centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器

1安装软件：

yum install freeradius freeradius-ldap freeradius-utils -y

2启动服务

systemctl start radiusd.service

3开机自动启动

systemctl enable radiusd.service

4修改配置文件 /etc/raddb/mods-available/ldap主要是ldap部分，其它都是默认

[root@10-57-22-55 mods-available]# cat /etc/raddb/mods-available/ldap | grep -v '#' | grep -v ^$

5在 mods-enabled/ 下执行ln 注意后面有点

6在 sites-available/ 下创建 site_ldap

[root@10-57-22-55 sites-available]# cat site_ldap

7在 sites-enabled/ 下执行ln 注意后面有点

重启服务器

systemctl restart radiusd.service

测试 命令如下

radtest user password localhost:1833 0 testing123

以下结果表示成功：Received Access-Accep（密码带特殊字符需要用‘’引号引起来）

以下为密码错误Received Access-Reject

radius服务器搭建参考 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器

服务器端配置： 增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。

CE交换机配置 （使用的是ce5855）

测试telnet（用户名需要带上域名）

去掉认证时的域名

【华为有两个默认域，就是 domain default 和domain default_admin。这两个域是不同的:

default域为接入用户（通过NAC进行认证的用户）的缺省域。

default_admin为管理员（通过HTTP，SSH，Telnet，Terminal或FTP方式登录设备的用户）的缺省域】

修改AAA命令把radius认证加到default_admin（不是default）

测试不加domain成功 (但是会导致本地认证的用户认证不过)

组网配置：pc+华为三层交换机+radius服务器（2003系统） 交换机配置如下：

[Switch A]vlan 10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 1/1

[SwitchA]interface Vlan-interface 100

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

//802.1X本地认证自建域相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

[SwitchA]local-user test@huawei

[SwitchA-user-test@huawei]password simple test

[SwitchA-user-test@huawei]service-type lan-access

[SwitchA-user-test@huawei]state active

//802.1X RADIUS认证相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 192.168.0.100

[SwitchA-radius-radius1]primary accounting 192.168.0.100

[SwitchA-radius-radius1]key authentication test

[SwitchA-radius-radius1]key accounting test

[SwitchA-radius-radius1]user-name-format without-domain

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

求radius服务器的配置步骤，使得个人pc能用802.1x客户端登陆上，可发邮箱：

mindin123@126.com,本人初学者

---