Pfsense Firewall – Captive Portal chứng thực với freeRADIUS quản lý bằng DaloRadius

Dịch vụ Captive Portal trên Pfsnese có thể sử dụng các phương thức chứng thực như local user và RADIUS với Domain User trên Windows. Ngoài ra chúng ta còn có thể triển khai dịch vụ Captive Portal chứng thực bằng freeRADIUS. Về bản chất, freeRADIUS hoạt động tương tự như RADIUS. FreeRADIUS là dịch vụ được phát triển trên nền tảng nguồn mở nên việc sử dụng cũng tương đối phức tạp hơn so với nền tảng Windows. Để đơn giản trong sử dụng người ta phát triển các ứng dụng quản lý cho freeRADIUS, trong bài này chúng ta sẽ làm quen với một ứng dụng như vậy đó là daloRadius.

DaloRadius là phần mềm được phát triển trên nền web php và mysql, bạn có thể tự cài đặt chúng bằng tay, tuy nhiên việc cài đặt hơi phức tạp nên trong bài này chúng ta sẽ sử dụng ừng dụng đã được cài đặt sẵn trên máy ảo. Bạn có thể tải về từ trang chủ của DolaRADIUS hoặc từ sourceforge.net.

Sau khi tải về bạn sẽ có một file nén, bạn giải nén ra sẽ có được các file cấu hình mẫu của máy ảo. Bạn có thể chạy file daloRADIUS VM.ovf, một máy ảo sẽ được tạo ra, bạn có thể chạy máy ảo này trên VMware Workstation, Virtual Box, VMware ESXi

Mô hính thực hiện như sau:

Sau khi import máy ảo daloRADIUS, bạn khởi động máy này lên và thiết lập IP cho máy ảo:

Sau khi ban thiết lập xong địa chỉ IP, bạn có thể kết nối đến máy ảo bằng giao diện web, username và password mặc định là admin. Bước này chứng thực của web service trên máy ảo daloRADIUS.

Tiếp theo, bạn sẽ vào giao diện quản lý của daloRADIUS với username administrator và password mặc định là radius. Bước này chứng thực để vào ứng dụng quản lý daloRADIUS.

Tiếp theo, bạn có thể thêm các user dùng để chứng thực người dùng thông qua freeRADIUS bằng cách vào Managerment > Users >New User

Bạn điền các thông tin user:

Tiếp theo, bạn đưa RADIUS client, chính là máy Pfsense, vào hệ thống quản lý của daloRADIUS, vào menu Managerment > Nas > New NAS. Bạn chú ý NAS Secret chính là key bạn sẽ phải điền trong mục RADIUS share secret trên Pfsense.

Sau khi tạo xong tài khoản và đưa máy Pfsense vào daloRADIUS, bạn sẽ cần khởi động máy ảo daloRADIUS mộ lần để đảm bảo dịch vụ sẽ chạy.

Tiếp theo, bạn tiến hành cấu hình Captive Portal trên máy Pfsense, viêc cấu hình này tương tự như bạn cấu hình chứng thực RADIUS trên Windows. Bạn vào Service > Captive Portal > nhấn nút Add để thêm Captive Portal Zone.

Tiếp theo, bạn bật zone này lên bằng cách chọn vào Enable Captive Portal, sau đó chọn interface áp dụng zone này.

Vẫn trong mục Captive Portal Configuration, bạn tiếp tục kéo đến dòng Concurrent user logins check vào ô Disabale Concurrent user logins để đảm bảo rằng mỗi user chỉ có thể login trên một máy. Nếu dùng lại user đã login thì máy login trước sẽ bị ngắt kết nối.

Tiếp theo, bạn kéo xuống mục Authentication, chọn vào ô RADIUS Authentication. Trong mục Primary Authentication Source bạn điền vào địa chỉ IP của RADIUS server và RADIUS share secret  bạn đã tạo khi Add máy Pfsense vào NAS (NAS Secret).

Để RADIUS sever có thể kiểm toán và report được client, bạn chọn vào ô Send RADIUS accounting packet to te primary RADIUS server trong mục Accounting

Sau khi cấu hình xong trên Pfsense, từ client bạn truy cập web sẽ được chuyển qua giao diện chứng thực của Captive Portal, bạn nhập vào Username và Password đã được tạo ở daloRADIUS để có thể tiếp tục truy cập web và sử dụng internet.

Như vậy là cơ bản bạn đã cấu hình xong Captive Portal chứng thực bằng freeRADIUS được quản lý trên daloRADIUS. Bạn có thể xem Video hướng dẩn chi tiết:

Để có thể theo dõi và xử lý các vấn đề trên các dịch vụ nền của máy ảo DaloRADIUS, bạn có thể kết nối đến http://[IP máy DaloRADIUS], ví dụ trong trường hợp ở bài viết này là http://192.168.100.251

User name root và Password daloradius là mặc định cho các dịch vụ Web shell, Webmin và  PHPMyAdmin.

Chia sẻ nào!

Related posts