CentOS5
IP:10.0.1.1
2、Radius服务器:用于radius客户端,同时做为域成员(加入AD域)
windows 2003加入域并启用internet验证服务。
IP:10.100.1.1
linux服务器的设置
下载pam_radius-1.3.17.tar.gz
tar -zxvf pam_radius-1.3.17.tar.gz
cd pam_radius-1.3.17
vi pam_radius_auth.conf
修改部分:
# server[:port] shared_secret timeout (s)
10.0.100.1 123456 1
#other-serverother-secret 3
make 得到pam_radius_auth.so文件
cp pam_radius_auth.so /lib/security/
mkdir /etc/raddb/ (如果没有的话)
cp pam_radius_auth.conf /etc/raddb/server
chown go-rwx root /etc/raddb
chown go-rwx root /etc/raddb/server
cp /etc/pam.d/sshd /etc/pam.d/sshd.backup
vi /etc/pam.d/sshd
将sshd文件中的内容替换为:
#%PAM-1.0
auth sufficient /lib/security/pam_radius_auth.so debug client_id=linux
auth sufficient pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_loginuid.so
Radius服务器的配置:
(Radius服务器环境:系统:windows2k3 加入域;软件:Internet验证服务)
一、打开radius服务器设置:
“开始--所有程序--管理工具--Internet验证服务”
二、新建Radius客户端:
右击“radius客户端”--“新建Radius客户端”--“好记的名称”输入:“ssh”--“客户端地址(IP或DNS)”处输入:“10.0.1.1”--下一步--“客户端-供应商”处选择:“RADIUS Standard”--“共享密钥”和“确认的密钥”处输入:“0123456789”--完成
三、新建远程访问策略:
右击“远程访问策略”--“新建远程访问策略”--“下一步”--单选“设置自定义访问策略”--“策略名称”处输入:“允许所有域用户ssh登录linux”--“下一步”--“添加”--在选择属性框中选择“Windows-Groups”--“添加”--“添加”--输入组名--“检查名称”--确定--确定--下一步--单选“授予远程访问权限”--下一步--“编辑配置文件”--“高级”选项卡--删除所有属性--添加属性“Service Type”--属性值选“login”--确定--关闭--确定--完成--然后再将此策略上移到最顶上
四、新建连接请求策略
右击“连接请求策略”--“新建连接请求策略”--下一步--选择“自定义策略”--“策略名”处输入“sshlogin”--下一步--添加--选择“Client-IP-Address”--添加--输入一个字或通配符“10.0.1.1”--下一步--下一步--完成
此时,ssh和Radius的配置已经完成了。
使用方法:(以test帐户为例)
1、在域控制器上新建AD帐户:test并设置密码,开启远程访问权限,其它为默认权限即可(此处就不细讲了)
2、使用root权限登录linux服务器10.0.1.1
3、在linux服务器上增加用户test.命令如下:useradd root。(不需要设置密码)
退出服务器。偿试以test帐户登录。输入AD帐户test的密码。
登录成功!
组网配置:pc+华为三层交换机+radius服务器(2003系统) 交换机配置如下:[Switch A]vlan 10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
[SwitchA]interface Vlan-interface 10
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 1/1
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
//802.1X本地认证自建域相关配置
[SwitchA]dot1x
[SwitchA]dot1x interface eth 0/1 to eth 0/10
[SwitchA]radius scheme radius1
[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645
[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646
[SwitchA]domain Huawei
[SwitchA-isp-huawei]radius-scheme radius1
[SwitchA]local-user test@huawei
[SwitchA-user-test@huawei]password simple test
[SwitchA-user-test@huawei]service-type lan-access
[SwitchA-user-test@huawei]state active
//802.1X RADIUS认证相关配置
[SwitchA]dot1x
[SwitchA]dot1x interface eth 0/1 to eth 0/10
[SwitchA]radius scheme radius1
[SwitchA-radius-radius1]primary authentication 192.168.0.100
[SwitchA-radius-radius1]primary accounting 192.168.0.100
[SwitchA-radius-radius1]key authentication test
[SwitchA-radius-radius1]key accounting test
[SwitchA-radius-radius1]user-name-format without-domain
[SwitchA]domain Huawei
[SwitchA-isp-huawei]radius-scheme radius1
求radius服务器的配置步骤,使得个人pc能用802.1x客户端登陆上,可发邮箱:
mindin123@126.com,本人初学者
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。其中审计也称为“记账”或“计费”。RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。
搭建Radius服务器的方法:
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营商所在地也可以得到服务,也可以实现虚拟运营。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安全。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)