FreeRadius配置与验证测试_v3.0

二．ian linux基于Pam_radius整合身份认证说明1.引言1.1.编写目的本文主要描述DTv3.0基于Pam配置Linux资源系统加入认证服务验证过程及相关实现。

本文的读者主要包括:技术支持人员现场实施人员售后服务人员项目开发人员备注：虽然本文中描述的整合过程是针对DTv3.0版本的，但对以后版本的DT平台产品也具有一定指导意义。

2.环境配置本部分主要是为了Pam_Radius整合提供运行环境，在网关部署的过程中，如本部分配置已经完成（通常Freeradius和Jradius均部署于网关中），可跳过本部分的阅读，直接进入Pam_Radius配置。

关于Freeradius和Jradius的安装过程将不在这里赘述（请参考其他文档），针对这两部分的配置在本部分进行详细的说明。

2.1. 搭建资源机环境略。

2.2. 搭建并运行DTv3.0环境略。

2.3. Freeradius安装及其配置2.3.1. 安装过程略。

2.3.2. 配置：2.3.2.1. 测试Freeradius安装：输入命令：Radtest [系统账号] [系统账号密码] localhost 0 testing123 下图为执行结果：如果最后一行出现Access-Accept则表示freeradius安装并启动成功。

2.3.2.2. 启动Freeradius并测试如果上小节通过Freeradius测试，请输入命令radiusd –X启动Freeradius服务并重新进行Freeradius测试；如果测试仍未通过，请重新安装Freeradius。

2.4. Jradius安装及其配置2.4.1. 安装过程略。

2.4.2. 配置2.4.2.1. 配置jradius.conf进入freeradius源码包中src/modules/rlm_jradius目录并拷贝jradius.conf文件到freeradius服务的安装目录中/usr/local/etc/raddb下。

freeradius最佳实践Freeradius最佳实践Freeradius是一个开源的RADIUS服务器，广泛应用于网络认证、授权和会计。

随着互联网的发展，网络安全问题变得越来越重要，对于企业而言，加强网络认证和授权是保障网络安全的必要措施之一。

因此，本文将从安装和配置、认证方式、授权策略、日志记录和安全防护等方面介绍Freeradius最佳实践。

一、安装和配置在安装Freeradius之前，需要安装依赖软件包。

安装完成之后，需要进行配置，主要包括radiusd.conf和clients.conf两个文件的配置。

其中，radiusd.conf文件用于配置服务器的全局设置，clients.conf文件用于配置允许访问服务器的客户端。

二、认证方式Freeradius支持多种认证方式，包括PAP、CHAP、MSCHAP和EAP等。

在实际应用中，可以根据实际需求选择不同的认证方式。

例如，PAP和CHAP适用于低安全级别的场景，而EAP适用于高安全级别的场景。

三、授权策略通过Freeradius可以实现精细化的授权策略，可以根据用户、客户端、时间、位置等多种因素进行授权管理。

例如，可以限制某个用户只能在某个时间段内访问特定的资源，或者限制某个客户端只能访问特定的服务器。

四、日志记录日志记录是保障网络安全的重要手段之一。

在Freeradius中，可以通过配置radiusd.conf文件，将日志记录到指定的文件中。

在实际应用中，应该根据实际需求选择不同的日志级别，例如DEBUG、INFO、WARNING和ERROR等。

五、安全防护在网络安全方面，Freeradius需要进行安全防护，避免受到攻击。

可以通过以下措施进行防护：1.对客户端进行身份认证，避免未经授权的客户端访问服务器。

2.对用户的密码进行加密存储，避免密码泄露。

3.限制访问频率，避免恶意攻击。

4.使用TLS进行加密通信，避免数据被窃取或篡改。

5.定期更新软件版本，避免漏洞被攻击。

linux下FreeRadius配置安装方法介绍linux操作系统-电脑资料freeradius一般用来进行账户认证管理，记账管理，常见的电信运营商的宽带账户，上网账户管理，记账，都是使用的radius服务器进行鉴权记账的,下面我们一起来看linux下FreeRadius配置安装FreeRadiusFreeRADIUS与OpenLDAP--成功篇安装相关程式yum install freeradius2 freeradius2-utils freeradius2-ldap启用伺服器的LDAP Client端，请参考另一文件请先测试本机user，启用steve来测试（记得测试玩要加回#）vi /etc/raddb/usersteve Cleartext-Password := "testing"Service-Type = Framed-User,service radiusd restartradtest steve testing localhost 0 testing123正确会显示rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=247, length=26另外，启用某一网段认证vi /etc/raddb/clients.confclient 163.32.x.0/24 {secret = testing123shortname = schoolAP}编辑freeradius有关ldap的设定档vi /etc/raddb/modules/ldapserver = ".tw"identity = "cn=Manager,dc=do,dc=kh,dc=edu,dc=tw"password = pswd管理者密码dobasedn = "ou=user,ou=login,dc=do,dc=kh,dc=edu,dc=tw" vi /etc/raddb/sites-enabled/defaultauthorize {...# filesldap...}还有authenticate {...Auth-Type LDAP {ldap}...}service radiusd restart测试指令启用前测试radiusd -X测试本机帐号，测试后请关闭radtest steve testing localhost 0 testing123测试某一网段radtest ldapUser ldapPasswd 163.32.xxx.78 0 testing123。

Guest VLAN【背景描述】用户在通过802.1x 认证之前属于一个VLAN，这个VLAN就是GUEST VLAN。

没有通过认证的客户端计算机处于GUEST VLAN中，它们只能访问到GUEST VLAN服务器的资源，认证成功后，端口离开Guest VLAN，用户可以访问其特定的网络资源。

在上面的例子里连接端口1的计算机通过认证以后，端口1被交换机自动地添加到VLAN10里面，这个时候客户端计算机可以访问服务器2中的资源。

而客户端2和客户端3没有通过认证，只能继续留在Guest VLAN中，只可以访问服务器1的资源，而不能访问服务器2的资源。

需要注意的是：Guest vlan 仅支持基于端口的802.1X协议，不支持基于MAC地址的802.1 X协议。

【实验拓扑】将交换机的第1-12端口划分到V10中，将V10设置为GUEST VLAN，并且将1-8端口设置为需要进行认证的端口。

把交换机的第13-24端口设置为V20中的端口。

通过实验达到如下效果：将PC1接入到交换机1-8端口的任何一个，通过认证服务器的认证以后，PC 1所连接的端口被交换机自动的添加到V20里面，并且PC1和PC2可以互相通信。

拓扑说明：认证服务器IP:192.168.0.10交换机IP：192.168.0.250认证计算机IP:192.168.0.101V20中计算机IP：192.168.0.100橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口【实验设备】DGS-3627交换机1台，测试PC 3台，网线若干。

【实验步骤】把交换机的控制口和PC的串口相连，通过超级终端进入交换机的配置界面，如下图。

我们通过PC的“开始→程序→附件→通讯→超级终端”，进入超级终端界面。

将每秒位数设置为：115200 ，数据位：8 ，奇偶校验：无，停止位：1，数据流控制：硬件。

CentOS7部署FreeRadius3.0及WEB管理界⾯DaloRadius CentOS7部署FreeRadius3.0及WEB管理界⾯DaloRadius RADIUS （Remote Authentication and Dial-In User Service）是⽤于拨号⽤户接⼊认证及服务请求认证的⽹络协议和软件。

RADIUS会提供中⼼式认证、签权和计费（AAA）服务，⽤于管理接⼊⽤户使⽤⽹络资源。

RADIUS允许使⽤集中式数据库来保存所有⽤户的配置信息，以供所有⽤户共享使⽤。

RADIUS 常常被 ISP （互联⽹服务提供商）⽤于管理互联⽹⽤户接⼊。

FreeRADIUS 是⼀款免费开源RADIUS服务软件。

由于 freeRADIUS 并不具有原⽣的web界⾯，使⽤起来相对⿇烦，但是我们可以采⽤许多第三⽅web界⾯来管理和使⽤ freeRADIUS。

DaloRADIUS便是⼀款功能强⼤且易于使⽤的RADIUS web界⾯，主要⽤于提供运营级热点及接⼊管理，daloRADIUS 使⽤PHP语⾔开发，并且⽀持多种数据库系统。

⼀、 系统说明IP地址12.172.1.12/24操作系统CentOS 7.7 1909FreeRadius版本v 3.0DaloRadius版本v 1.0⼆、 CentOS系统组件安装、更新与设置 2.1 防⽕墙设置systemctl stop firewalld //关闭防⽕墙systemctl disable firewalld //关闭防⽕墙⾃启 2.2 Selinux设置sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config //关闭Selinuxsestatus //查询Selinux状态（需重启后查询） 2.3 组件安装yum install -y net-tools //安装Ifconfig⼯具yum install bash-completion -y //安装命令补全⼯具yum -y install lrzsz //安装⽂件管理⼯具yum install -y wget unzip //安装unzipyum install -y epel-release //安装EPEL软件库yum makecache fast //重置软件库缓存信息　 2.4 更新系统及源码库yum -y update && yum -y upgrade三、 安装配置数据库 3.1 安装MariaDB数据库yum install -y mariadb-server mariadb //安装MariaDB数据库systemctl start mariadb //启动MariaDBsystemctl enable mariadb //设置开机⾃启动mysql_secure_installation //SQL⾃动配置（除设置密码，其余都回车） 3.2 配置MariaDB数据库mysql -u root -p //登录数据库MariaDB [(none)]> create database radius; 创建数据库radiusMariaDB [(none)]> grant all on radius.* to radius@localhost identified by '123abc'; //设置radius⽤户名密码及权限MariaDB [(none)]> flush privileges; //刷新权限MariaDB [(none)]> exit //退出四、 安装Apache Web服务器及PHP DaloRadius是PHP开发的Web应⽤，需要安装Apach Web服务器和PHP 4.1 安装Apache Web服务器yum install -y httpd //安装httpd服务systemctl enable httpd //设置开机⾃启动systemctl start httpd //开启httpd服务 4.2 安装PHP及相关软件包yum install -y php php-mysql php-pear php-devel php-common php-gd php-mbstring php-mcrypt php-xml php-pear-DB //安装PHP及软件包systemctl restart httpd //安装完成后重启hApache Web服务以使PHP⽣效五、 安装配置FreeRadius 5.1 安装FreeRadiusyum install -y freeradius freeradius-utils freeradius-mysql //安装FreeRadius及组件systemctl start radiusd.service //启动radius服务systemctl enable radiusd.service //设置radius服务开机⾃启动firewall-cmd --permanent --add-service=radius //设置防⽕墙允许radius服务（本⽂前⾯已禁⽌防⽕墙⾃启动，可不运⾏此命令）firewall-cmd --reload //重启防⽕墙 5.2 配置FreeRadius连接MariaDB数据库mysql -u root -p radius < /etc/raddb/mods-config/sql/main/mysql/schema.sql //创建FreeRadius在数据库中的数据表 5.3 修改FreeRadius配置⽂件vi /etc/raddb/mods-available/sql //使⽤VI编辑器修改配置⽂件chgrp -h radiusd /etc/raddb/mods-available/sql //配置⽂件权限systemctl restart radiusd.service //重启radius服务修改内容如下：六、 安装DaloRadius 6.1 下载DaloRadius源代码并解压后将⽂件夹移动到Apache Web服务器⼯作⽬录wget https:///lirantal/daloradius/archive/master.zip //从Github上获取并下载源代码unzip master.zip //解压rm -f master.zipmv daloradius-master/ /var/www/html/daloradius //移动⽂件夹 6.2 设置DaloRadius⽬录权限及属主信息chown -R apache:apache /var/www/html/daloradiuschmod -R 664 /var/www/html/daloradius/library/daloradius.conf.php　6.3 打开防⽕墙HTTP服务firewall-cmd --permanent --add-service=http //打开防⽕墙http服务（本⽂中已关闭防⽕墙，不必运⾏此命令）firewall-cmd --reload //重启防⽕墙 6.4 在MariaDB中创建DaloRadius数据对象mysql -u root -p radius < /var/www/html/daloradius/contrib/db/fr2-mysql-daloradius-and-freeradius.sql //导⼊SQL脚本mysql -u root -p radius < /var/www/html/daloradius/contrib/db/mysql-daloradius.sql //导⼊SQL脚本 6.5 修改DaloRadius配置⽂件vi /var/www/html/daloradius/library/daloradius.conf.php //使⽤VI编辑器修改DaloRadius配置⽂件七、 测试连接 7.1 浏览器访问：http://12.172.1.12/daloradius 7.2 登录系统（默认⽤户名：administrator 密码：radius）========== End。

Centos 6.5上编译安装freeradius3.0.10平台：Centos 6.5 x86_641，安装源并更新Rpm -Uvh/pub/epel/6/x86_64/epel-RELEASE-6-8.noarch.rpmrpm -Uvh /enterprise/remi-RELEASE-6.rpmyum UPDATE -y2，安装相关库yum -y install wget expat-devel gcc make gmp-devel gmp pkgconfig perl libpcap gcc-c++ logrotate tar cpio gawk flex bison bison-devel lsof libpcap-devel patch openssl openssl-devel libgcrypt* crypt* autoconf automake libtasn1-devel zlib zlib-devel trousers trousers-devel texinfo libnl-devel libnl dbus dbus-devel ncurses-devel readline-devel libtool-ltdl libtalloc* hiredis* redhat-lsb python mysql-devel3，安装Mysql和Apacheyum --enablerepo=remi -y install mysql mysql-server mysql-devel httpd httpd-devel chkconfig httpd onchkconfig mysqld onservice mysqld startmysql_secure_installationmysql -u root -p 输入密码创建你需要的数据库4，安装phpyum --enablerepo=remi install -y php php-mysql php-common php-devel php-gd php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-bcmath php-mhash php-snmp php-process libmcrypt libmcrypt-develwget /cont/download/ioncube_loaders_lin_x86-64.tar.gz tar zxvf ioncube_loaders_lin_x86-64.tar.gzcp -rf ioncube /usr/local/sed -i 's/post_max_size = 8M/post_max_size = 50M/g' /etc/php.inised -i 's/upload_max_filesize = 2M/upload_max_filesize = 50M/g' /etc/php.inised -i 's/;date.timezone =/date.timezone = PRC/g' /etc/php.inised -i 's/; cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g' /etc/php.inised -i 's/max_execution_time = 30/max_execution_time = 300/g' /etc/php.inised -i 's/disable_functions =.*/disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_ge t_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepas sthru,stream_socket_server/g' /etc/php.iniecho "zend_extension=/usr/local/ioncube/ioncube_loader_lin_5.4.so">> /etc/php.iniwget /pub/Releases/3.2.0/xcache-3.2.0.tar.gztar -zxvf xcache-3.2.0.tar.gzcd xcache-3.2.0phpize --cleanphpize./configure --enable-xcachemake && make installcat xcache.ini >> /etc/php.iniservice httpd restart5，编译安装freeradiuswget ftp:///pub/freeradius/freeradius-server-3.0.10.tar.gztar zxvf freeradius-server-3.0.10.tar.gzcd freeradius-server-3.0.10./configure --with-modules=rlm_sql_mysql (各种WARNING，没有ERROR) make && make install6，测试调试模式命令：radiusd -X提示Refusing to start with libssl version OpenSSL 1.0.1evi /usr/local/etc/raddb/radiusd.conf找到allow_vulnerable_openssl = no,修改成allow_vulnerable_openssl = yes 再次启动radiusd -X新打开一个终端vi /usr/local/etc/raddb/users找到这一行#steve Cleartext-Password:="testing"将前面的#去掉radtest steve testing localhost 0 testing123radtest 17000001111 111111 localhost 0 testing123获得结果：Sent Access-Request Id 41 from 0.0.0.0:35117 to 127.0.0.1:1812 length 75 User-Name = "steve"User-Password = "testing"NAS-IP-Address = 106.185.45.18NAS-Port = 0Message-Authenticator = 0x00Cleartext-Password = "testing"Received Access-Accept Id 41 from 127.0.0.1:1812 to 0.0.0.0:0 length 20accept！貌似成了，玩去吧 ^_^还有一种简单的yum安装添加源：cd /etc/yum.repos.d/wget/repositories/home:freeradius:3.0.x:centos/CentOS_C entOS-6/home:freeradius:3.0.x:centos.repoyum install -y freeradius freeradius-utils freeradius-mysql安装的版本是freeradius 3.0.3Freeradiusd mysql 相关配置参考文献：/cluniquecui/article/details/424904235.3 创建数据库命令如下：mysql -u root –p要求输入密码时，直接回车即可。