RADIUS é un protocollo AAA (authentication, authorization, accounting), standard
per l’autenticazione remota. É possibile configurare CentOS/RedHat, in particolare il servizio PAM, per permettere agli utenti di autenticarsi su un server remoto. In questa guida utilizzeremo il servizio di autenticazione cloud SecurePass. Possiamo usare questo servizio come alternativa all’autenticazione con LDAP che vediamo nei corsi RH134.
Dopo esserci iscritti ed aver fatto login nel pannello di controllo dobbiamo configurare il server che andrá a connettersi indicando IP della macchina remota, FQDN e una password condivisa, come indicato nello screenshoot.
Ora andiamo sulla macchina e installiamo il pacchetto necessario:
yum install -y pam_radius |
Ora andiamo a configurare il file /etc/pam_radius.conf indicando i server di autenticazione, la password condivisa e il tempo di timeout (3 secondi). RADIUS é un protocollo che lavora in UDP, per cui é particolarmente importante stabilire un tempo di timeout che non sia ne troppo lungo, ne troppo corto, altrimenti potremmo attendere all’infinito una risposta da un server che non risponde o, peggio, potremmo non dare abbastanza tempo al server di risponderci.
radius2.secure-pass.net mysharedsecret 3 radius1.secure-pass.net mysharedsecret 3 |
Adesso spostiamoci nella directory /etc/pam.d. Da qui possiamo editare qualsiasi servizio che utilizzi PAM per provare come prima cosa pam_radius. Prendiamo ad esempio il file /etc/pam.d/sshd e aggiungiamo questo come prima stringa:
auth sufficient pam_radius_auth.so |
Ora non ci rimane altro che riavviare il servizio sshd:
service sshd restart |
E provare a fare il primo login via ssh.
