Radius Port
Shared Key
Shared Key Confirm
Key Renewal
VUELTA AL INDICE
33
SERVIDOR RADIUS
CONFIGURACIN DEL
USUARIO
Una vez instalado LDAP, como hemos comentado en puntos anteriores, en este
punto desarrollaremos como configuraremos LDAP para nuestros propsitos, que es
el de usar LDAP para autenticar los usuarios de nuestro servidor RADIUS.
Para empezar configuramos LDAP, introduciendo el siguiente comando:
dpkg-reconfigure slapd
34
SERVIDOR RADIUS
35
SERVIDOR RADIUS
36
SERVIDOR RADIUS
37
SERVIDOR RADIUS
Proseguiremos con la configuracin para la adaptacin con el servidor Radius.
Para ello necesitaremos:
Crear la estructura que queremos para ldap, en un fichero llamado, por ejemplo,
base.ldif:
dn: ou=Usuarios,dc=iesjacaranda-brenes,dc=org
ou: Usuarios
objectclass: top
objectClass: organizationalUnit
dn: ou=Grupos,dc=iesjacaranda-brenes,dc=org
ou: Grupos
objectclass: top
objectClass: organizationalUnit
dn: ou=Equipos,dc=iesjacaranda-brenes,dc=org
ou: Equipos
objectclass: top
objectClass: organizationalUnit
dn: cn=profesores,ou=Grupos,dc=iesjacaranda-brenes,dc=org
objectClass: posixGroup
objectClass: top
cn: profesores
gidNumber: 2000
dn: cn=alumnos,ou=Grupos,dc=iesjacaranda-brenes,dc=org
objectClass: posixGroup
objectClass: top
cn: alumnos
gidNumber: 3000
38
SERVIDOR RADIUS
Lanzamos el fichero base.ldif con el siguiente comando:
ldapadd
base.ldif
-x
-D
cn=admin,dc=iesjacaranda-brenes,dc=org
-W -f
39
SERVIDOR RADIUS
Haremos una busqueda de los esquemas que existen en nuestro ldap, con el
siguiente comando:
ldapsearch -Q -LLL
cn=schema,cn=config dn
-Y
EXTERNAL
40
-H
ldapi:///
-b
SERVIDOR RADIUS
-n0
-H
Esto nos generar una serie de ficheros en out y un fichero en la ruta donde
estemos como vemos en la siguiente captura:
41
SERVIDOR RADIUS
Editamos el fichero:
nano cn\=radius.ldif
Y cambiamos:
dn: cn={0}radius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: {0}radius
Por:
dn: cn=radius,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: radius
Y al final del fichero eliminamos las siguientes lneas:
structuralObjectClass: olcSchemaConfig
entryUUID: 85d35afa-2992-1031-8f93-0d1d8c5b6386
creatorsName: cn=config
createTimestamp: 20120503173822Z
entryCSN: 20120503173822.097163Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20120503173822Z
Con el siguiente comando aadiremos el esquema a ldap:
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif
42
SERVIDOR RADIUS
-LLL
-Y
EXTERNAL
-H
ldapi:///
-b
SERVIDOR RADIUS
dn: uid=$usu,ou=Usuarios,dc=iesjacaranda-brenes,dc=org
uid: $usu
sn: $apellido1
cn: $usu"
objectClass: top
objectClass: person
objectClass: pilotPerson
objectClass: radiusprofile
userPassword: $clave1
***(la clave se generar aleatoriamente)
dialupAccess: $usu
radiusGroupName: alumnos
*** Una cosa importantsima a tener en cuenta, es que el fichero que le
pasemos al script que nos generar los usuarios no debe tener acentos pues ldap
no los admite.
Para los profesores sera la estructura la misma, en otro script, solo
cambiaramos radiusGroupName que indicara profesores.
Aqu os muestro una captura de usuarios aadidos con el script.
44
SERVIDOR RADIUS
VUELTA AL INDICE
45
SERVIDOR RADIUS
CERTIFICADOS
Para la obtencin automtica de los certificados hay varias maneras pero
nosotros en la prctica que estamos realizando usaremos un mtodo automatizado
para obtener los certificados necesarios en esta versin de freeradius.
Lo primero, es saber la localizacin de los ficheros que necesitaremos:
/usr/share/doc/freeradius/examples/certs
Aqu encontraremos los siguientes ficheros necesarios:
Lo que haremos ser modificar los tres ficheros (ca.cnf, client.cnf y server.cnf)
con los datos nuestros. Una vez modificados los ficheros correspondientes
lanzaremos el siguiente comando:
./bootstrap
El cual realizar una serie de procesos el cual dar como resultado una lista de
ficheros que sern los certificados generados.
01.pem
ca.key
ca.pem
server.crt
server.key
46
SERVIDOR RADIUS
47
SERVIDOR RADIUS
48
SERVIDOR RADIUS
49
SERVIDOR RADIUS
Ejecutamos el comando:
50
SERVIDOR RADIUS
Ya tenemos los ficheros generados, sino los tuviramos nos tendra que haber
indicado algn error (normalmente por una modificacin incorrecta de los ficheros
indicados) :
Una vez obtenidos, los ficheros necesarios los copiamos en la siguiente ruta, o
le hacemos un enlace simblico como los que aparecen en la captura (que son los que
se generan por defecto con sus correspondientes certificados):
/etc/freeradius/certs/
51
SERVIDOR RADIUS
MODO DEPURACIN
Si el servidor se instala, pero no corre adecuadamente se puede emplear el
modo depuracin (debug) para tratar de identificar el problema y corregirlo.
Al iniciar el servidor en modo depuracin, en pantalla se irn presentando los
mensajes de ejecucin, mediante los cuales se puede identificar posibles problemas
durante la ejecucin del servicio.
Para iniciar el servidor en modo depuracin en la consola de ejecucin, se debe
escribir el siguiente comando:
freeradius -X
Despus de la ejecucin de este comando se observar un poco de texto
impreso en la pantalla.
52
SERVIDOR RADIUS
53
SERVIDOR RADIUS
54
SERVIDOR RADIUS
55
SERVIDOR RADIUS
56
SERVIDOR RADIUS
57
SERVIDOR RADIUS
58
SERVIDOR RADIUS
59
SERVIDOR RADIUS
60
SERVIDOR RADIUS
61
SERVIDOR RADIUS
Si en la pantalla de depuracin del servidor aparece Ready to process
requests esto indica que est corriendo adecuadamente, para verificar su
funcionamiento se puede emplear el programa radtest.
RADTEST
Provee una forma simple y conveniente para enviar requerimientos a un
servidor RADIUS y analizar las respuestas a estos requerimientos.
Para ello debemos de escribir el siguiente comando:
radtest test test localhost 0 testing123
1 test
2 test
localhost
0
testing123
User-Name
User-Password
Ip del servidor
Nas-Port
password compartido entre radius y punto de acceso.
62
SERVIDOR RADIUS
cuando esta todo correcto pero no estas dentro del horario permitido.
cuando es aceptado.
Si quisiramos comprobar desde otro equipo (ya sea linux, windows) o mvil
(android) podremos visualizar los pasos a seguir en el manual de usuario.
SERVIDOR RADIUS
Access-AcceptEnviado por un servidor RADIUS en respuesta a
un mensaje de Access-Request. Informa que la conexin est autenticada y
autorizada y le enva la informacin de configuracin para comenzar a usar el
servicio.
Access-RejectEnviado por un servidor RADIUS en respuesta a
un mensaje de Access-Request. Este mensaje informa al cliente RADIUS que
el intento de conexin ha sido rechazado. Un servidor RADIUS enva este
mensaje ya sea porque las credenciales no son autnticas o por que el intento
de conexin no est autorizado.
Access-ChallengeEnvo de un servidor RADIUS en respuesta a
un mensaje de Access-Request. Este mensaje es un desafo para el cliente
RADIUS. Si este tipo de paquete es soportado, el servidor pide al cliente que
vuelva a enviar un paquete Access-Request para hacer la autenticacin. En
caso de que no sea soportado, se toma como un Access-Reject.
Accounting-RequestEnviado por un cliente RADIUS para
especificar informacin de cuenta para una conexin que fue aceptada.
Accounting-ResponseEnviado por un servidor RADIUS en
respuesta a un mensaje de Accounting-Request. Este mensaje reconoce el
procesamiento y recepcin exitosa de un mensaje de Accouting-Response.
VUELTA AL INDICE
64
SERVIDOR RADIUS
PROBLEMAS
1. El primer inconveniente, el cual solucionara muchos problemas con este
3. Algunos reflejan que han tenido problemas con la autenticacin con ldap en el
atributo password_attribute = userPassword, haca que no funcionara la
autenticacin. El problema era tan sencillo como indicar: password_attribute
= clearPassword. Por mi parte no he tenido problemas, me funcionan los dos.
SERVIDOR RADIUS
VUELTA AL INDICE
66
SERVIDOR RADIUS
FUTURO PRXIMO
Aunque RADIUS es el protocolo para AAA ms extendido, ya existe un nuevo
protocolo que est llamado a sustituir a RADIUS. Su nombre es DIAMETER, y
tambin proporciona manejo de errores y comunicacin entre dominios.
En verdad DIAMETER aparece porque la IETF (dedicada a crear la RFC de
radius) no permiti crear un nuevo cdigo mejorado, llamado RADIUS v.2 sin
haber publicado el primer estndar, con lo cual se le denomin DIAMETER.
DIAMETER
El concepto bsico del protocolo DIAMETER, cuyo desarrollo se ha basado en
el protocolo RADIUS, es de proporcionar un protocolo base que pueda ser extendido
para proporcionar servicios de autenticacin, autorizacin y auditora, a nuevas
tecnologas de acceso. DIAMETER est diseado para trabajar tanto de una manera
local como en un estado de alerta, sondeo y captura, que en ingls se le denomina
roaming de AAA, que le permite ofrecer servicios sumamente mviles, dinmicos,
flexibles y verstiles.
Mejora de RADIUS
El nombre es un juego de palabras respecto al protocolo RADIUS, su
predecesor (un dimetro es el doble del radio). Diameter no es directamente
compatible hacia atrs, pero proporciona un mtodo de actualizacin desde RADIUS.
Las principales diferencias son:
Usa protocolos de transportes fiables (TCP o SCTP, no UDP).
Usa seguridad a nivel de transporte (IPSEC o TLS).
Tiene compatibilidad transicional con RADIUS.
Tiene un espacio de direcciones mayor para AVPs (Attribute Value Pairs,
pares atributo-valor) e identificadores (32 bits en lugar de 8).
67
SERVIDOR RADIUS
Es un protocolo peer-to-peer en lugar de cliente-servidor: admite
mensajes iniciados por el servidor.
Pueden usarse modelos con y sin estado.
Tiene descubrimiento dinmico de peers (usando DNS SRV y NAPTR).
Tiene negociacin de capacidades.
Admite ACKs en el nivel de aplicacin, definiendo mtodos de fallo y
mquinas de estado (RFC 3539).
Tiene notificacin de errores.
Tiene mejor compatibilidad con roaming.
Es ms fcil de extender, pudiendo definirse nuevos comandos y
atributos.
Incluye una implementacin bsica de sesiones y control de usuarios.
En la ACTUALIDAD
Se considera que Diameter no va a sustituir a Radius en su puesto hegemnico,
porque simplemente cada uno est buscando su segmento.
VUELTA AL INDICE
68
SERVIDOR RADIUS
DETALLES TCNICOS
Una vez realizada la prctica me gustara resaltar algunos detalles de este
servidor el cual no me ha dejado sorprender de la infinidad de directivas y modulos
que tiene para sus funciones.
Cabe destacar:
1. Los sitios habilitados (site-available y enabled) que la estructura es
necesarias).
5. La perfecta jerarqua realizada a partir de la versin 2 (al menos en la
VUELTA AL INDICE
69
SERVIDOR RADIUS
VUELTA AL INDICE
70
SERVIDOR RADIUS
BIBLIOGRAFA
LIBRO:
libro RADIUS / AAA / 802.1X ed. Ra-Ma
71
SERVIDOR RADIUS
VUELTA AL INDICE
72