RADIUS WiFi hitelesítés Google Suite használatával

Hálózatok egyéb

Sziasztok,

Adott egy Mikrotik alapú hálózat Unifi access pointokkal. Erre kellene nekem radius alapú hitelesítést varázsolnom. Alapvetően menne is, viszont az a kívánság, hogy lehetőleg google suite fiókok legyenek használhatóak hitelesítéshez. 
Találtam pár 3rd megoldást, mint pl a jumpcloud, de a kérdésem az, hogy ezt freeradiusba nem lehet közvetlenül, külső felek bevonása nélkül belevinni? 
A telephelyen fix ip-s internet, local server adott. 

  • 362 megtekintés

( vl v | 2021. 03. 26., p – 18:17 )

Ennek egyetlen egy olyan módja van, ami nem ordas nagy security hole: építesz egy weboldalt, ahova Google OAuth-tal azonosulva lehet regisztrálni, és ahol a user megadhatja külön, hogy mi legyen az AP authentikációs jelszava, abből NTLM hasht csinálsz és tárolod (mondjuk egy LDAP vagy SQL adatbázisban). A freeradius meg kiolvassa ezt, és az alapján azonosít. Az is működhet, hogy tanúsítványt generálsz a usernek, és azt kell letöltenie a kliensre, azzal azonosítja magát a kliens, bár ez kicsit macerásabb.

Minden olyan megoldás, hogy a Google user + pass legyen az, amivel authentikálja magát, az security szempontból annyira gáz, hogy az a Google nem akarja, ergó ha meg is tudnád valahogy csinálni, előbb-utóbb bezárják a kiskaput.

( slinky v | 2021. 03. 28., v – 12:05 )

Ill az enterprise csilllioert ad radiust.

( b10up | 2021. 04. 19., h – 11:51 )

Sziasztok,
na úgy néz ki, hogy részben el lett dobva ez a vonal, legalábbis átcsavarva. 

Van egy php alapú rendszerünk, sima php-s jelszó hashelővel tárolt jelszavakkal és nevekkel.

Az lett az elgondolás, hogy nem külső php-s hitelesítést erőszakolunk rá a radius szerverre közvetlenül, hanem sql-lel összepárosítjük. Ezt úgy tartanánk szinkronban, hogy ha jön egy olyan próbálkozás, ami nem létezik sql-ben, akkor php-vel kikérdezünk a backend felé, és ha tudjuk validálni az usert és a passt, akkor a freeradius alatti sql-t frissítjük vele.

SQL megy szépen, viszont a php-vel elakadok.

update control { 
             Auth-Type := `/usr/bin/php -q /var/www/html/radius_log.php %{User-Name} %{User-Password}`
        }

 

A fenti kóddal próbálkozok egyelőre csak annyira, hogy ha sql-en nem sikerül a hitelesítés, akkor ez a php fájl simán logolja nekem a jelszót, de az User-Password változó valamiért mindig üres marad.

Erre van valakinek ötlete, hogy miért lehet, illetve egyátalán cleartextben ki tudok-e gyepálni attemptet freeradius3.0-ból?

Gondolom default beállításokkal használod a klienst.

A Windows (meg szerintem az Android dettó) default beállításaival nem hajlandó clear text jelszót küldeni a Radius szerver számára, mert az kurvára nem biztonságos (szerintem se az).

Emiatt a User-Password mező nem lesz kitöltve. NT-Password van, abban van az NTLM hash.

a masik fele hogy az user megszemelyesiteseert kokemenyen seggbedughatnak, gyakorlatilag jelszo lopas es MITM.

Olyat tudsz esetleg, h walled-garden es SAML-al autholod az usert, ha meg megvan a saml assertion akkor megbizol benne es beengeded az usert.. - https://securityboulevard.com/2020/12/g-suite-freeradius-for-wifi-authe… pl

( slinky v | 2021. 04. 19., h – 21:21 )

Szerkesztve: 2021. 04. 19., h – 21:23

[dupla]