Jeg har på min FreeNAS opsat en jail med freeradius og google authenticator som bruges når jeg vil have OTP beskyttelse af adgang til noget. Jeg har egentlig brugt http://www.supertechguy.com/help/security/freeradius-google-auth som udgangspunkt da den forklarer meget godt hvad der skal laves

Dette er gjort ved at installere flg. FreeNAS/BSD pakker:

• freeradius3
• pkg install pam_google_authenticator-20140826_1

I users filen er der lavet flg:

DEFAULT Group == "disabled", Auth-Type := Reject
 Reply-Message = "Your account has been disabled."
#
DEFAULT Auth-Type := pam

I /usr/local/etc/pam.d/radiusd er der indsat flg.

auth requisite /usr/local/lib/pam_google_authenticator.so forward_pass
auth required pam_unix.so try_first_pass debug

I min sites.d/default har jeg enabled “pam” modulet så vi rent faktisk spørger PAM for authentication.

Derefter er det bare at køre

google-authenticator -t --label="p7-radius"

Hvor label er den beskrivelse der kommer i OTP app’en så man kan kende forskel på sine OTP entries.

Nu kan man teste med radtest om authentication virker:

radtest <username> <password><otp> localhost 0 testing123

testing123 er password for at kunne snakke med radius, dette står og konfigureres i clients.conf