Можно ли использовать сервер MySQL для аутентификации пользователей на VPN-сервере strongswan?

Мы установили и настроили strongswan VPN-сервер с аутентификацией по имени пользователя и паролю. Можно ли хранить учетные данные пользователей в MySQL бэкэнд и настроить strongswan для использования бэкенда для этой цели?

До сих пор я только что нашел плагин mysql для настройки и бэкэндов Xauth с использованием AAA, radius и т. Д. К сожалению, это не то, что нам нужно.

3 ответа

Для любого, кто сталкивается с этим, я использовал это превосходное руководство: https://www.cl.cam.ac.uk/~mas90/resources/strongswan чтобы выполнить базовую настройку, а затем настроить записи базы данных, как указано выше.

После этого я использую бесплатные сертификаты letsencrypt и CN="myvpnserver.mydomain.com" поэтому я поставил leftcert=myvpnserver.mydomain.com в моем ipsec.conf, Затем я добавил запись в таблицу идентификаторов mysql с типом '2' и данными 'myvpnserver.mydomain.com' (Для конвертации ввода данных необходимо использовать скрипт id2sql из strongswan). Затем я получил автоматически назначенный номер идентификатора для этой записи из базы данных моих идентификаторов и общий секретный идентификатор, как и предыдущая запись, чтобы сделать запись в shared_secret_identity следующим образом:

INSERT INTO shared_secret_identity (shared_secret, identity) VALUES ( id_of_user_logging_in_that_was_set_in_shared_secrets_database, automatically_assigned_id_number_for_myvpnser.mydomain.com_in_identities_database );

После этого это сработало.

Плагин sql предоставляет подробные сведения о конфигурации, а также учетные данные, хранящиеся в базе данных. Не требуется хранить все в базе данных, и данные могут быть объединены с данными других плагинов. Таким образом, можно использовать плагин Stroke для предоставления конфигурации из ipsec.conf и сертификаты от /etc/ipsec.d/ но определите имя пользователя и пароли, используемые для аутентификации EAP/XAuth в базе данных, а не в ipsec.secrets, Драйвер, предоставляемый плагином mysql, необходим плагину sql для доступа к базам данных MySQL.

Как упоминалось выше, вы можете игнорировать таблицы, которые предоставляют конфигурации, и вместо этого просто определить секреты и имена пользователей в shared_secrets а также identities таблицы, соответственно, и связанные с ними через shared_secret_identity Таблица. id2sql скрипт (не установлен, но встроен в scripts в папке сборки strongSwan) обеспечивает простой способ создания записей для identities Таблица.

Вот некоторые примеры данных SQL (более подробную информацию о типах можно найти здесь):

INSERT INTO identities (
  type, data
) VALUES ( /* type=ID_RFC822_ADDR, [email protected] */
  3, X'6361726f6c407374726f6e677377616e2e6f7267'
);

INSERT INTO shared_secrets (
  type, data
) VALUES ( /* type=SHARED_EAP/XAUTH, data=Ar3etTnp01qlpOgb */
  2, X'4172336574546e703031716c704f6762'
);

/* assumes the entries above are the first ones in their respective
 * tables, as their id column is auto_increment */
INSERT INTO shared_secret_identity (
  shared_secret, identity
) VALUES (
  1, 1 
);
# Configure StrongSwan + FreeRADIUS (MariaDB Backend) - CentOS7

# Install Require Packages :
[[email protected] ~]# yum install -y epel-release
[[email protected] ~]# yum update && yum install -y gcc gcc-c++ pam-devel zlib-devel systemd-devel openssl-devel
[[email protected] ~]# yum install -y freeradius freeradius-mysql freeradius-utils mariadb mariadb-server

# Download StrongSwan :
[[email protected] ~]# wget http://www.strongswan.org/download/strongswan-5.5.0.tar.gz
[[email protected] ~]# tar zvxf strongswan-5.5.tar.gz
[[email protected] ~]# cd strongswan-5.5.0

# Compile StrongSwan :
[[email protected] ~]# ./configure --prefix=/usr --sysconfdir=/etc/strongswan --localstatedir=/var --enable-unity --enable-xauth-eap --enable-eap-identity --enable-eap-md5 --enable-xauth-pam --enable-eap-tls --enable-eap-radius --enable-eap-mschapv2 --enable-dhcp --enable-systemd --enable-eap-dynamic --enable-openssl --enable-addrblock --enable-certexpire --enable-radattr --enable-swanctl --disable-gmp
[[email protected] ~]# make && make install

# Generate Certificates :
[[email protected] ~]# cd /etc/strongswan/ipsec.d/
[[email protected] ipsec.d]# ipsec pki --gen --type rsa --size 2048 --outform pem > private/strongswanKey.pem
[[email protected] ipsec.d]# ipsec pki --self --ca --lifetime 3650 --in private/strongswanKey.pem --type rsa --dn "C=Ir, O=IT, CN=StrongSwanVPN" --outform pem > cacerts/strongswanCert.pem

[[email protected] ipsec.d]# ipsec pki --gen --type rsa --size 2048 --outform pem > private/vpnHostKey.pem
[[email protected] ipsec.d]# chmod 600 private/vpnHostKey.pem

[[email protected] ipsec.d]# ipsec pki --pub --in private/vpnHostKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=Ir, O=IT, CN=StrongSwanVPN" --san 192.168.1.1 --flag serverAuth --outform pem > certs/vpnHostCert.pem

# Generate Client Certificate :
[[email protected] ipsec.d]# ipsec pki --gen --type rsa --size 2048 --outform pem > private/ClientKey.pem
[[email protected] ipsec.d]# chmod 600 private/ClientKey.pem
[[email protected] ipsec.d]# ipsec pki --pub --in private/ClientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=Ir, O=IT, CN=StrongSwanVPN" --outform pem > certs/ClientCert.pem

# Export CLIENT CERTIFICATE As a PKCS#12 File :
[[email protected] ipsec.d]# openssl pkcs12 -export -inkey private/ClientKey.pem -in certs/ClientCert.pem -name "Client's VPN Certificate" -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out Client.p12

# Configure StrongSwan :
[[email protected] ~]# vim /etc/strongswan/ipsec.conf
------------------------
config setup
   uniqueids=no

conn    standard_ikev2
        keyexchange=ikev2
        ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
        esp=aes256-sha256,3des-sha1,aes256-sha1!
        fragmentation=no
        rekey=no
        left=192.168.1.1
        leftsendcert=always
        leftfirewall=yes
        leftsubnet=0.0.0.0/0
        leftcert=vpnHostCert.pem
        right=%any
        rightauth=eap-radius
        rightsourceip=10.0.0.0/24
        eap_identity=%any
        dpdaction=clear
        auto=add
------------------------
[[email protected] ~]# vim /etc/strongswan/ipsec.secrets
: RSA vpnHostKey.pem

[[email protected] ~]# vim /etc/strongswan/strongswan.conf
------------------------
charon {
      load_modular = yes  
      compress = yes
         plugins {
            include strongswan.d/charon/*.conf
               eap-radius {
                    servers {
                        server-a {
                            accounting = yes
                            secret = 123456
                            address = 192.168.1.1
                            auth_port = 1812
                            acct_port = 1813
                        }
                    }
                }
        }

    include strongswan.d/*.conf
}
------------------------
[[email protected] ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

# start strongswan service :
[[email protected] ~]# systemctl start strongswan && systemctl enable strongswan

# Configure FreeRADIUS :
[[email protected] ~]# vim /etc/raddb/mods-available/sql
------------------------
database = "mysql"
driver = "rlm_sql_mysql"
server = "localhost"
port = 3306
login = "radius"
password = "radius-password"
radius_db = "radius"
read_clients = yes
------------------------

# Enable sql Module :
[[email protected] ~]# ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/sql

# Comment "files" and Uncomment "sql" :
[[email protected] ~]# vim /etc/raddb/sites-available/default

# Comment -> "files" and Uncomment -> "sql" :
[[email protected] ~]# vim /etc/raddb/sites-available/inner-tunnel

[[email protected] ~]# vim /etc/raddb/client.conf
------------------------
client 0.0.0.0 {
        secret          = 123456
        nas_type        = other
        shortname       = 0.0.0.0
        require_message_authenticator = no
}
------------------------
[[email protected] ~]# cat /etc/strongswan/ipsec.d/cacerts/strongswanCert.pem > /etc/raddb/certs/ca.pem
[[email protected] ~]# cat /etc/strongswan/ipsec.d/certs/vpnHostCert.pem > /etc/raddb/certs/server.pem
[[email protected] ~]# cat /etc/strongswan/ipsec.d/private/vpnHostKey.pem > /etc/raddb/certs/server.key
[[email protected] ~]# cat /etc/raddb/certs/server.key >> /etc/raddb/certs/server.pem

# start radiusd service :
[[email protected] ~]# systemctl start radiusd && systemctl enable radiusd

## Configure MariaDB :
[[email protected] ~]# systemctl start mariadb && systemctl enable mariadb
[[email protected] ~]# mysql_secure_installation

[[email protected] ~]# mysql -u root -p
Enter Password: ******

MariaDB> create database radius;
MariaDB> grant all privileges on radius.* to [email protected] identified by "radius-password";
MariaDB> flush privileges;
MariaDB> use radius;
MariaDB> source /etc/raddb/mods-config/sql/main/mysql/schema.sql;

# add username|password :
MariaDB> INSERT INTO radcheck (username,attribute,op,VALUE) VALUES ('ehsan','Cleartext-Password',':=','[email protected]');
MariaDB> INSERT INTO radcheck (username,attribute,op,VALUE) VALUES ('alireza','Cleartext-Password',':=','abc123');
Другие вопросы по тегам