Come utilizzare RADIUS con macOS Server?

1

Abbiamo un Mac Mini Server (macOS 10.12) con Server App (5.2) configurato (Open Directory e DNS Server Services attivi, la rete è su IP statico). Avevamo un Airport Extreme configurato dall'App Server, con Server che forniva l'autenticazione RADIUS.

Ora vorremmo aggiungere altre basi Airport Extreme alla rete per estenderne il raggio d'azione. Siamo già stati in grado di aggiungere un altro client RADIUS tramite Raggio strumento di amministrazione.

  1. Vorrei sapere che tipo di supporto RADIUS è fornito dall'app Server

  2. Poiché l'aggiunta di una seconda stazione base aeroportuale non funziona, suppongo che dovrò configurare un server RADIUS all'esterno dell'app server, probabilmente seguendo questo video: link ?

  3. Che cosa succede alla configurazione di Airport Basestation dell'app Server che avevo attivato per la prima basestation? Posso ancora configurare Servizi e mappare da App Server?

  4. Devo semplicemente mantenere attiva la Basestation in Server App, ma disattivare i requisiti di autenticazione tramite WiFi e configurare un server RADIUS separato?

  5. Per quanto riguarda i certificati: l'App del server ha già un certificato globale, posso usarlo invece di crearne uno nuovo?

  6. Il gruppo di accesso (che è menzionato nel video) sarà visibile nell'app Server?

Speriamo che qualcuno possa aiutarti.

Quando ho "sudo radiusconfig -getconfig" ottengo:

{
    clientcount = 2;
    configured = 1;
    "eap.conf" =     {
        "CA_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.chain.pem";
        cadir = "/Library/Server/radius/raddb/certs";
        certdir = "/Library/Server/radius/raddb/certs";
        "certificate_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.cert.pem";
        "check_cert_cn" = "%{User-Name}";
        "check_crl" = no;
        "dh_file" = "/Library/Server/radius/raddb/certs/dh";
        "fragment_size" = 1024;
        "include_length" = yes;
        "private_key_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.key.pem";
        "private_key_password" = "Apple:UseCertAdmin";
        "random_file" = "/Library/Server/radius/raddb/certs/random";
    };
    "radiusd.conf" =     {
        auth = no;
        "auth_badpass" = no;
        "auth_goodpass" = no;
        "cleanup_delay" = 5;
        confdir = "/Library/Server/radius/raddb";
        "exec_prefix" = "/Applications/Server.app/Contents/ServerRoot/usr";
        "hostname_lookups" = no;
        localstatedir = "/private/var";
        logdir = "/private/var/log/radius";
        "max_request_time" = 30;
        "max_requests" = 1024;
        prefix = "/Applications/Server.app/Contents/ServerRoot/usr";
        radacctdir = "/private/var/log/radius/radacct";
        raddbdir = "/Library/Server/radius/raddb";
        sbindir = "/Applications/Server.app/Contents/ServerRoot/usr/sbin";
        sysconfdir = "/Library/Server/radius";
    };
}

Quando ho "sudo radiusconfig -naslist" ottengo

sudo radiusconfig -naslist
client IP.xxx.xxx.xxx {
  secret = YYYYYYYYYY
  shortname = "Base Station 1"
  community =
  type = "AirPort Base Station"
  description =
};
client IP.xxx.xxx.xxx {
  secret = ZZZZZZZZZZ
  shortname = "Base Station 2"
  community =
  type = "Airport Base Station"
  description =
};
    
posta SEJU 26.09.2016 - 17:29
fonte

1 risposta

2

Dopo un po 'di lavoro ho funzionato. Ho seguito tutti i passaggi nel video meno gruppo di accesso. Immagino che il mio problema fosse legato alla cattura della nuova base, dopo aver superato la configurazione della seconda Basestation e riavviare tutto ora funziona! Ho corretto anche alcuni problemi relativi alla certificazione. Ho usato l'eccellente Raggio strumento di amministrazione per impostare l'alt corretto, un'impostazione errata potrebbe essere stata la causa dei miei problemi!

1) Mi piacerebbe sapere che tipo di supporto RADIUS fornisce l'App Server

Sembra fornire pieno supporto.

2) Poiché l'aggiunta di una seconda stazione base aeroportuale non funziona, suppongo che dovrò configurare un server RADIUS all'esterno dell'app server, probabilmente seguendo questo video: link ?

Ancora eccellente tutorial, leggermente obsoleto in macOS Sierra.

3) Che cosa succede alla configurazione Basestation Airport dell'applicazione Server che avevo attivato per il primo Basestation? Posso comunque configurare Servizi e mappare da App Server?

Funziona nel nostro caso

4) Devo semplicemente mantenere attiva la Basestation in Server App, ma disattivare i requisiti di autenticazione tramite WiFi e configurare un server RADIUS separato?

Funziona nel nostro caso. Non è necessario configurare nuovamente il Radiusserver. Il mio server Radius incompleto era probabilmente un problema correlato alla certificazione.

5) Per quanto riguarda i certificati: l'App del server ha già un certificato globale, posso usarlo invece di crearne uno nuovo?

Radius utilizzerà il certificato utilizzato nell'app Server. Ho usato l'eccellente Raggio strumento di amministrazione per configurarlo.

6) Il gruppo di accesso (che è menzionato nel video) sarà visibile nell'app Server?

Se scegli "mostra account di sistema" in Server > Visualizza, dovrebbe essere visualizzato. Ma non è necessario impostare un gruppo di accesso, poiché RADIUS utilizzerà Opendirectory.

Quindi tutto funziona ora. Come ho detto, ho appena ripreso i singoli passaggi, il problema che avevo era probabilmente correlato al certificato o ad un errore nella configurazione del client.

Ora devo solo capire come ottenere i registri RADIUS nella Console, dato che non appaiono in MacOS Sierra!

    
risposta data 27.09.2016 - 07:00
fonte

Leggi altre domande sui tag