TOUGHRADIUS 开源 RADIUS V6.1.0.1 发布

TOUGHRADIUS 开源 RADIUS V6.1.0.1 发布,第1张

TOUGHRADIUS 是一个开源的Radius服务软件,支持标准RADIUS协议(RFC 2865, RFC 2866),提供完整的AAA实现。支持灵活的策略管理,支持各种主流接入设备并轻松扩展,具备丰富的计费策略支持。

至 6.x 版本开始,基于Java语言重新开发。提供了一个高性能的 RADIUS 处理引擎,同时提供了一个简洁易用的 WEB管理界面,可以轻松上手。

TOUGHRADIUS 的功能类似于 freeRADIUS,但它使用起来更简单,更易于扩展开发。

生产环境高性能统计

RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是一种在网络接入设备和认证服务器之间承载认证、授权、计费(AAA)和配置信息的协议。RADIUS 协议是在认证、授权、计费方面应用最为广泛的协议之一具有以下特点:

客户端/服务器结构

采用共享密钥保证网络传输安全性

良好的可扩展性

认证机制灵活

RADIUS 协议承载于UDP 之上官方指定端口号为认证授权端口1812,计费端口1813。RADIUS 协议通过ISO标准定义,详情见《RFC2865》、《RFC2866》相关文档。

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

在传统的组网环境中,用户只要能接入局域网设备,就可以访问网络中的设备或资源,为加强网络资源的安全控制和运营管理,很多情况下需要对用户的访问进行控制。例如,在一些公共场合、小区或公司的网络接入点,提供接入服务的供应商希望只允许付费的合法用户接入,所以供应商为每个用户提供一个接入网络的账号和密码。另外,一些企业会提供一些内部关键资源给外部用户访问,并且希望经过有效认证的用户才可以 访问这些资源。 现有的802.1x和PPPoE等访问控制方式,都需要客户端的配合,并且只能在接入层对用户的访问进行控制。

Portal认证技术则提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。

一、目的

通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能:

1、ssh、telnet登录网络设备的账户统一在radius进行,方便定期修改密码、账户删减;

2、通过堡垒机登录设备能控制权限、资源,并且有操作记录,符合安全等报;

二、安装步骤

2.1 开源堡垒机Jumpserver安装

可以参考jumperserver官网安装步骤;

2.2、radius服务器安装

radius可以使用Windows的NPS(Network Policy Server )或者是freeradius。

本次使用Windows server 2008安装NPS

2.3 交换机配置

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa domain enable    ------>开启域名功能

Ruijie(config)#radius-server host  X..X.X.X------>配置radius IP

Ruijie(config)#radius-server key RADIUS      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login radius group radius local  ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication radius    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie  ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie        ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密,这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后,需要等待1小时才能再次尝试登入系统

注:锐捷交换机3760设备型号较老旧,使用ip domain-lookup

    2.2 ssh配置

    1)开启交换机的web服务功能

      Ruijie#configure terminal

      Ruijie(config)#enable service ssh-server

   2) 生成加密密钥:

      Ruijie(config)#crypto key generate dsa            ------>加密方式有两种:DSA和RSA,可以随意选择

      Choose the size of the key modulus in the range of 360 to 2048 for your

      Signature Keys. Choosing a key modulus greater than 512 may take

      a few minutes.

      How many bits in the modulus [512]:  1024               ------>输入1024直接敲回车

      % Generating 512 bit DSA keys ...[ok]

注:Jumpserver管理网络设备建议使用ssh方式,同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024

Freeradius是一套开源并且完全兼容radius协议的服务器/客户端软件,可以用它对有户的接入和访问特定的网络进行有效的认证、授权、计费功能,它支持多种验证方式,包括文件、LDAP、以及主流的支持 SQL 的数据库(ORACLE、MYSQL、DB2等 )。

Radius的基本工作原理如下:

用户接入NAS(网络接入服务器,做为Radius的客户端),NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。

更多关于freeradius的信息,请参考官方网站:http://www.freeradius.org/


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/478946.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-08
下一篇2023-06-08

发表评论

登录后才能评论

评论列表(0条)

    保存