El plugin RADIUS se basa en un contenedor freeradius modificado.
La configuración predeterminada, cuando no se indican parámetros env, es:
- SECRET =
Notakey - PASSWORD =
notakey21
Esto significa que el servidor RADIUS aceptará a todos los usuarios que usen esa contraseña, sin necesidad de configurarlos por separado. La autenticación principal ocurre en el smartphone del usuario. El proceso de registro del smartphone sigue igual: puede definir los usuarios en el NAA, usar una base de datos externa como LDAP o Active Directory, o combinar ambas.
Configuración del plugin:
# Define image to load for this plugin
$ ntk cfg setc :plugins.radius.image "notakey/radius-all:latest"
Además, puede definir estos valores de entorno:
- SECRET: valor que debe definir en Authentication Proxy como
vpn_secret_out - PASSWORD: contraseña global
- U_PASSW: el valor predeterminado es true; si lo pone en false, se desactiva la contraseña global
- USERn: n>0; puede definir USER1, USER2, etc.; para esos usuarios debe definir también PASSW1, PASSW2
- PASSWn: n>0, contraseña de los usuarios añadidos. La contraseña global, aunque esté activada, no funcionará para los usuarios añadidos manualmente.
Ejemplo de cómo añadir dos usuarios manualmente:
# You can add as many users as you want, username should be the same as
# onboarded in the NAA. Onboarding password is different from this. You can
# leave it as is if you want to use here any username with psw "notakey21"
$ ntk cfg setc :plugins.radius.env.USER1 "John"
$ ntk cfg setc :plugins.radius.env.PASSW1 "Doe12"
$ ntk cfg setc :plugins.radius.env.USER2 "Bob"
$ ntk cfg setc :plugins.radius.env.PASSW2 "graCe3"
Cómo iniciar el plugin:
# First you have to download the image
$ ntk plugins update
==> Updating plugin radius
image: notakey/radius-all:latest pull finished
# Now you can start it
$ ntk plugins start
==> Validating plugin radius configuration
Checking software image...
required: notakey/radius-all:latest
==> Starting plugin radius instance
image: notakey/radius-all:latest
started fedf2243c5bf
Si el plugin se inicia correctamente, añada la configuración al Authentication Proxy:
# Authentication proxy will recognize Radius server by container's name
$ ntk cfg set :ap.vpn_radius_address "radius"
# Set your secret (Default is Notakey. In and out secret should be the same)
$ ntk cfg set :ap.vpn_secret_out "Notakey"
$ ntk cfg set :ap.vpn_secret_in "Notakey"
# Set Application Access ID as seen on Dashboard Application settings page
$ ntk cfg set :ap.vpn_access_id "c468f008-485b-b11c-aad9672fbae1"
Configure el Authentication Proxy para las peticiones entrantes y todo estará listo. Consulte la documentación del appliance y la guía paso a paso VPN 2FA con RADIUS.