Для реализации функций радиус сервера в данном варианте было выбрано условно бесплатное творение под названием TecRadius в совместительстве с базами данных SQLite. Сей выбор был сделан благодаря совету ИИ гемини а также наличию графического интерфейса и совместимости с вин 10 у радиус сервера.
Итак, для начала качаем выше указаный софт ТУТ. Извекаем БД например на диск ц с названием папки (к примеру) C:\sql в которой должны образоваться файлы sqlite3.exe, sqlite3_analizer.exe, sqldiff.exe все они нужны для работы БД. Радиус пока не инсталируем.
Запускаем наш файлик sqlite3.exe из под командной строки (у меня получалось и просто тыкнув по нему) откроется страшное черное окошко с надписью запущеной софтины, в ней нужно указать саму базу данных, то есть их может быть не одна. А виполняется сие просто указав ее имя, например: tecradius.db дабы выше указаная база данных не удалилась при выключении программы или перезапуске ПК нужно выполнить команду:
.save tekradius.db (где после "сейв" указать имя созданой БД)
или можно указать полный путь, к примеру:
.save C:/sql/tecradius.db
Затем ее нужно открыть (не понятно почему, но иначе работатть отказалось):
.open tecradius.db
На этом с базой данных нечего не нужно делать, ну только сохранить еще разок для пущей уверености.
Инстал сам радиус сервер, а там по сути все интуитивно понятно. В вкладке Client указываем ип адреса и пароли для устройств которые будут коннектится к серверу, в вкладке Users указываем логины, пароли юзерей. После каждого изменения в клиентах нужно сохранять настройки и желательно перезапускать радиус серв. что осуществляется в вкладке Setting.
Для входу в linux використовуючи акаунти радіса потрібно:
sudo apt instal libpam-radius-auth встановлюємо тулзу
sudo nano /etc/pam_radius_auth.conf відкриваємо конфіг де закоментуємо всі непотрібні значення, і впишемо параметри радіуса
# server[:port] shared_secret timeout (s) source_ip vrf
192.168.n.n PASSWORD 5 тут "192.168.n.n" замінити на ІР радіус сервера, "PASSWORD" замінити на пароль радіуса, таймаут так і залишаємо
#127.0.0.1 secret 3
#other-server other-secret 5 192.168.1.10 vrf>
#[2001:0db8:85a3::4]:1812 other6-secret 3 [2001:0db8:85a3::3] vrf>
#other-other-server other-other-secret 5 0 vrf>
#
sudo nano /etc/pam.d/sshd редагуємо параметри для входу через ссш використовуючи радіус
ОБОВ'ЯЗКОВО додати рядок САМЕ НА ПОЧАТОК файлу
auth sufficient pam_radius_auth.so
sudo nano /etc/ssh/sshd_config редагуємо дозвіл використовувати радіус (можливо потрібно буде тільки один рядок розкоментувати)
PasswordAuthentication yes
UsePAM yes
sudo systemctl restart ssh перезавантажуємо ссш
Тепер необхідно створити користувачів без паролів (лінукс без вводу пароля не запусте в будь-якому випадку), з такими ж іменами, як і на радіус сервері
PS: можна це вважати як ще одна цеглинка в стіні безпеки користування)))
sudo useradd -m XXXX
sudo passwd -d XXXX
де ХХХХ замінюємо на імʼя користувачів, якщо необхідно що користувач мав права рут, то треба ще рядок
sudo usermod -aG sudo XXXX
По дефолту ввід вдбудеться без прав рут, тому потрібно буде ввести sudo -i або sudo su
Команда для перезапуска радиус сервера на проксмокс, когда добавили новых клиентов
sudo /etc/init.d/freeradius restart