apt-get install freeradius

Rozší
ená autentizace uživatel do zabezpeené bezdrátové sít Jakub Hargaš

Abstrakt: Tento dokument se zabývá rozší
enou autentizací žadatel o p
ipojení do zabezpeené bezdrátové sít pomocí autentizaního RADIUS serveru a dále pak jeho instalací, konfigurací, tvorbou certifikát, pokud je pot
eba. Taktéž je zde popsána konfigurace koncového klienta (žadatele) pro p
ipojení do sít. Klíová slova: autentizace, autentizátor, AP, RADIUS, FreeRADIUS, žadatel

1 Úvod.........................................................................................................................2 2 Autentizace pomocí standardu 802.1x.......................................................................2 2.1 Prvky 802.1x......................................................................................................2 2.2 Rámec pro autentizaci: EAP..............................................................................3 3 P
íklad konfigurace rozší
ené autentizace do bezdrátové sít ....................................3 3.1 Kompilace a instalace FreeRADIUS serveru......................................................3 3.2 Konfigurace FreeRADIUS severu......................................................................6 3.3 Tvorba certifikát..............................................................................................7 3.4 Nastavení autentizátora a žadatele......................................................................9 3.5 Analýza síového provozu ..............................................................................10 4 Závr a shrnutí.........................................................................................................11 5 Použitá literatura.....................................................................................................12

listopad 2010

1/12

1 Úvod Tento projekt se zabývá možnostmi rozší
ené autentizace koncového uživatele (žadatele) do zabezpeené bezdrátové sít pomocí standardu 802.1x. Dále se pak zabývá konkrétní p
ípadovou studií instalace, konfigurace a zprovoznní autentizaního serveru FreeRADIUS v prost
edí operaního systému Linux Debian (verze 5 - Lenny), stejn jako konfigurací p
ístupového bodu pro spolupráci s tímto autentizaním serverem. Dále pak zde není opomenuta ani ukázková konfigurace žadatele tak, aby se mohl do této bezdrátové sít p
ipojit.

2 Autentizace pomocí standardu 802.1x Standard IEEE 802.1x definuje
ízení p
ístupu k síti na základ otev
ených port pro zabezpeení sítí LAN. Tento standard má za cíl blokovat p
ístup neoprávnných uživatel k segmentu lokální sít. Autentizace je vzájemná a probíhá mezi uživatelem a autentizaním serverem (RADIUS). Využívá se zde dynamického generování klí, na uživatele a pro relaci. Dynamické klíe jsou známy pouze dané stanici, mají omezenou životnost a používají se k šifrování rámc na daném portu, dokud se stanice neodhlásí nebo neodpojí. Standard 802.1x je založený na EAP (Extensible Authentication Protocol), což je rámec pro autentizaci. Akoli se jedná o standard pvodn vytvo
ený pro sít LAN, byl p
izpsoben i pro použití v bezdrátových sítích založených na standardu 802.11.

2.1 Prvky 802.1x Autentizace pomocí 802.1x se úastní následující subjekty: PAE (Port Access Entity) – jednotka p
ístupu k portu Autentizátor
Žadatel
Autentizaní server



Schéma (obr. 1) zobrazuje tyto komponenty v bezdrátové síti:

Obr. 1: Složky autentizace 802.1x PAE (Port Access Entity) je protokolovou jednotkou, p
ilennou k portu, logickou jednotkou podporující standard 802.1x. Mže na sebe vzít roli autentizátora, žadatele nebo obou [1]. Autentizátor je v bezdrátové síti p
ístupový bod umožující samotnou autentizaci žadatele, p
eposílá komunikaci mezi žadatelem a autentizaním serverem k ov
ení p
ístupu do sít. Žadatel je klient, který se chce p
ipojit do sít a poskytuje své identifikaní údaje pro ov
ení autentizaním serverem. Autentizaní server (nejastji RADIUS) udržuje databázi ov
ených uživatel a p
i pokusu o p
ihlášení uživatele do sít provádí jeho ov
ení. listopad 2010

2/12

2.2 Rámec pro autentizaci: EAP EAP (Extensible Authentication Protocol) je rámcem pro autentizaci v 802.1x. Konkrétní autentizaní metoda pak tento rámec využívá. Komunikace probíhá prost
ednictvím zpráv, které jsou baleny p
ímo do linkových rámc, ne do IP paket. EAP podporuje p
es 30 autentizaních metod. Ne všechny jsou však kompatibilní se všemi klienty v síti a s autentizaním serverem zárove. Je tedy pot
eba vybrat takové autentizaní metody, kdy je pravdpodobnost nekonfliktnosti z hlediska kompatibility co nejvtší. Aby útoník nemohl vytvo
it falešný p
ístupový bod, ímž by sice nezískal p
ímý p
ístup do sít, ale mohl by odposlouchávat komunikaci klient, je pot
eba využít autentizace vzájemné, to znamená, že žadatel se musí autentizovat vi autentizanímu serveru, ale i samotný autentiza ní server se musí jednozna n autentizovat vi žadateli. Autentizace má tak tedy obvykle dv fáze. Nejprve klient zkontroluje certifikát serveru a vytvo
í šifrovaný tunel pomocí protokolu TLS. Poté, v druhé fázi, probhne samotná autentizace klienta vi serveru. Na tomto principu fungují metody EAP-PEAP a EAP-TTLS[2].

3 P
íklad konfigurace rozší
ené autentizace do bezdrátové sít V tomto ukázkovém zapojení je využito serveru pro autentizaci uživatel FreeRADIUS. Jako operaní systém žadatele budeme uvažovat Windows XP SP3, Windows Vista nebo Windows 7. Konkrétní autentizaní metoda je zde volena PEAP. Základní schéma takové sít je vyobrazeno na obrázku . 2.

Obr. 2: Základní schéma sít pro rozší
enou autentizaci

3.1 Kompilace a instalace FreeRADIUS serveru Instalace AAA serveru FreeRADIUS je velice variabilní. Zvolil jsem si tedy nainstalovat a nakonfigurovat FreeRADIUS server s podporou autentizaních metod PEAP a EAP-TLS a se základní databázi uživatel v souboru users. Nainstalovat a zprovoznit FreeRADIUS jsem se rozhodl v linuxové distribuci Debian ve verzi 5 (kódové oznaení „Lenny“). Instalace je sice ve své podstat jednoduchá (klasicky apt-get install freeradius), nicmén na základ licenních podmínek OpenSSL, které nejsou v souladu s Debianem, resp. dodržováním GPL, je nutno si zkompilovat balíky s podporou EAP-TLS a PEAP. Zanme tedy aktualizací dostupných balík, vytvo
ením závislostí vzhledem k programu FreeRADIUS a nainstalováním knihovny nezbytné k provozu OpenSSL. Je tedy nutno zadat postupn tyto p
íkazy: apt-get update apt-get build-dep freeradius apt-get install libssl-dev Dále je pot
eba stáhnout zdrojové kódy samotného programu FreeRADIUS, které upravíme pro podporu PEAP a EAP-TLS. Jako pracovní adresá
jsem si zvolil /usr/src/freeradius a stáhl jsem zdrojové kódy: mkdir /usr/src/freeradius && cd /usr/src/freeradius apt-get source freeradius

listopad 2010

3/12

Nyní, pokud je FreeRADIUS stažen (cca 3MB dat), mžeme provést pár zmn v pvodních nastaveních tak, aby bylo možno použít moduly EAP. K tomu je pot
eba nejprve editovat soubor control v adresá
i freradius-1.1.8/debian/. Zde p
idáme k
ádku Build-Depends podporu SSL pomocí knihovny libssl-dev. ádek Build-Depends by ml tedy vypadat takto nebo podobn: Build-Depends: debhelper (>= 4.2.32), dpatch (>= 2), autotools-dev, libtool (>= 1.5), libltdl3-dev, libpam0g-dev, libmysqlclient15-dev | libmysqlclient14-dev | libmysqlclient-dev, libgdbm-dev, libldap2-dev, libsasl2-dev, libiodbc2-dev, libkrb5-dev, libperl-dev, snmp, libsnmp9dev | libsnmp5-dev | libsnmp4.2-dev, libpq-dev | postgresql-dev, libssl-dev Dále jsem p
idal na konec souboru popis pro nov p
idané EAP moduly: Package: freeradius-eaptls Architecture: any Depends: freeradius (= ${binary:Version}), ${shlibs:Depends} Description: eap-tls module for FreeRADIUS server Debian will not provide a binary version of the rlm_eap_tls.so library. This module is required if you want to use EAP/TLS authentication, commonly used for Wi-Fi access points. Package: freeradius-eappeap Architecture: any Depends: freeradius (= ${binary:Version}), ${shlibs:Depends} Description: eap-peap module for FreeRADIUS server Debian will not provide a binary version of the rlm_eap_peap.so library. This module is required if you want to use EAP/PEAP authentication, commonly used for Wi-Fi access points. Dále jsem pak upravil soubor rules v adresá
i /usr/src/freeradius/freeradius-1.1.8/debian/. K
ádku modulepackages jsem p
idal parametry eap_peap a eap_tls, pak jsem pozmnil i
ádek buildssl. Finální nastavení parametr pro modulepackages a buildssl vypadá takto: modulepackages = krb5 ldap sql_mysql sql_iodbc eap_peap eap_tls buildssl= --without-rlm_otp --without-rlm_sql_postgresql --without-snmp Nyní bude dobré p
idat po-instalaní akce pro nov p
idaný eap/peap a eap/tls. V adresá
i /usr/ src/freeradius/freeradius-1.1.8/debian/ jsem tedy vytvo
il soubor freeradiuseappeap.postinst a vložil do nj tento kód: #! /bin/sh set -e case "$1" in configure) if [ -x "`which invoke-rc.d 2>/dev/null`" ]; then invoke-rc.d freeradius reload else /etc/init.d/freeradius reload fi ;; abort-upgrade) ;; listopad 2010

4/12

abort-remove) ;; abort-deconfigure) ;; esac #DEBHELPER# Podobn, v tomtéž adresá
i jsem vytvo
il soubor freeradius-eaptls.postinst a vložil do nj následující kód: #! /bin/sh set -e case "$1" in configure) if [ -x "`which invoke-rc.d 2>/dev/null`" ]; then invoke-rc.d freeradius restart else /etc/init.d/freeradius restart fi ;; abort-upgrade) ;; abort-remove) ;; abort-deconfigure) ;; esac #DEBHELPER# Nyní, po p
esunutí zpt do pracovního adresá
e jsem konen mohl celý balík zkompilovat tímto p
íkazem: dpkg-buildpackage Po zkompilování se objevilo v pracovním adresá
i nkolik instalaních *.deb balík. Nainstaloval jsem tedy tyto z nich a to následujícími p
íkazy: dpkg -i freeradius_1.1.8-0_i386.deb dpkg -i freeradius-eaptls_1.1.8-0_i386.deb dpkg -i freeradius-eappeap_1.1.8-0_i386.deb Zkontroloval jsem instalaci p
íkazem: ps aux | grep freeradius Proces bží, ili instalace a spuštní se zda
ila: freerad 4374 sbin/freeradius

0.0

0.4

46632

2360 ?

Ssl

15:28

0:00 /usr/

V opaném p
ípad je možno spustit FreeRADIUS v debug módu, a tak odhalit problém. Toto se provede parametrem -X: freeradius -X

listopad 2010

5/12

3.2 Konfigurace FreeRADIUS severu Nejprve je nutné upravit soubor /etc/freeradius/radiusd.conf a nastavit hodnoty u modulu mschap, který podporuje autentizaci MS-CHAP a MS-CHAPv2, které pozdji využijeme. Blok mschap v již zmínném souboru radiusd.conf musí mít nastaveny tyto parametry: mschap { authtype = MS-CHAP use_mppe = yes require_encryption = yes require_strong = yes } Následn v bloku authorize toho samého souboru je nutno zkontrolovat, aby byly neokomentovány následující položky: preprocess, mschap, suffix, eap, files. Blok authenticate stejného souboru musí být nakonfigurován takto: authenticate { # MSCHAP authentication. Auth-Type MS-CHAP { mschap } # Allow EAP authentication. eap } Když je kontrola a p
ípadná editace konfigurace radiusd.conf dokonena, mžeme p
idat do souboru clients.conf, který je umístn ve stejném adresá
i jako radiusd.conf, informaci o klientovi, v mém p
ípad se bude jednat o AP s IP adresou 192.168.1.1, které jsem použil k sestavení této pokusné sít. Do souboru clients.conf tedy mžeme p
idat
ádky: client 192.168.1.1 { secret = APtestheslo shortname = MyAP } Nyní, po zkonfigurování souboru clients.conf je vhodné upravit soubor eap.conf nacházející se ve stejném adresá
i jako p
edchozí editované soubory, tedy /etc/freeradius/. Upravení tohoto souboru zajistí serverovou podporu pro PEAP. Nejprve bude dobré upravit
ádek default_eap_type. Je t
eba zmnit, pokud je FreeRADIUS server ist nainstalován, tuto hodnotu ze základní md5 na peap. ádek tedy bude vypadat takto: default_eap_type = peap Ve stejném souboru (eap.conf), aby server znal cestu k certifikátm, je pot
eba odkomentovat blok tls a uvnit
odkomentovat také cesty k certifikátm. Uvnit
bloku tls musí být nezakomentované tyto položky a celý blok bude vypadat následovn: tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem certificate_file = ${raddbdir}/certs/cert-srv.pem CA_file = ${raddbdir}/certs/demoCA/cacert.pem dh_file = ${raddbdir}/certs/dh listopad 2010

6/12

random_file = ${raddbdir}/certs/random } Pozdji, po vytvo
ení certifikátu se upraví i cesty k samotn vzniklým novým certifikátm. V bloku peap, který je v základním nastavení celý zakomentovaný, je nutno odkomentovat následující parametr: default_eap_type = mschapv2 Nyní jsem pro otestování systému p
idal uživatele do souboru users v adresá
i /etc/freeradius/. P
idal jsem tyto
ádky se jménem, heslem uživatele a uvítací zprávou: "jakub" Cleartext-Password := "klientTestHeslo" Reply-Message = "Hello World!" Po následném restartu FreeRADIUS serveru p
íkazem /etc/init.d/freeradius restart je možno otestovat prozatímní úspšnost konfigurace p
íkazem v konzoli: radtest jakub klientTestHeslo localhost 0 testing123 V následném výpisu by se mly objevit tyto
ádky, pokud je server nastaven p
esn dle mého p
íkladu konfigurace popisované v p
edchozích odstavcích: Sending Access-Request of id 73 to 127.0.0.1 port 1812 User-Name = "jakub" User-Password = "klientTestHeslo" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, length=34 Reply-Message = "Hello World!"

id=73,

Pokud vše pracuje jak má, tedy, pokud po otestování FreeRADIUS serveru o nkolik
ádk výše popsaným postupem server bží, je dležité vytvo
it si vlastní certifikaní autoritu (CA) a také certifikáty pro koncová za
ízení, nebo certifikáty uložené v adresá
ích, na které odkazuje momentální nastavení bloku tls v souboru eap.conf, slouží pouze testovacím úelm. V následujících odstavcích instalaci a nastavení vhodných nástroj pro tyto úkony popíšu.

3.3 Tvorba certifikát Nejprve je nutno nainstalovat OpenSSL, pokud ješt není nainstalovaný a voliteln i PWGen – generátor hesel pro usnadnní práce p
i vymýšlení komplexních hesel: apt-get install openssl pwgen Po instalaci OpenSSL mžeme využít souboru openssl.cnf v adresá
i /etc/ssl/. Soubor je p
íkladem konfiguraního souboru pro požadavky výroby certifikát, a pro tyto pot
eby výborn postauje. Je vhodné si daný soubor nejprve nkde zálohovat, než se v nm provedou úpravy. Po otev
ení onoho souboru openssl.cnf je možno zmnit parametr umístní, kde chceme vytvo
it novou certifikaní autoritu. Pvodní hodnotu parametru: dir = ./demoCA jsem zmnil na:

listopad 2010

7/12

dir = /etc/freeradius/eap/eapCA P
ípadn lze v tomto souboru zmnit i dodatené údaje, jako stát, kraj, jméno organizace a další. Po fyzickém vytvo
ení adresá
e, jehož jméno jsem zvolil eap, dle nastavení v souboru openssl.cnf, je vhodná doba pro vytvo
ení certifikaní autority. K tomu je t
eba nejprve zkopírovat soubor CA.pl z adresá
e /usr/lib/ssl/misc/ do nov vytvo
eného adresá
e /etc/freeradius/eap. Následn tento p
ekopírovaný soubor upravit, konkrétn zmnit hodnotu parametru: CATOP="./demoCA"; na hodnotu umístní, kde se má vytvo
it certifikaní autorita, v mém p
ípad: CATOP="/etc/freeradius/eap/eapCA"; Certifika ní autorita je srdcem celé vytvo
ené certifikaní infrastruktury, proto je zde namíst použít co nejsilnjší heslo pro ochranu. Nyní využiji nainstalovaného programu PWGen pro vygenerování hesla. Budu chtít tedy vygenerovat jedno heslo o délce 32 znak. První
ádek je mnou vepsaný p
íkaz do konzole a druhý
ádek je již vygenerované heslo: pwgen 32 1 xefai6ohgh6ieth0aJaik5aebie5uriK Konen je možné spustit skript CA.pl s parametrem newca z adresá
e /etc/freeradius/eap, který vytvo
í certifikaní autoritu: ./CA.pl -newca Po spuštní skriptu je nutné odpovdt na všechny otázky a p
i žádosti o vložení hesla je pot
eba vložit ono nov vygenerované heslo, v mém p
ípad pomocí programu PWGen. Po skonení této procedury je nov vzniklá certifikaní autorita umístna v adresá
i /etc/freeradius/eap/eapCA. Dalším krokem je vytvo
ení certifikátu pro FreeRADIUS server a jeho podepsání nov vytvo
enou certifikaní autoritou. Nejprve tedy vytvo
ím serverový certifikát tímto p
íkazem: ./CA.pl -newreq -nodes Nyní, pokud bereme v potaz, že v síti se budou vyskytovat koncoví klienti i s operaním systémem Windows, je pot
eba ješt p
idat rozší
ení vyžadující si práv tento operaní systém od Microsoftu. Soubor s rozší
ením je distribuován s balíkem FreeRADIUS. Staí ho zkopírovat, soubor se jmenuje xpextensions, z adresá
e /usr/share/doc/freeradius/examples/xpxtensions do adresá
e /etc/freeradius/eap. Nyní využijme klíe naší certifika ní autority k podepsání žádosti o certifikát, vložením výše uvedeného vygenerovaného hesla p
i požádání: openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out / etc/freeradius/eap/newcert.pem -extensions xpserver_ext -extfile /etc/ freeradius/eap/xpextensions -infiles /etc/freeradius/eap/newreq.pem Nyní, když jsou všechny požadované certifikáty vygenerované, je pot
eba vygenerovat dh pro výmnu klí[3] a nastavit
ádnou cestu k vytvo
eným certifikátm. K vytvo
ení dh a náhodných soubor použijeme p
íkaz: openssl dhparam -check -text -5 512 -out dh dd if=/dev/urandom of=random count=2

listopad 2010

8/12

Pokud znovu otev
eme soubor eap.conf v adresá
i /etc/freeradius/, mžeme v bloku tls zmnit stávající cesty k certifikátm, urené jen pro pvodní testování, na správné cesty, kde používáme námi vytvo
ené certifikáty. Vnit
ek bloku tls bude tedy upraven takto: private_key_file = /etc/freeradius/eap/newkey.pem certificate_file = /etc/freeradius/eap/newcert.pem CA_file = /etc/freeradius/eap/eapCA/cacert.pem dh_file = /etc/freeradius/eap/dh random_file = /etc/freeradius/eap/random Dále ve stejném souboru jsem odkomentoval tyto parametry: fragment_size = 1024 include_length = yes Instalace a konfigurace autentizaního serveru FreeRADIUS je nyní kompletní, staí jej restartovat a certifikáty (/etc/freeradius/eap/eapCA/cacert.pem) zkopírovat ke koncovým klientm. Nyní staí dokonfigurovat AP pro funkci s FreeRADIUS serverem a koncové klienty, což ukážu dále.

3.4 Nastavení autentizátora a žadatele V tomto p
íkladu má autentizátor (AP) nastavenou IP adresu 192.168.1.1 a SSID TESTNET4 a je nastaven, co se týe bezpenosti bezdrátového datového p
enosu, tak, že využívá WPA2 a AES pro šifrování dat. Dležité je také nastavit AP tím zpsobem, aby komunikovalo s RADIUS serverem na portu 1812 (což je základní port pro autentizaní komunikaci protokolu RADIUS), který je využit v tomto p
íikladu. Dále je v AP nutné nastavit IP adresu RADIUS serveru (v tomto p
íklad 192.168.1.105) a heslo (shared secret) pro umožnní komunikace mezi autentizátorem a RADIUS serverem (shared secret má v tomto p
ípad hodnotu APtestheslo, tak jak je nastaveno v souboru /etc/freeradius/clients.conf). Pokud uvažujeme žadate o p
ipojení, že používá operaní systém Windows, konkrétn Windows XP SP3 a novjší, využijeme vyrobeného certifikátu z podkapitoly 3.3. Ve zdejším p
ípad se jedná o soubor cacert.pem, jehož p
íponu mžeme p
ejmenovat na crt, a tak se certifikát automaticky asociuje s Crypto Shell Extensions a konfigurace žadatele se provede takto: 1. Otev
eme soubor cacert.crt a v úvodním okn Certificate se zobrazí informace o tomto certifikátu. 2. Po kliknutí na tlaítko Install Certificate se spustí prvodce. 3. V okn prvodce s názvem Certificate Import Wizard je t
eba zaškrtnout volbu Place all certificates in the following store a jako Certificate Store: – úložišt certifikátu, vybrat Trusted Root Certification Authorities. 4. Po následném kliknutí na tlaítko Next se zobrazí okno se správou o úspšn nainstalovaném certifikátu. Nyní mžeme nakonfigurovat bezdrátovou sí žadatele tak, aby bylo možné se konen do ni p
ipojit: 1. Ve vlastnostech bezdrátové síové karty v záložce Wireless Networks je pot
eba poklepat na tlaítko Add.... 2. V nov otev
eném okn Wireless network properties v první záložce s názvem Association je t
eba zadat název sít (SSID), v mém p
ípad jsem zadal TESTNET4 a v panelu Wireless network key vybrat ze seznamu z nastavení Network Authentication volbu WPA2 (Enterprise) a jako šifrování (Data encryption) vybrat AES. 3. V záložce nastavující autentizaci: Authentication je t
eba vybrat jako volbu typu rámce EAP (EAP type) ze seznamu Protected EAP (PEAP). listopad 2010

9/12

4. V této samé záložce po kliknutí na Properties je dále nutno ze seznamu nainstalovaných certifikát zvolit náš, p
ed chvílí nainstalovaný certifikát a vybrat pro nj autentizaní metodu, v mém p
ípad se jednalo o výchozí Secured password (EAP-MSCHAP-v2). 5. Jelikož se mj nakonfigurovaný login a heslo pro 802.1x v lokální databázi FreeRADIUS sevreru (soubor /etc/freeradius/users) liší od jména uživatelského profilu a hesla ve Windows, bylo ješt nutné kliknout na tlaítko Configure ve stejném okn a nechat nezaškrtnutou volbu automatického použití p
ihlašovacího jména a hesla systému Windows (Automatically use my Windows logon name and password (and domain if any).). 6. Konfigurace žadatele je kompletní a p
i prvním pokusu o p
ipojení staí zadat p
ihlašovací jméno a heslo uložené v souboru users FreeRADIUS serveru v adresá
i /etc/freeradius.

3.5 Analýza síového provozu Ze strany žadatele bylo p
i autentizaci uživatele do sít zajímavé sledovat rámce EAP, kdežto ze strany autentizaního serveru FreeRADIUS to byly rámce protokolu RADIUS. Podrobnosti jsou zobrazeny ve výpisech programu Wireshark na obrázcích níže, kdy se uživatel úspšn autentizoval vi dané síti:

Obr. 3: Síový provoz z hlediska protokolu EAP p
i autentizaní metod PEAP na stran žadatele

listopad 2010

10/12

Obr. 4: Síový provoz z hlediska protokolu RADIUS p
i autentizaní metod PEAP na stran RADIUS serveru

4 Závr a shrnutí Práce si dala za cíl p
iblížit možnosti rozší
ené autentizace do zabezpeené bezdrátové sít prost
ednictvím autentizaního mechanismu EAP-PEAP. Vnovala se tak konfiguraci všech prvk v síti, které s touto rozší
enou autentizaní metodou bezprost
edn souvisejí. Práce se však hlavn vnovala podrobnému návodu konfigurace autentizaního serveru FreeRADIUS na modelovém p
ípad. Autentizaní server FreeRADIUS však nabízí mnohem komplexnjší možnosti konfigurace, které jsou popsány v dokumentaní sekci domovské stránky projektu[4]. Tato dokumentace posloužila i nyní, spolu s dokumentací distribuovanou p
ímo s balíkem freeradius v samotných konfiguraních souborech, ke konfiguraci a nastavení tohoto projektu.

listopad 2010

11/12

5 Použitá literatura [1] IEEE 802.11 Wireless LAN Security with Microsoft Windows . Microsoft® Windows Server® White Paper [online]. 2008. Dostupný z WWW: . [2] PUŽMANOVÁ, Rita. Bezpe
nost bezdrátové komunikace. Brno : CP Books, a.s., 2005. 184 s. str. 81. ISBN 80-251-0791-4. [3] RESCORLA, E. The Internet Engineering Task Force (IETF) [online]. 1999. RFC2631 - DiffieHellman Key Agreement Method. Dostupné z WWW: . [4] FreeRADIUS -- Documentation [online]. 2010. FreeRADIUS: The world's most popular RADIUS Server. Dostupné z WWW: .

listopad 2010

12/12