在Solaris9上安装freeRaduis的全部过程。并对安装后的目录进行介绍。列出安装过程出现的错误以及处理方法。
11月17日和西安3+公司的曹工谈起计费软件,城市热点的计费软件不错,但是是串接入网络,我个人不喜欢串接设备,除非是没有选择的时候,例如防火墙,
路由器等,希望找一个旁路计费软件。他推荐SUN的ACS。经过上网查找raduis资料,发现freeRadius就可以完成对校园网用户进行统一认
证。以下是我在学习radius和802.1X过程中的总结,希望对其他人有一些帮助。如果您发现在这篇文章中任何错误,可以通过电子邮件和我联系puma_soft@xaist.edu.cn。
1、RADIUS是什么?
Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的。它允许网络访问服务器(NAS)执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS业务是典型的client/server模型。RADIUS 协议的认证端口1812 计费端口1813。由于TCP是必须成功建立连接后才能进行数据传输,这种方式在有大量用户使用的情况下实时性不好,RADIUS承载在UDP上所以RADIUS要有重传机制和备用服务器机制.原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了。
、RADIUS是什么?
Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的。它允许网络访问服务器(NAS)执行对用户的验证、授权
和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS业务是典型的client/server模型。RADIUS 协议的认证端口1812 计费端口1813。
由于TCP是必须成功建立连接后才能进行数据传输,这种方式在有大量用户使用的情况下实时性不好,RADIUS承载在UDP上所以RADIUS要有重传机
制和备用服务器机制.原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了。
2、RADIUS可以做什么?
网路设备的用户集中管理,通俗的讲就是将网络设备的登录用户名和口令进行集中管理。
网络用户的认证管理:终端机器通过网络设备到RADIUS服务器进行认证,可以实现动态地址分配,IP、端口、VLAN以及交换机端口绑定,相
当于一个认证服务器。
基本记账功能:一个计费软件应该有的基本功能。
3、Radius验证方法
* 在端口上采用PAP验证
用户以明文的形式把用户名和他的密码传递给路由器,路由器把用户名和加密过的密码放到验证请求包的相应属性中,传递给RADIUS服务
器,根据RADIUS服务器的返回结果来决定是否允许用户上网。
* 在端口上采用CHAP验证
当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生
成一个response传给NAS。 NAS把传回来的CHAP ID和Response分别作为用户名和密码,并把原来的16字节随机码传给RADIUS服务器,RADIU根据
用户名在NAS端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password
作比较,如果相同表明验证通过,如果不相同,表明验证失败
4、安装freeRadius后的目录结构
/usr/local/etc/raddb 存放freeRadius的相关配置文件
radiusd.conf freeRadius服务器的配置文件
users 用户配置文件
/usr/local/sbin
5、radiusd.conf说明
prefix = /usr/local
exec_prefix = $
sysconfdir = $/etc
localstatedir = $/var
sbindir = $/sbin freeRaduis 服务器程序及相关应用程序目录 /usr/local/sbin
logdir = $/log/radius 日志文件目录 本例为/usr/local/var/log/raduis
raddbdir = $/raddb 配置文件目录,本例中为/usr/local/etc/raddb
radacctdir = $/radacct
5、users
说明:采用一次配置模式,但是可以使用
Auth-Type := LDAP - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
- authenticate against the
- password set in /etc/raddb/user
Auth-Type := System - authenticate against the system password file
- /etc/passwd or /etc/shadow
Auth-Type := Reject
Fall-Through变量来进行继续匹配
--------------------------------------------------------------------------------
6、常见错误
如果出现OpenSSL的错误:
.....
n file included from x99_rlm.c:54:
x99.h:26:42: openssl/des.h: No such file or directory
In file included from x99_rlm.c:54:
.....
处理方式:
确认已经安装gcc(gcc可以到www.sunfreeware.com下载)
在配置freeRadius时加入参数
#./configure --with-openssl-libraries=/usr/local/ssl/lib --with-openssl-includes=/usr/local/ssl/include
#make
#make install
7 词汇表
AAA(Authentication,Authorization,and Accounting):验证、授权和记账的简称。它提供了一个用来对验证、授权和记账这三种安全功
能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器,
具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。
验证(Authentication): 验证用户是否可以获得访问权可以选择使用RADIUS协议
授权(Authorization) : 授权用户可以使用哪些服务
记账(Accounting) : 记录用户使用网络资源的情况
RADIUS:Remote Authentication Dial-In User Service 的缩写,是AAA的实现协议之一。
NAS 网络访问服务器,也叫RADIUS客户机,通常是一个路由器、交换机或无线访问点。作用是转发用户请求到radius服务器。
RADIUS服务器,通常是在UNIX或Windows 2000服务器上运行的一个监护程序。例如freeRadius,ACS.
PAP ( Password Authentication Protocol ): 用户以明文的形式把用户名和他的密码传递给路由器,NAS根据用户名在NAS端查找本地数据
库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。
CHAP(Challenge Handshake Authentication Protocol):当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包
后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS, NAS根据用户名在NAS端查找本地数据库,得到和用户端进
行加密所用的一样的密码。然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明
验证失败。
轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)是一种开放标准,它定义了用于访问和更新类X.500 目录中信息的
一种方法。LDAP可用于将用户信息保存在一个中央场所,从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方
式维护和访问信息。
LDAP在一个集中的目录中管理用户,从而简化了用户管理工作。除了存储用户信息外,在LDAP中定义用户还可以使一些可选特性得到启用,例
如限制登录的数量。
ACS(Cisco Secure Access Control Server)
Cisco Secure Access Control Server (ACS)是一种集中式用户访问控制框架,可用于跨UNIX和Windows上多个Cisco设备的用户管理,并支
持Cisco 特有的协议TACACS+(据说在支持TACACS+的设备上可拥有更多的特性)。
8、参考资料:
freeRadius 免费的raduis服务器,地址:http://www.freeraduis.org
ACS SUN公司的raduis服务器,地址:http://www.sun.com.cn
构建一个RADIUS服务器 http://xxlinux.com/2005-6/2005630151633.htm
radius认证技术 http://www.xinli.com.cn/showPage.phtml?cID=70&oID=322
|