Opsætning Freeradius med Google Auth

Jeg har på min FreeNAS opsat en jail med freeradius og google authenticator som bruges når jeg vil have OTP beskyttelse af adgang til noget. Jeg har egentlig brugt http://www.supertechguy.com/help/security/freeradius-google-auth som udgangspunkt da den forklarer meget godt hvad der skal laves

Dette er gjort ved at installere flg. FreeNAS/BSD pakker:

  • freeradius3
  • pkg install pam_google_authenticator-20140826_1

I users filen er der lavet flg:

DEFAULT Group == "disabled", Auth-Type := Reject
 Reply-Message = "Your account has been disabled."
#
DEFAULT Auth-Type := pam

I /usr/local/etc/pam.d/radiusd er der indsat flg.

auth requisite /usr/local/lib/pam_google_authenticator.so forward_pass
auth required pam_unix.so try_first_pass debug

I min sites.d/default har jeg enabled “pam” modulet så vi rent faktisk spørger PAM for authentication.

Derefter er det bare at køre

google-authenticator -t --label="p7-radius"

Hvor label er den beskrivelse der kommer i OTP app’en så man kan kende forskel på sine OTP entries.

Nu kan man teste med radtest om authentication virker:

radtest <username> <password><otp> localhost 0 testing123

testing123 er password for at kunne snakke med radius, dette står og konfigureres i clients.conf