Das RADIUS-Plugin basiert auf einem modifizierten freeradius-Container.
Ohne env-Parameter gilt die folgende Standardkonfiguration:
- SECRET =
Notakey - PASSWORD =
notakey21
Der RADIUS-Server akzeptiert damit alle Benutzer mit diesem Passwort. Sie müssen sie nicht einzeln konfigurieren. Die eigentliche Authentifizierung findet auf dem Smartphone des Benutzers statt. Die Registrierung des Smartphones läuft wie gewohnt ab: Sie können Benutzer in der NAA anlegen, eine externe Datenbank wie LDAP oder Active Directory verwenden, oder beides kombinieren.
Plugin-Konfiguration:
# Define image to load for this plugin
$ ntk cfg setc :plugins.radius.image "notakey/radius-all:latest"
Zusätzlich können Sie folgende Umgebungsvariablen definieren:
- SECRET: Wert, den Sie im Authentication Proxy als
vpn_secret_outeintragen müssen - PASSWORD: globales Passwort
- U_PASSW: Standard ist true; setzen Sie den Wert auf false, ist das globale Passwort deaktiviert
- USERn: n>0; Sie können USER1, USER2 usw. definieren; für diese Benutzer müssen Sie zusätzlich PASSW1, PASSW2 definieren
- PASSWn: n>0, Passwort für hinzugefügte Benutzer. Das globale Passwort gilt für manuell hinzugefügte Benutzer nicht, selbst wenn es aktiviert ist.
So fügen Sie manuell zwei Benutzer hinzu:
# You can add as many users as you want, username should be the same as
# onboarded in the NAA. Onboarding password is different from this. You can
# leave it as is if you want to use here any username with psw "notakey21"
$ ntk cfg setc :plugins.radius.env.USER1 "John"
$ ntk cfg setc :plugins.radius.env.PASSW1 "Doe12"
$ ntk cfg setc :plugins.radius.env.USER2 "Bob"
$ ntk cfg setc :plugins.radius.env.PASSW2 "graCe3"
So starten Sie das Plugin:
# First you have to download the image
$ ntk plugins update
==> Updating plugin radius
image: notakey/radius-all:latest pull finished
# Now you can start it
$ ntk plugins start
==> Validating plugin radius configuration
Checking software image...
required: notakey/radius-all:latest
==> Starting plugin radius instance
image: notakey/radius-all:latest
started fedf2243c5bf
Startet das Plugin erfolgreich, fügen Sie die Konfiguration zum Authentication Proxy hinzu:
# Authentication proxy will recognize Radius server by container's name
$ ntk cfg set :ap.vpn_radius_address "radius"
# Set your secret (Default is Notakey. In and out secret should be the same)
$ ntk cfg set :ap.vpn_secret_out "Notakey"
$ ntk cfg set :ap.vpn_secret_in "Notakey"
# Set Application Access ID as seen on Dashboard Application settings page
$ ntk cfg set :ap.vpn_access_id "c468f008-485b-b11c-aad9672fbae1"
Konfigurieren Sie abschließend den Authentication Proxy für eingehende Anfragen. Damit ist alles eingerichtet. Weitere Details finden Sie in der Appliance-Dokumentation und in der Schritt-für-Schritt-Anleitung VPN 2FA mit RADIUS.