motionpro登录方式如何选择radius

1、linux服务器：用于ssh登录，同时做为radius客户端。

CentOS5

IP：10.0.1.1

2、Radius服务器：用于radius客户端，同时做为域成员（加入AD域）

windows 2003加入域并启用internet验证服务。

　IP：10.100.1.1

linux服务器的设置

下载pam_radius-1.3.17.tar.gz

tar -zxvf pam_radius-1.3.17.tar.gz

cd pam_radius-1.3.17

vi pam_radius_auth.conf

修改部分：

# server[:port] shared_secret timeout (s)

10.0.100.1 123456 1

#other-serverother-secret 3

make 得到pam_radius_auth.so文件

cp pam_radius_auth.so /lib/security/

mkdir /etc/raddb/ (如果没有的话)

cp pam_radius_auth.conf /etc/raddb/server

chown go-rwx root /etc/raddb

chown go-rwx root /etc/raddb/server

cp /etc/pam.d/sshd /etc/pam.d/sshd.backup

vi /etc/pam.d/sshd

将sshd文件中的内容替换为：

#%PAM-1.0

auth sufficient /lib/security/pam_radius_auth.so debug client_id=linux

auth sufficient pam_stack.so service=system-auth

auth required pam_nologin.so

account required pam_stack.so service=system-auth

password required pam_stack.so service=system-auth

session required pam_stack.so service=system-auth

session required pam_loginuid.so

Radius服务器的配置：

（Radius服务器环境：系统：windows2k3 加入域；软件：Internet验证服务）

一、打开radius服务器设置：

“开始－－所有程序－－管理工具－－Internet验证服务”

二、新建Radius客户端：

右击“radius客户端”－－“新建Radius客户端”－－“好记的名称”输入：“ssh”--“客户端地址(IP或DNS)”处输入：“10.0.1.1”－－下一步－－“客户端-供应商”处选择：“RADIUS Standard”--“共享密钥”和“确认的密钥”处输入：“0123456789”--完成

三、新建远程访问策略：

右击“远程访问策略”－－“新建远程访问策略”－－“下一步”－－单选“设置自定义访问策略”－－“策略名称”处输入：“允许所有域用户ssh登录linux”--“下一步”－－“添加”－－在选择属性框中选择“Windows-Groups”--“添加”－－“添加”－－输入组名－－“检查名称”－－确定－－确定－－下一步－－单选“授予远程访问权限”－－下一步－－“编辑配置文件”－－“高级”选项卡－－删除所有属性－－添加属性“Service Type”--属性值选“login”--确定－－关闭－－确定－－完成－－然后再将此策略上移到最顶上

四、新建连接请求策略

右击“连接请求策略”－－“新建连接请求策略”－－下一步－－选择“自定义策略”－－“策略名”处输入“sshlogin”－－下一步－－添加－－选择“Client-IP-Address”－－添加－－输入一个字或通配符“10.0.1.1”－－下一步－－下一步－－完成

此时，ssh和Radius的配置已经完成了。

使用方法：（以test帐户为例）

1、在域控制器上新建AD帐户:test并设置密码，开启远程访问权限，其它为默认权限即可（此处就不细讲了）

2、使用root权限登录linux服务器10.0.1.1

3、在linux服务器上增加用户test.命令如下：useradd root。（不需要设置密码）

退出服务器。偿试以test帐户登录。输入AD帐户test的密码。

登录成功！

组网配置：pc+华为三层交换机+radius服务器（2003系统） 交换机配置如下：

[Switch A]vlan 10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 1/1

[SwitchA]interface Vlan-interface 100

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

//802.1X本地认证自建域相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

[SwitchA]local-user test@huawei

[SwitchA-user-test@huawei]password simple test

[SwitchA-user-test@huawei]service-type lan-access

[SwitchA-user-test@huawei]state active

//802.1X RADIUS认证相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 192.168.0.100

[SwitchA-radius-radius1]primary accounting 192.168.0.100

[SwitchA-radius-radius1]key authentication test

[SwitchA-radius-radius1]key accounting test

[SwitchA-radius-radius1]user-name-format without-domain

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

求radius服务器的配置步骤，使得个人pc能用802.1x客户端登陆上，可发邮箱：

mindin123@126.com,本人初学者

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

搭建Radius服务器的方法：

用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。

RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

---