FREERADIUS验证配置手册

1、FREERADIUS验证配置手册1. FREERADIUS简介FREERADIUS是一套开源,免费的完全兼容RADIUS协议的RADIUS服务器/客户端软件,可以用它对用户的接入和访问特定的网络进行有效的控制,授权,计费等等,它支持多种验证,包括文件,LDAP,以及主流的支持SQL的数据库(ORACLE,MYSQL,DB2等等).我们可以使用FREERADIUS来搭建一个3A认证的服务器,下面对详细介绍如何配置FREERADIUS.2. FREERADIUS配置2.1 安装FREERADIUS首先从FREERADIUS的官方网站上下载最新的FREERADIUS的安装包,网址是:http:/ww

2、/press/index.html#1.1.5安装包一般被命名为freeradius-1.1.x.tar.gz,其中X是带表其版本号,根据不同的发布时间,其值将会有所不同,这里我们以freeradius-1.1.5的安装包为例.1 从官方网站上下载安装包至操作系统的某个目录下.2 执行gunzip freeradius-1.1.5 对安装包进行解压.此安装包变成了freeradius-1.1.5.tar.3 执行tar xzf freeradius-1.1.5.tar对其进行解包,将在本目录下生成一个freeradius-1.1.5的文件夹.4 进入此文件夹.

3、执行cd freeradius-1.1.5 并执行安装配置命令./configure.5 编译安装包.执行 make.6 安装radius . 执行 make install.至此,FREERADIUS的安装过程就已经结束了,如果你是严格安装以上的顺序进行安装的那么,FREERADIUS将被默认安装在/usr/local的目录下,其中,在/usr/local/etc/raddb的目录下存放的是FREERADIUS的配置文件,/usr/local/bin下面存放的是FREERADIUS的常用命令.另外,在FREERADIUS的安装包文件夹的DOC目录下存放有大量的关于FREERADIUS的说明文

4、档资料,有兴趣的话可以去看看.2.2 启动和停止RADIUS的服务1. 启动radius服务FREERADIUS的启动分为两种模式,一种是DEBUG模式,另一种是正常启动模式.其中前者用于观察RADIUS的运行情况,可以对验证请求的整个过程进行监测,从NAS发出验证请求到服务器回应验证的结果的这段时间内,服务器做了哪些事情,我们都可以通过DEBUG模式进行观察到.后者就是单纯的启动RADIUS的服务,一般在后台运行,等待并处理NAS发出的验证请求.要启动DEBUG模式,可以在系统终端下的命令行中执行:radius X 其中参数X代表以DUBUG模式启动.要正常启动,可以在系统终端下的命令行中执

5、行:radius.2. 停止radius服务在DEBUG模式下启动的RADIUS服务可以按键盘的CTRL+C来终止.正常启动的RADIUS服务可以按照以下步骤来终止:1. 执行 ps ef 来调出当前正在运行的所有进程,找到其中名为radiusd的进程,记住进程号.这里我们假设进程ID为1234.2. 执行kill -9 1234 来直接终止RADIUS的服务进程.2.3 配置RADIUS服务1. 配置NASLIST文件进入目录/usr/local/etc/raddb 运行vi naslist来进行编辑,添加:localhost local portslave2. 配置USR文件运行 vi u

6、sers 来进行编辑user文件,最尾端添加:“test” Auth-Type := Local,User-Password = “test”3. 配置RADIUSD.CONF文件运行 vi radius.conf 来编辑radiusd.conf文件.找到authorize部分,确认file块没有被注释Authorize files4. 配置CLIENTS.CONF文件运行vi clients.conf 来编辑 clients.conf文件,找到本地配置,修改为:client secret = testing123 shortname = localhost nastype

7、 = other5. 测试配置的结果 首先启动RADIUS服务,(DEBUG模式启动需要另开登录窗口进行测试).运行 radtest test test localhost 0 testing123如果radius返回Access-Accept的消息,则表示验证已经成功.否则,请检查以上的几个配置有没有配置正确.3. FREERADIUS + LDAP的验证配置3.1 LDAP的配置假设LDAP为OPENLDAP,并且已经安装完毕(关于LDAP的详细说明,可以参考LDAP的配置手册).我们假设LDAP的域名为dc=my-domain,dc=com.LDAP的slapd.conf文件中的配置如下

8、(省略了注释部分):include /usr/local/etc/openldap/schema/core.schemainclude /usr/local/etc/openldap/schema/openldap.schemapidfile /usr/local/var/run/slapd.pidargsfile /usr/local/var/run/slapd.argsaccess to dn.base="" by * readaccess to dn.base="cn=Subschema" by * readaccess to * by self

9、write by users read by anonymous authdatabase bdbsuffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"rootpw secretdirectory /usr/local/var/openldap-dataindex objectClass eqindex uid eq其中openldap.schema这个文件是在FREERADIUS安装包的doc/examples的目录下,我们首先应该将其拷贝到OPENLDAP的SCHEMA的

10、目录下,详细情况,请参考LDAP的配置手册.再向LDAP中添加一条记录用于验证,LDIF格式的文件如下ou=people,dc=my-domain,dc=comobjectClass=organizationUnitou=peopleuid=tom,ou=people,dc=my-domain,dc=comobjectClass=personuid=tomcn=tomuserPassword=12345678telephoneNumber=87654321将以上文件保存成一个LDIF文件,例如保存为test.ldif将test.ldif拷贝到/usr/local/bin的目录下,运行以下命令:

11、ldapadd x D f test.ldif cn=Manager,dc=my-domain,dc=com w secret如果命令执行成功则会出现以下提示:Adding “ou=people,dc=my-domain,dc=com” to directory.Adding “uid=tom,ou=people,dc=my-domain,dc=com” to directory.如果要查看其内容可以执行以下命令:ldapsearch x b dc=my-domain,dc=com (objectClass=*)屏幕将会打出刚才输入的内容.3.2 FREERADIUS的配置1. 配置radiu

12、sd.conf文件:找到authorize部分,将LDAP前的注释去掉,如下:authorize Preprocesschap.files.ldapauthenticate Auth-Type LDAP ldap eap全局部分的几个设定改成:log_auth = yeslog_auth_badpass = nolog_auth_goodpass = no再找到modules部分,配置为:Modules ldap server=00 (我们假设LDAP服务的IP地址是这个) port = 389 identity = "cn=Manager,dc=my-doma

13、in,dc=com" password = secret basedn = "dc=my-domain,dc=com" filter = "(uid=%Stripped-User-Name:-%User-Name)" start_tls = no ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 再找到main的模块,修改部分如下 main lower_user = yes lower_time = before 2. 配置USERS文件找到DEFAULT

14、 Auth-Type部分,改成:DEFAULT Auth-Type = ldap Fall-Through = 13. 启动radius服务radius X3.3 配置的验证重新打开一个SSH(或TELNET)登陆窗口登陆FREERADIUS所在的LINUX(或UNIX)操作系统,以管理员的身份登陆,在终端下运行以下命令:radtest tom 12345678 localhost 0 testing123 回车测试FREERADIUS的验证过程.如果验证成功,在执行命令的窗口将出现以下内容:Sending Access-Request of id 4 to port 18

15、12 User-Name = "tom" User-Password = "12345678" NAS-IP-Address = 55 NAS-Port = 0rad_recv: Access-Accept packet from host :1812, id=4, length=20在运行DEBUG模式的窗口下将出现以下内容:rad_recv: Access-Request packet from host :1024, id=4, length=59 User-Name = "t

16、om" User-Password = "12345678" NAS-IP-Address = 55 NAS-Port = 0 Processing the authorize section of radiusd.confmodcall: entering group authorize for request 0 modcallauthorize: module "preprocess" returns ok for request 0 modcallauthorize: module "chap&quo

17、t; returns noop for request 0 users: Matched entry DEFAULT at line 150 modcallauthorize: module "files" returns ok for request 0rlm_ldap: - authorizerlm_ldap: performing user authorization for tomradius_xlat: '(uid=tom)'radius_xlat: 'dc=my-domain,dc=com'rlm_ldap: ldap_get_c

18、onn: Checking Id: 0rlm_ldap: ldap_get_conn: Got Id: 0rlm_ldap: attempting LDAP reconnectionrlm_ldap: (re)connect to 00:389, authentication 0rlm_ldap: bind as cn=Manager,dc=my-domain,dc=com/secret to 00:389rlm_ldap: waiting for bind result .rlm_ldap: Bind was successfulrlm_ldap:

19、 performing search in dc=my-domain,dc=com, with filter (uid=tom)rlm_ldap: looking for check items in directory.rlm_ldap: looking for reply items in directory.rlm_ldap: user tom authorized to use remote accessrlm_ldap: ldap_release_conn: Release Id: 0 modcallauthorize: module "ldap" returns

20、 ok for request 0modcall: leaving group authorize (returns ok) for request 0 rad_check_password: Found Auth-Type ldapauth: type "LDAP" Processing the authenticate section of radiusd.confmodcall: entering group LDAP for request 0rlm_ldap: - authenticaterlm_ldap: login attempt by "tom&q

21、uot; with password "12345678"rlm_ldap: user DN: uid=tom,ou=admins,ou=radius,dc=my-domain,dc=comrlm_ldap: (re)connect to 00:389, authentication 1rlm_ldap: bind as uid=tom,ou=admins,ou=radius,dc=my-domain,dc=com/12345678 to 00:389rlm_ldap: waiting for bind result .rlm_ldap: Bind was successfulrlm_ldap: