FreeRadius配置与验证测试_v3.0

二．ian linux基于Pam_radius整合身份认证说明1.引言1.1.编写目的本文主要描述DTv3.0基于Pam配置Linux资源系统加入认证服务验证过程及相关实现。

本文的读者主要包括:技术支持人员现场实施人员售后服务人员项目开发人员备注：虽然本文中描述的整合过程是针对DTv3.0版本的，但对以后版本的DT平台产品也具有一定指导意义。

2.环境配置本部分主要是为了Pam_Radius整合提供运行环境，在网关部署的过程中，如本部分配置已经完成（通常Freeradius和Jradius均部署于网关中），可跳过本部分的阅读，直接进入Pam_Radius配置。

关于Freeradius和Jradius的安装过程将不在这里赘述（请参考其他文档），针对这两部分的配置在本部分进行详细的说明。

2.1. 搭建资源机环境略。

2.2. 搭建并运行DTv3.0环境略。

2.3. Freeradius安装及其配置2.3.1. 安装过程略。

2.3.2. 配置：2.3.2.1. 测试Freeradius安装：输入命令：Radtest [系统账号] [系统账号密码] localhost 0 testing123 下图为执行结果：如果最后一行出现Access-Accept则表示freeradius安装并启动成功。

2.3.2.2. 启动Freeradius并测试如果上小节通过Freeradius测试，请输入命令radiusd –X启动Freeradius服务并重新进行Freeradius测试；如果测试仍未通过，请重新安装Freeradius。

2.4. Jradius安装及其配置2.4.1. 安装过程略。

2.4.2. 配置2.4.2.1. 配置jradius.conf进入freeradius源码包中src/modules/rlm_jradius目录并拷贝jradius.conf文件到freeradius服务的安装目录中/usr/local/etc/raddb下。

freeradius最佳实践Freeradius最佳实践Freeradius是一个开源的RADIUS服务器，广泛应用于网络认证、授权和会计。

随着互联网的发展，网络安全问题变得越来越重要，对于企业而言，加强网络认证和授权是保障网络安全的必要措施之一。

因此，本文将从安装和配置、认证方式、授权策略、日志记录和安全防护等方面介绍Freeradius最佳实践。

一、安装和配置在安装Freeradius之前，需要安装依赖软件包。

安装完成之后，需要进行配置，主要包括radiusd.conf和clients.conf两个文件的配置。

其中，radiusd.conf文件用于配置服务器的全局设置，clients.conf文件用于配置允许访问服务器的客户端。

二、认证方式Freeradius支持多种认证方式，包括PAP、CHAP、MSCHAP和EAP等。

在实际应用中，可以根据实际需求选择不同的认证方式。

例如，PAP和CHAP适用于低安全级别的场景，而EAP适用于高安全级别的场景。

三、授权策略通过Freeradius可以实现精细化的授权策略，可以根据用户、客户端、时间、位置等多种因素进行授权管理。

例如，可以限制某个用户只能在某个时间段内访问特定的资源，或者限制某个客户端只能访问特定的服务器。

四、日志记录日志记录是保障网络安全的重要手段之一。

在Freeradius中，可以通过配置radiusd.conf文件，将日志记录到指定的文件中。

在实际应用中，应该根据实际需求选择不同的日志级别，例如DEBUG、INFO、WARNING和ERROR等。

五、安全防护在网络安全方面，Freeradius需要进行安全防护，避免受到攻击。

可以通过以下措施进行防护：1.对客户端进行身份认证，避免未经授权的客户端访问服务器。

2.对用户的密码进行加密存储，避免密码泄露。

3.限制访问频率，避免恶意攻击。

4.使用TLS进行加密通信，避免数据被窃取或篡改。

5.定期更新软件版本，避免漏洞被攻击。

linux下FreeRadius配置安装方法介绍linux操作系统-电脑资料freeradius一般用来进行账户认证管理，记账管理，常见的电信运营商的宽带账户，上网账户管理，记账，都是使用的radius服务器进行鉴权记账的,下面我们一起来看linux下FreeRadius配置安装FreeRadiusFreeRADIUS与OpenLDAP--成功篇安装相关程式yum install freeradius2 freeradius2-utils freeradius2-ldap启用伺服器的LDAP Client端，请参考另一文件请先测试本机user，启用steve来测试（记得测试玩要加回#）vi /etc/raddb/usersteve Cleartext-Password := "testing"Service-Type = Framed-User,service radiusd restartradtest steve testing localhost 0 testing123正确会显示rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=247, length=26另外，启用某一网段认证vi /etc/raddb/clients.confclient 163.32.x.0/24 {secret = testing123shortname = schoolAP}编辑freeradius有关ldap的设定档vi /etc/raddb/modules/ldapserver = ".tw"identity = "cn=Manager,dc=do,dc=kh,dc=edu,dc=tw"password = pswd管理者密码dobasedn = "ou=user,ou=login,dc=do,dc=kh,dc=edu,dc=tw" vi /etc/raddb/sites-enabled/defaultauthorize {...# filesldap...}还有authenticate {...Auth-Type LDAP {ldap}...}service radiusd restart测试指令启用前测试radiusd -X测试本机帐号，测试后请关闭radtest steve testing localhost 0 testing123测试某一网段radtest ldapUser ldapPasswd 163.32.xxx.78 0 testing123。

Guest VLAN【背景描述】用户在通过802.1x 认证之前属于一个VLAN，这个VLAN就是GUEST VLAN。

没有通过认证的客户端计算机处于GUEST VLAN中，它们只能访问到GUEST VLAN服务器的资源，认证成功后，端口离开Guest VLAN，用户可以访问其特定的网络资源。

在上面的例子里连接端口1的计算机通过认证以后，端口1被交换机自动地添加到VLAN10里面，这个时候客户端计算机可以访问服务器2中的资源。

而客户端2和客户端3没有通过认证，只能继续留在Guest VLAN中，只可以访问服务器1的资源，而不能访问服务器2的资源。

需要注意的是：Guest vlan 仅支持基于端口的802.1X协议，不支持基于MAC地址的802.1 X协议。

【实验拓扑】将交换机的第1-12端口划分到V10中，将V10设置为GUEST VLAN，并且将1-8端口设置为需要进行认证的端口。

把交换机的第13-24端口设置为V20中的端口。

通过实验达到如下效果：将PC1接入到交换机1-8端口的任何一个，通过认证服务器的认证以后，PC 1所连接的端口被交换机自动的添加到V20里面，并且PC1和PC2可以互相通信。

拓扑说明：认证服务器IP:192.168.0.10交换机IP：192.168.0.250认证计算机IP:192.168.0.101V20中计算机IP：192.168.0.100橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口【实验设备】DGS-3627交换机1台，测试PC 3台，网线若干。

【实验步骤】把交换机的控制口和PC的串口相连，通过超级终端进入交换机的配置界面，如下图。

我们通过PC的“开始→程序→附件→通讯→超级终端”，进入超级终端界面。

将每秒位数设置为：115200 ，数据位：8 ，奇偶校验：无，停止位：1，数据流控制：硬件。

CentOS7部署FreeRadius3.0及WEB管理界⾯DaloRadius CentOS7部署FreeRadius3.0及WEB管理界⾯DaloRadius RADIUS （Remote Authentication and Dial-In User Service）是⽤于拨号⽤户接⼊认证及服务请求认证的⽹络协议和软件。

RADIUS会提供中⼼式认证、签权和计费（AAA）服务，⽤于管理接⼊⽤户使⽤⽹络资源。

RADIUS允许使⽤集中式数据库来保存所有⽤户的配置信息，以供所有⽤户共享使⽤。

RADIUS 常常被 ISP （互联⽹服务提供商）⽤于管理互联⽹⽤户接⼊。

FreeRADIUS 是⼀款免费开源RADIUS服务软件。

由于 freeRADIUS 并不具有原⽣的web界⾯，使⽤起来相对⿇烦，但是我们可以采⽤许多第三⽅web界⾯来管理和使⽤ freeRADIUS。

DaloRADIUS便是⼀款功能强⼤且易于使⽤的RADIUS web界⾯，主要⽤于提供运营级热点及接⼊管理，daloRADIUS 使⽤PHP语⾔开发，并且⽀持多种数据库系统。

⼀、 系统说明IP地址12.172.1.12/24操作系统CentOS 7.7 1909FreeRadius版本v 3.0DaloRadius版本v 1.0⼆、 CentOS系统组件安装、更新与设置 2.1 防⽕墙设置systemctl stop firewalld //关闭防⽕墙systemctl disable firewalld //关闭防⽕墙⾃启 2.2 Selinux设置sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config //关闭Selinuxsestatus //查询Selinux状态（需重启后查询） 2.3 组件安装yum install -y net-tools //安装Ifconfig⼯具yum install bash-completion -y //安装命令补全⼯具yum -y install lrzsz //安装⽂件管理⼯具yum install -y wget unzip //安装unzipyum install -y epel-release //安装EPEL软件库yum makecache fast //重置软件库缓存信息　 2.4 更新系统及源码库yum -y update && yum -y upgrade三、 安装配置数据库 3.1 安装MariaDB数据库yum install -y mariadb-server mariadb //安装MariaDB数据库systemctl start mariadb //启动MariaDBsystemctl enable mariadb //设置开机⾃启动mysql_secure_installation //SQL⾃动配置（除设置密码，其余都回车） 3.2 配置MariaDB数据库mysql -u root -p //登录数据库MariaDB [(none)]> create database radius; 创建数据库radiusMariaDB [(none)]> grant all on radius.* to radius@localhost identified by '123abc'; //设置radius⽤户名密码及权限MariaDB [(none)]> flush privileges; //刷新权限MariaDB [(none)]> exit //退出四、 安装Apache Web服务器及PHP DaloRadius是PHP开发的Web应⽤，需要安装Apach Web服务器和PHP 4.1 安装Apache Web服务器yum install -y httpd //安装httpd服务systemctl enable httpd //设置开机⾃启动systemctl start httpd //开启httpd服务 4.2 安装PHP及相关软件包yum install -y php php-mysql php-pear php-devel php-common php-gd php-mbstring php-mcrypt php-xml php-pear-DB //安装PHP及软件包systemctl restart httpd //安装完成后重启hApache Web服务以使PHP⽣效五、 安装配置FreeRadius 5.1 安装FreeRadiusyum install -y freeradius freeradius-utils freeradius-mysql //安装FreeRadius及组件systemctl start radiusd.service //启动radius服务systemctl enable radiusd.service //设置radius服务开机⾃启动firewall-cmd --permanent --add-service=radius //设置防⽕墙允许radius服务（本⽂前⾯已禁⽌防⽕墙⾃启动，可不运⾏此命令）firewall-cmd --reload //重启防⽕墙 5.2 配置FreeRadius连接MariaDB数据库mysql -u root -p radius < /etc/raddb/mods-config/sql/main/mysql/schema.sql //创建FreeRadius在数据库中的数据表 5.3 修改FreeRadius配置⽂件vi /etc/raddb/mods-available/sql //使⽤VI编辑器修改配置⽂件chgrp -h radiusd /etc/raddb/mods-available/sql //配置⽂件权限systemctl restart radiusd.service //重启radius服务修改内容如下：六、 安装DaloRadius 6.1 下载DaloRadius源代码并解压后将⽂件夹移动到Apache Web服务器⼯作⽬录wget https:///lirantal/daloradius/archive/master.zip //从Github上获取并下载源代码unzip master.zip //解压rm -f master.zipmv daloradius-master/ /var/www/html/daloradius //移动⽂件夹 6.2 设置DaloRadius⽬录权限及属主信息chown -R apache:apache /var/www/html/daloradiuschmod -R 664 /var/www/html/daloradius/library/daloradius.conf.php　6.3 打开防⽕墙HTTP服务firewall-cmd --permanent --add-service=http //打开防⽕墙http服务（本⽂中已关闭防⽕墙，不必运⾏此命令）firewall-cmd --reload //重启防⽕墙 6.4 在MariaDB中创建DaloRadius数据对象mysql -u root -p radius < /var/www/html/daloradius/contrib/db/fr2-mysql-daloradius-and-freeradius.sql //导⼊SQL脚本mysql -u root -p radius < /var/www/html/daloradius/contrib/db/mysql-daloradius.sql //导⼊SQL脚本 6.5 修改DaloRadius配置⽂件vi /var/www/html/daloradius/library/daloradius.conf.php //使⽤VI编辑器修改DaloRadius配置⽂件七、 测试连接 7.1 浏览器访问：http://12.172.1.12/daloradius 7.2 登录系统（默认⽤户名：administrator 密码：radius）========== End。

Centos 6.5上编译安装freeradius3.0.10平台：Centos 6.5 x86_641，安装源并更新Rpm -Uvh/pub/epel/6/x86_64/epel-RELEASE-6-8.noarch.rpmrpm -Uvh /enterprise/remi-RELEASE-6.rpmyum UPDATE -y2，安装相关库yum -y install wget expat-devel gcc make gmp-devel gmp pkgconfig perl libpcap gcc-c++ logrotate tar cpio gawk flex bison bison-devel lsof libpcap-devel patch openssl openssl-devel libgcrypt* crypt* autoconf automake libtasn1-devel zlib zlib-devel trousers trousers-devel texinfo libnl-devel libnl dbus dbus-devel ncurses-devel readline-devel libtool-ltdl libtalloc* hiredis* redhat-lsb python mysql-devel3，安装Mysql和Apacheyum --enablerepo=remi -y install mysql mysql-server mysql-devel httpd httpd-devel chkconfig httpd onchkconfig mysqld onservice mysqld startmysql_secure_installationmysql -u root -p 输入密码创建你需要的数据库4，安装phpyum --enablerepo=remi install -y php php-mysql php-common php-devel php-gd php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-bcmath php-mhash php-snmp php-process libmcrypt libmcrypt-develwget /cont/download/ioncube_loaders_lin_x86-64.tar.gz tar zxvf ioncube_loaders_lin_x86-64.tar.gzcp -rf ioncube /usr/local/sed -i 's/post_max_size = 8M/post_max_size = 50M/g' /etc/php.inised -i 's/upload_max_filesize = 2M/upload_max_filesize = 50M/g' /etc/php.inised -i 's/;date.timezone =/date.timezone = PRC/g' /etc/php.inised -i 's/; cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g' /etc/php.inised -i 's/max_execution_time = 30/max_execution_time = 300/g' /etc/php.inised -i 's/disable_functions =.*/disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_ge t_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepas sthru,stream_socket_server/g' /etc/php.iniecho "zend_extension=/usr/local/ioncube/ioncube_loader_lin_5.4.so">> /etc/php.iniwget /pub/Releases/3.2.0/xcache-3.2.0.tar.gztar -zxvf xcache-3.2.0.tar.gzcd xcache-3.2.0phpize --cleanphpize./configure --enable-xcachemake && make installcat xcache.ini >> /etc/php.iniservice httpd restart5，编译安装freeradiuswget ftp:///pub/freeradius/freeradius-server-3.0.10.tar.gztar zxvf freeradius-server-3.0.10.tar.gzcd freeradius-server-3.0.10./configure --with-modules=rlm_sql_mysql (各种WARNING，没有ERROR) make && make install6，测试调试模式命令：radiusd -X提示Refusing to start with libssl version OpenSSL 1.0.1evi /usr/local/etc/raddb/radiusd.conf找到allow_vulnerable_openssl = no,修改成allow_vulnerable_openssl = yes 再次启动radiusd -X新打开一个终端vi /usr/local/etc/raddb/users找到这一行#steve Cleartext-Password:="testing"将前面的#去掉radtest steve testing localhost 0 testing123radtest 17000001111 111111 localhost 0 testing123获得结果：Sent Access-Request Id 41 from 0.0.0.0:35117 to 127.0.0.1:1812 length 75 User-Name = "steve"User-Password = "testing"NAS-IP-Address = 106.185.45.18NAS-Port = 0Message-Authenticator = 0x00Cleartext-Password = "testing"Received Access-Accept Id 41 from 127.0.0.1:1812 to 0.0.0.0:0 length 20accept！貌似成了，玩去吧 ^_^还有一种简单的yum安装添加源：cd /etc/yum.repos.d/wget/repositories/home:freeradius:3.0.x:centos/CentOS_C entOS-6/home:freeradius:3.0.x:centos.repoyum install -y freeradius freeradius-utils freeradius-mysql安装的版本是freeradius 3.0.3Freeradiusd mysql 相关配置参考文献：/cluniquecui/article/details/424904235.3 创建数据库命令如下：mysql -u root –p要求输入密码时，直接回车即可。

RADIUS认证服务器的安装与配置实训RADIUS（Remote Authentication Dial-In User Service）是一种广泛应用于企业网络中的认证和授权服务。

它通过提供集中化的身份认证和授权管理，使得多个网络设备可以共享同一个认证服务器，从而简化了网络管理和用户访问的控制。

在本篇文章中，我们将介绍如何安装和配置一个RADIUS认证服务器。

首先，我们需要选择适合自己需求的操作系统来安装RADIUS 服务器。

常用的操作系统选择包括Linux、Windows和FreeBSD等。

在本实训中，我们将选择使用Linux操作系统来安装和配置RADIUS服务器。

我们选择的Linux发行版是Ubuntu Server。

1. 安装Ubuntu Server：首先，在物理或虚拟机上安装Ubuntu Server操作系统。

下载最新的Ubuntu Server ISO镜像文件，并使用它创建一个启动USB或光盘。

启动计算机，并按照提示进行操作系统安装。

2. 安装FreeRADIUS：在Ubuntu Server上安装RADIUS服务器，我们将使用FreeRADIUS。

在终端中运行以下命令，以安装FreeRADIUS：```sudo apt-get updatesudo apt-get install freeradius```3. 配置FreeRADIUS：安装完成后，我们需要对FreeRADIUS进行配置。

首先，编辑`/etc/freeradius/users`文件，该文件包含用户的认证信息。

添加以下示例行，其中用户名为`testuser`，密码为`testpassword`：```testuser Cleartext-Password := "testpassword"```4. 配置FreeRADIUS服务器参数：接下来，我们需要编辑`/etc/freeradius/clients.conf`文件，该文件包含了RADIUS服务器的配置信息。

FreeRADIUS 服务端安装1.1、下载、编译、安装wget -c ftp:///pub/freeradius/freeradius-server-2.1.11.tar.gz# tar zxf freeradius-server-2.1.11.tar.gz# cd freeradius-server-2.1.11# ./configure# make && make install1.2、基本文件的测试测试是否安装成功，如果不需要与mysql集成，那么就已安装完成。

# vim /usr/local/etc/raddb/users查找 steve Cleartext-Password := "testing", 取消该段内容的注释。

# 大写X，意思是以debug模式运行。

/usr/local/sbin/radiusd -X#新开一个窗口执行，看到 "Access-Accept packet" 表示成功了，"Access-Reject" 表示失败了。

/usr/local/bin/radtest steve testing localhost 0 testing123Define a User and PasswordEdit /etc/raddb/users and create an example user account as the first entry. i.e. at the top of the file, such as:testing Cleartext-Password := "password"二．配置模块支持2.1、启用MySQL模块支持# 查找"sql.conf”(683行)，去掉#号vim /usr/local/etc/raddb/radiusd.confOracle支持回到之前解压的freeradius-server-2.1.12目录里# cd ~/freeradius-server-2.1.12/src/modules/rlm_sql/drivers/rlm_sql_oracle# ./configure --with-oracle-include-dir=${ORACLE_HOME}/rdbms/public--with-oracle-lib-dir=${ORACLE_HOME}/lib2.2、创建radius 数据库及表# 123456是你mysql的root密码mysqladmin -uroot -p123456 create radius;#修改radius帐号的密码cd /usr/local/etc/raddb/sql/mysqlsed -i 's/radpass/123456/g' admin.sqlsed -i 's/radpass/123456/g' /usr/local/etc/raddb/sql.confmysql -uroot -p123456 < admin.sqlmysql -uroot -p123456 radius < ippool.sqlmysql -uroot -p123456 radius < schema.sqlmysql -uroot -p123456 radius < wimax.sqlmysql -uroot -p123456 radius < cui.sqlmysql -uroot -p123456 radius < nas.sql插入一些测试数据：mysql> insert intoradgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');mysql> insert intoradgroupreply (groupname,attribute,op,value) values ('user','Service-Type','=','Framed-User'); mysql> insert intoradgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask','=','255.255.255.25 5');mysql> insert intoradgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0 ');然后加入用户信息：mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('geng', 'Password', 'peng');然后把用户加到组里：mysql> insert into radusergroup(username,groupname) values('geng','user');mysql> select * from radcheck where UserName='geng';1.编辑/etc/raddb/sql.confmysql用户名，密码根据自己的情况填写第88行取消readclients = yes 前的注释2.编辑/etc/raddb/sites-enabled/default第145 行files前加注释第152 行取消sql前的注释第342 行取消sql前的注释3.编辑/etc/raddb/sites-enabled/inner-tunnel第111 行files前加注释第118行取消sql前的注释4.编辑/etc/raddb/eap.conf第30行default_eap_type = md5改为default_eap_type = peap5.编辑/etc/raddb/clients.conf,加入de>client 192.168.4.3 {secret = tp-linkshortname = test}de>注意：如果出现以下报错Mon Mar 17 11:09:08 2014 : Error: /usr/local/freeradius/etc/raddb/sql.conf[22]: Instantiation failed for module "sql"Mon Mar 17 11:09:08 2014 : Error: /usr/local/freeradius/etc/raddb/sites-enabled/default[177]: Failed to find "sql" in the "modules" section.Mon Mar 17 11:09:08 2014 : Error: /usr/local/freeradius/etc/raddb/sites-enabled/default[69]: Errors parsing authorize section.Mon Mar 17 11:09:08 2014 : Error: Failed to load virtual server <default>修改vi /etc/ld.so.conf加入mysql的lib路径 /usr/local/mysql/lib 。

freeradiusserver和client部署（实战）⽹上有很多的⽂章，但总是遇到各类问题，有的也没有明确的说明，在此总结了⼀下⾃⼰的实战记录，分享出来：（分享者：qin）第⼀种freeradius-server安装⽅法：1.安装依赖库yum -y install libtalloc-develyum -y install openssl openssl-develyum -y install mysql-devel2.获取源码wget https:///FreeRADIUS/freeradius-server/archive/freeradius-server-3.0.13.tar.gztar -zxvf freeradius-server-3.0.13.tar.gzcd freeradius-server-3.0.13/3.编译./configuremakesudo make install也可参考官⽅安装指导⽂档：第⼆种freeradius-server安装⽅法：1. 安装依赖库：libtallocyum -y install libtalloc-devel2.安装依赖库：opensslyum -y install openssl openssl-devel3.安装依赖库和radius-server：yum install -y freeradius freeradius-utils freeradius-mysql4.查看安装结果：rpm -qa |grep freeradiusfreeradius-mysql-3.0.13-15.el7.x86_64freeradius-3.0.13-15.el7.x86_64freeradius-devel-3.0.13-15.el7.x86_64freeradius-utils-3.0.13-15.el7.x86_64有以上4项说明本次安装成功5. 装完成后，去修改配置⽂件/etc/raddb/users（修改⽂件前记得备份⼀下原⽂件），在此⽂件的最后添加下⾯⼀⾏内容：test Cleartext-Password := “123456” -----》注意不要有任何中⽂字符存在6. 如果启动了防⽕墙，需要修改防⽕墙配置，允许freeradius所使⽤的端⼝1812，1813通过。

Freeradius部署及认证实践
薛民华;解宝琦
【期刊名称】《网络安全和信息化》
【年(卷),期】2022()11
【摘要】通过对freeradius服务的搭建和配置进行安装部署,并对常见的华为、H3C等网络交换设备通过Radius协议接入freeradius服务器进行认证实践。

【总页数】5页(P88-92)
【作者】薛民华;解宝琦
【作者单位】西安
【正文语种】中文
【中图分类】TP3
【相关文献】
1.利用开源软件FreeRADIUS构建图书馆统一认证平台的研究与实现
2.基于开放源码软件Freeradius的无线网络认证系统实现
3.基于FreeRADIUS的高校eduroam无线漫游认证技术研究
4.使用USBKey提高FreeRadius证书认证的安全性
5.基于软件Freeradius实现校园网认证系统的研究
因版权原因，仅展示原文概要，查看原文内容请购买。

FreeRADIUS 3.0 安装配置指南2014-01-07修改历史记录目录1 系统要求 (4)1.1操作系统 (4)1.2所需软件 (4)1.3注意事项 (4)2 FreeRADIUS 3.0的安装 (4)2.1安装FreeRADIUS 3.0 服务器程序 (5)2.2安装FreeRADIUS工具包（freeradius-utils） (6)3 FreeRADIUS 3.0的测试 (6)3.1修改用户管理配置文件 (6)3.2修改防火墙配置 (7)3.3以调试方式启动freeradius (7)3.4使用测试工具测试 (8)4 MariaDB的安装 (9)5 FreeRADIUS与MariaDB的对接 (9)5.1安装freeradius-mysql组件 (9)5.2激活和启动mariadb服务 (9)5.3创建数据库 (10)5.4导入表结构 (11)5.5建立组信息和用户信息 (11)5.6修改 FreeRADIUS中的mysql 认证配置 (12)5.7修改 FreeRADIUS中的mysql 配置配置文件 (13)5.8测试通过数据库做用户认证 (13)1 系统要求1.1 操作系统CentOS 7.0 x86_64网址：/1.2 所需软件1.FreeRADIUS 3.0网址：/目前最新版本为3.0.6.2.MariaDB网址：https:///目前最新版本为10.0.注：MariaDB数据库管理系统是MySQL的一个分支，主要由开源社区在维护，采用GPL授权许可。

开发这个分支的原因之一是：甲骨文公司收购了MySQL后，有将MySQL闭源的潜在风险，因此社区采用分支的方式来避开这个风险。

MariaDB的目的是完全兼容MySQL，包括API和命令行，使之能轻松成为MySQL的代替品。

MariaDB虽然被视为MySQL数据库的替代品，但它在扩展功能、存储引擎以及一些新的功能改进方面都强过MySQL。

FREERADIUS验证配置手册1.FREERADIUS简介FREERADIUS是一套开源,免费的完全兼容RADIUS协议的RADIUS服务器/客户端软件,可以用它对用户的接入和访问特定的网络进行有效的控制,授权,计费等等,它支持多种验证,包括文件,LDAP,以及主流的支持SQL的数据库(ORACLE,MYSQL,DB2等等).我们可以使用FREERADIUS来搭建一个3A认证的服务器,下面对详细介绍如何配置FREERADIUS.2.FREERADIUS配置2.1安装FREERADIUS首先从FREERADIUS的官方网站上下载最新的FREERADIUS的安装包,网址是: .5安装包一般被1．从官方网站上下载安装包至操作系统的某个目录下.2．.3．执行tar –4．进入此文件夹. 执行.5．编译安装包.执行make.6．安装radius . 执行make install.至此,FREERADIUS的安装过程就已经结束了,如果你是严格安装以上的顺序进行安装的那么,FREERADIUS将被默认安装在/usr/local的目录下,其中,在/usr/local/etc/raddb的目录下存放的是FREERADIUS的配置文件,/usr/local/bin下面存放的是FREERADIUS的常用命令.另外,在FREERADIUS的安装包文件夹的DOC目录下存放有大量的关于FREERADIUS 的说明文档资料,有兴趣的话可以去看看.2.2启动和停止RADIUS的服务1.启动radius服务FREERADIUS的启动分为两种模式,一种是DEBUG模式,另一种是正常启动模式.其中前者用于观察RADIUS的运行情况,可以对验证请求的整个过程进行监测,从NAS发出验证请求到服务器回应验证的结果的这段时间内,服务器做了哪些事情,我们都可以通过DEBUG模式进行观察到.后者就是单纯的启动RADIUS的服务,一般在后台运行,等待并处理NAS发出的验证请求.要启动DEBUG模式,可以在系统终端下的命令行中执行:radius –X 其中参数X代表以DUBUG模式启动.要正常启动,可以在系统终端下的命令行中执行:radius.2.停止radius服务在DEBUG模式下启动的RADIUS服务可以按键盘的CTRL+C来终止.正常启动的RADIUS服务可以按照以下步骤来终止:1.执行ps –ef 来调出当前正在运行的所有进程,找到其中名为radiusd的进程,记住进程号.这里我们假设进程ID为1234.2.执行kill -9 1234 来直接终止RADIUS的服务进程.2.3 配置RADIUS服务1. 配置NASLIST文件进入目录/usr/local/etc/raddb 运行vi naslist来进行编辑,添加:localhost local portslave2. 配置USR文件运行vi users 来进行编辑user文件,最尾端添加:“test” Auth-Type := Local,User-Password == “test”3. 配置RADIUSD.CONF文件运行vi radiusauthorize部分,确认file块没有被注释Authorize {……files……}4. 配置CLIENTS.CONF文件运行vi clients.conf 来编辑clients.conf文件,找到本地配置,修改为:secret = testing123shortname = localhostnastype = other}5. 测试配置的结果首先启动RADIUS服务,(DEBUG模式启动需要另开登录窗口进行测试).运行radtest test test localhost 0 testing123如果radius返回Access-Accept的消息,则表示验证已经成功.否则,请检查以上的几个配置有没有配置正确.3.FREERADIUS + LDAP的验证配置3.1 LDAP的配置假设LDAP为OPENLDAP,并且已经安装完毕(关于LDAP的详细说明,可以参考LDAP的配置手册).我们假设LDAP的域名为dc=my-domain,dc=com.LDAP的slapd.conf文件中的配置如下(省略了注释部分):include /usr/local/etc/openldap/schema/core.schemainclude /usr/local/etc/openldap/schema/openldap.schemapidfile /usr/local/var/run/slapd.pidargsfile /usr/local/var/run/slapd.argsaccess to dn.base="" by * readaccess to dn.base="cn=Subschema" by * readaccess to *by self writeby users readby anonymous authdatabase bdbsuffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"rootpw secretdirectory /usr/local/var/openldap-dataindex objectClass eqindex uid eq其中openldap.schema这个文件是在FREERADIUS安装包的doc/examples的目录下,我们首先应该将其拷贝到OPENLDAP的SCHEMA的目录下,详细情况,请参考LDAP的配置手册.再向LDAP中添加一条记录用于验证,LDIF格式的文件如下ou=people,dc=my-domain,dc=comobjectClass=organizationUnitou=peopleuid=tom,ou=people,dc=my-domain,dc=comobjectClass=personuid=tomcn=tomuserPassword=12345678telephoneNumber=87654321将以上文件保存成一个LDIF文件,例如保存为test.ldif将test.ldif拷贝到/usr/local/bin的目录下,运行以下命令:ldapadd –x –D –f test.ldif ‘cn=Manager,dc=my-domain,dc=com’–w secret如果命令执行成功则会出现以下提示:Adding “ou=people,dc=my-domain,dc=com” to directory.Adding “uid=tom,ou=people,dc=my-domain,dc=com” to directory.如果要查看其内容可以执行以下命令:ldapsearch –x –b ‘dc=my-domain,dc=com’‘(objectClass=*)’屏幕将会打出刚才输入的内容.3.2 FREERADIUS的配置1.配置radiusd.conf文件:找到authorize部分,将LDAP前的注释去掉,如下:authorize {Preprocesschap……..files……..ldap}authenticate{……Auth-Type LDAP {ldap}eap}全局部分的几个设定改成:log_auth = yeslog_auth_badpass = nolog_auth_goodpass = no再找到modules部分,配置为:Modules {……ldap {……port = 389identity = "cn=Manager,dc=my-domain,dc=com"password = secretbasedn = "dc=my-domain,dc=com"filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"start_tls = noldap_connections_number = 5timeout = 4timelimit = 3net_timeout = 1……}……}再找到main的模块,修改部分如下main {……lower_user = yeslower_time = before……}2.配置USERS文件找到DEFAULT Auth-Type部分,改成:DEFAULT Auth-Type = ldapFall-Through = 13.启动radius服务radius –X3.3 配置的验证重新打开一个SSH(或TELNET)登陆窗口登陆FREERADIUS所在的LINUX(或UNIX)操作系统, 以管理员的身份登陆,在终端下运行以下命令:radtest tom 12345678 localhost 0 testing123 回车测试FREERADIUS的验证过程.如果验证成功,在执行命令的窗口将出现以下内容:User-Name = "tom"User-Password = "12345678"NAS-Port = 0在运行DEBUG模式的窗口下将出现以下内容:User-Name = "tom"User-Password = "12345678"NAS-Port = 0Processing the authorize section of radiusd.confmodcall: entering group authorize for request 0modcall[authorize]: module "preprocess" returns ok for request 0modcall[authorize]: module "chap" returns noop for request 0users: Matched entry DEFAULT at line 150modcall[authorize]: module "files" returns ok for request 0rlm_ldap: - authorizerlm_ldap: performing user authorization for tomradius_xlat: '(uid=tom)'radius_xlat: 'dc=my-domain,dc=com'rlm_ldap: ldap_get_conn: Checking Id: 0rlm_ldap: ldap_get_conn: Got Id: 0rlm_ldap: attempting LDAP reconnectionrlm_ldap: waiting for bind result ...rlm_ldap: Bind was successfulrlm_ldap: performing search in dc=my-domain,dc=com, with filter (uid=tom)rlm_ldap: looking for check items in directory...rlm_ldap: looking for reply items in directory...rlm_ldap: user tom authorized to use remote accessrlm_ldap: ldap_release_conn: Release Id: 0modcall[authorize]: module "ldap" returns ok for request 0modcall: leaving group authorize (returns ok) for request 0rad_check_password: Found Auth-Type ldapauth: type "LDAP"Processing the authenticate section of radiusd.confmodcall: entering group LDAP for request 0rlm_ldap: - authenticaterlm_ldap: login attempt by "tom" with password "12345678"rlm_ldap: user DN: uid=tom,ou=admins,ou=radius,dc=my-domain,dc=comrlm_ldap: bind as uid=tom,ou=admins,ou=radius,dc=my-domain,dc=com/12345678rlm_ldap: waiting for bind result ...rlm_ldap: Bind was successfulrlm_ldap: user tom authenticated succesfullymodcall[authenticate]: module "ldap" returns ok for request 0 modcall: leaving group LDAP (returns ok) for request 0Login OK: [billing] (from client localhost port 0)Finished request 0Going to the next request--- Walking the entire request list ---Waking up in 6 seconds...--- Walking the entire request list ---Cleaning up request 0 ID 4 with timestamp 45c9b3f6Nothing to do. Sleeping until we see a request.到这里,一个简单的RADIUS+LDAP验证就已经完成了.4.参考资料1.freeradius安装包下的DOC目录中的ldap_howto.txt文件.2..3..4.。

RADIUS服务器搭建和认证流程解析RADIUS 服务器搭建和认证流程解析RADIUS（Remote Authentication Dial-In User Service）是一种广泛用于认证、授权和账务管理的网络协议。

它为网络设备、服务器和用户提供了一种安全的身份验证机制。

本文将探讨如何搭建一个RADIUS 服务器以及该服务器的认证流程。

一、RADIUS 服务器搭建要搭建一个 RADIUS 服务器，我们需要以下步骤：1. 安装 RADIUS 服务器软件：选择适合你系统的 RADIUS 服务器软件，并按照官方的安装指南进行安装。

常见的 RADIUS 服务器软件有 FreeRADIUS、Microsoft IAS/NPS、Cistron RADIUS 等。

2. 配置 RADIUS 服务器：对于每个 RADIUS 服务器软件，都有相应的配置文件。

打开配置文件，根据实际需求进行配置。

配置项包括服务器 IP 地址、共享密钥、认证方式等。

3. 启动 RADIUS 服务器：根据软件的启动命令，启动 RADIUS 服务器。

一般情况下，启动命令类似于“radiusd -X”，其中的“-X”参数是用于输出详细的调试信息。

二、RADIUS 服务器认证流程解析当一个客户端请求认证时，RADIUS 服务器会按照以下步骤进行认证流程：1. 客户端认证请求发送：客户端（如路由器、交换机等）通过向RADIUS 服务器发送一个认证请求，请求包含用户名和密码等认证信息。

2. RADIUS 服务器接收请求：RADIUS 服务器接收客户端的认证请求，并解析请求中的认证信息。

3. 认证请求转发：RADIUS 服务器将认证请求转发给认证服务器（如 LDAP 服务器、数据库等），以便验证客户端提供的用户名和密码。

4. 用户名密码验证：认证服务器收到请求后，首先验证用户名和密码是否匹配。

如果匹配成功，认证服务器将返回“认证成功”的消息；否则，返回“认证失败”的消息。

CentOS搭建radius服务器⽤于wifi的wap2认证 1，⽹络拓扑 IP规划明细IP　备注路由器WAN⼝192.168.1.10路由器LAN⼝　192.168.0.0/24Radius服务器　192.168.1.100 2,环境查看 路由器型号为TP-Link TL-WAR1200L也可以使⽤其他⽀持WPA2认证的路由器 3，安装FreeRadius 安装yum -y install freeradius freeradius-utils freeradius-mysql 启动radiussystemctl start radiusdsystemctl enable radiusd ⽇志在/var/log/radius/radius.log 也可以使⽤调试模式启动，直接在当前页⾯显⽰⽇志radiusd -X FreeRADIUS 3.0的测试 修改配置⽂件vim /etc/raddb/users 把以下⾏的注释取消 测试[root@localhost ~]# radtest steve testing localhost 0 testing123 如果输出"Access-Accept"表⽰成功了，"Access-Reject"表⽰失败了。

使⽤radius -X启动则在终端显⽰以下代表认证成功 关闭radius测试会提⽰没有响应 测试完把注释在加上 4，安装mariadb 安装yum install -y mariadb-server mariadb 启动systemctl start mariadbsystemctl enable mariadb 运⾏安全设置mysql_secure_installation 进⼊数据库[root@localhost ~]# mysql -uroot -pEnter password: 创建数据库并授权MariaDB [(none)]> create database radius；Query OK, 1 row affected (0.00 sec)MariaDB [(none)]> grant all on radius.* to radius@'localhost' identified by 'radius';Query OK, 0 rows affected (0.00 sec)MariaDB [(none)]> flush privileges;Query OK, 0 rows affected (0.00 sec) 5，配置radius和数据库 导⼊数据库[root@localhost ~]# mysql -uroot -p radius < /etc/raddb/mods-config/sql/main/mysql/schema.sql 为/etc/raddb/mods-enabled创建软连接[root@localhost ~]# ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/ 查看[root@localhost ~]# ll /etc/raddb/mods-enabled/sqllrwxrwxrwx 1 root root 29 1⽉ 19 14:09 /etc/raddb/mods-enabled/sql -> /etc/raddb/mods-available/sql 配置SQL模块/ raddb/mods-available/ SQL，并更改数据库连接参数，以适合环境[root@localhost ~]# vim /etc/raddb/mods-available/sql 设置以下项，其余项保持默认driver = "rlm_sql_mysql"dialect = "mysql"server = "localhost"port = 3306login = "radius"password = "radius"radius_db = "radius"read_clients = yes 然后，将/etc/raddb/mods-enabled/sql所属组更改为radiusd#chgrp -h radiusd /etc/raddb/mods-enabled/sql 添加客户端连接设置，添加允许所有⽤户接⼊，如需特定ip访问，ip可以⾃由更改。

基于RADIUS的AAA认证管理目录基于RADIUS的AAA认证管理 (2)一、Radius概述： (2)1、什么是RADIUS (2)2、RADIUS工作流程 (2)3、为什么使用Radius (3)4、Radius能为我们做什么 (3)二、Radius安装 (3)1、安装MySQL (3)2、安装freeradius (4)3、test radius (4)4、开启radius支持mysql (5)5、Mysql和freeradius集成 (5)6、修改配置文件 (6)7、测试 (7)8、配置Radius的web工具daloradius (7)9、启动apache (8)10、Mysql和Apache调整 (8)11 设置开机启动 (9)12，修改radius server监听地址 (9)13、启动Radius (9)14，登陆 (9)三、交换机，路由设备配置AAA协议 (10)四、RADIUS基本使用 (10)基于RADIUS的AAA认证管理一、Radius概述：1、什么是RADIUSRADIUS (Remote Authentication Dial In User Service)远端用户拨入验证服务。

是一个AAA协议，意思就是同时兼顾验证（authentication），授权（authorization），记账（accounting）三种服务的协议。

2、RADIUS工作流程(1) 用户输入用户名和口令；(2) radius 客户端根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。

(3) radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。

(4) radius 客户端根据接收到的认证结果接入/拒绝用户。

一、IEEE 802.1X简介当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问权限。

而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。

最常见一、IEEE 802.1X简介当前802.11无线网络的安全性还是非常脆弱的，很多情况下无线客户端如果得到接入点（AP）的SSID，就可以获得网络的访问权限。

而且由于管理员的懒惰没有修改AP厂商默认设置的SSID，甚至配置AP向外广播其SSID，那么安全性还将更低。

最常见的解决方法是使用WEP加密，在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。

WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。

而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。

一些常见AP厂商的默认SSID和默认WEP密钥、密码可以参考如下链接：/mediawhore/nf0/wireless/ssid_defaults/ssid_defaults-1.0.5.txtIEEE 802.1X是IEEE在2001年6月发布的一个标准，用于对IEEE 802局域网（包括以太网、Token Ring和FDDI）的认证和密钥管理。

802.1X不是加密算法，不同于WEP、3DES、AES或其它的算法，IEEE 802.1X只关注认证和密钥管理，不关心来源密钥使用什么安全服务传送。

所以它可以对认证来源和密钥使用任意的加密算法，还可以周期性的更新密钥和重新认证来保证密钥的安全。

IEEE 802.1X不是一个单独的认证方法，它利用可扩展认证协议（EAP）作为它的认证框架。

Radiusd.conf文件是freeradius的核心配置文件，其中设置了服务器的基本信息，配置文件与日志文件的环境变量，并详细配置freeradius模块所使用的信息，与认证和计费所使用模块的配置. 配置的变量定义的形式为${foo}，他们就在这个文件上，并且不随请求到请求而改变. 变量的格式参照 variables.txt.1.1 环境变量此处定义其他配置文件以及目录的位置，也就是环境变量prefix = /usr/localexec_prefix = ${prefix}sysconfdir = ${prefix}/etclocalstatedir = ${prefix}/varsbindir = ${exec_prefix}/sbinlogdir = ${localstatedir}/log/radiusraddbdir = ${sysconfdir}/raddbradacctdir = ${logdir}/radacct配置文件和日志文件的位置confdir = ${raddbdir}run_dir = ${localstatedir}/run/radiusd日志文件的信息，添加到如下配置文件的底部log_file = ${logdir}/radius.log1.2 全局配置模块的位置由 libdir来配置。

如果不能工作，那么你可以从新配置，从新Build源码，并且使用共享库。

pidfile: Where to place the PID of the RADIUS server.pidfile = ${run_dir}/radiusd.piduser/group如果有评论，服务器会运行用户/组启动它. 修改用户/组，必须具有root权限启动服务器这里的含义是指定启动radius服务可以限定操作系统上的用户和组，但是不建议启动它.#user = nobody#group = nobody最长请求时间(秒)，这样的问题经常需要存在在应用SQL数据库时候，建议设置为5秒到120秒之间.max_request_time = 30当请求超过最长请求时间的时候，可以设置服务器删除请求.当你的服务在threaded(线程下)运行，或者线程池(thread pool) 模式，建议这里设置为no.但用threaded 服务设置为yes时，有可能使服务器崩溃.delete_blocked_requests = no在 reply 发送给NAS后的等待清空时间. 建议 2秒到 10秒cleanup_delay = 5服务器的请求最大数，建议值 256 到无穷max_requests = 1024让服务器监听某个IP，并且从次IP发送相应信息. 主要是为了服务器同时具有多服务器时候使用.bind_address = *可以指定raidus的使用端口号，使用0表示使用默认的radius端口，在配置文件 /etc/services配置.port = 0如果需要服务器同时监听其他的IP，可以用listen 块. 下面是例子#listen {# IP address on which to listen.# Allowed values are:# dotted quad (1.2.3.4)# hostname ()# wildcard (*)# ipaddr = *# Port on which to listen.# Allowed values are:# integer port number (1812)# 0 means "use /etc/services for the proper port"# port = 0# Type of packets to listen for.# Allowed values are:# auth listen for authentication packets# acct listen for accounting packets## type = auth#}hostname_lookups大概是表示为NAS查找它的域名信息?可以通过域名配置NAS?hostname_lookups = no是否允许 core dumps.allow_core_dumps = noexpressions支持，规则和扩展.regular_expressions = yesextended_expressions = yes记录User-Name属性的全称.log_stripped_names = no是否记录认证请求信息到日志文件log_auth = no当请求被拒绝时记录密码，当请求正确时记录密码log_auth_badpass = nolog_auth_goodpass = no是否允许用户名冲突，即重复同用户同时登陆.强烈不建议启用重复用户.usercollide = no将用户名小写化，将密码小写化.lower_user = nolower_pass = no是否去除用户名和密码中的空格nospace_user = nonospace_pass = no程序执行并发检查(不理解含义)checkrad = ${sbindir}/checkrad安全配置域security {指在Radius包中的最大属性数目.设置为0表示无穷大.max_attributes = 200发送 Access-Reject 包时候，可以设置一定的延迟，以缓慢DOS攻击，也可以缓慢穷举破解用户名和密码的攻击reject_delay = 1服务器是否对状态服务器的请求信息进行相应.status_server = no}PROXY CONFIGURATION代理域.是否开启代理服务，具体配置参照 ${confdir}/proxy.conf proxy_requests = yes$INCLUDE ${confdir}/proxy.confClients配置$INCLUDE ${confdir}/clients.conf是否启用snmp配置，具体配置文件在snmp.confsnmp = no$INCLUDE ${confdir}/snmp.conf线程池配置域thread pool {启动时服务的个数.(在启动Mysql模块后可以明显看到.)当同时进行的请求数超过5个时，会增加线程服务.start_servers = 5最大的服务数max_servers = 32当少于最少空闲服务时，它会建立服务，大于最大空闲服务时会停止多余的服务.最少空闲服务，与最大空闲服务.min_spare_servers = 3max_spare_servers = 10每个server最大的请求数.当有内存漏洞时，可能需要配置.max_requests_per_server = 0}1.3 模块配置1.3.1 PAP 模块# Supports multiple encryption schemes 支持多种加密方式# clear: Clear text 明文# crypt: Unix crypt Unix 加密# md5: MD5 ecnryption MD5加密# sha1: SHA1 encryption. SHA1加密# DEFAULT: crypt 默认是Unix加密pap {encryption_scheme = crypt}1.3.2 CHAP模块chap {authtype = CHAP}1.3.3 PAM模块PAM模块 (PAM) 是行业标准验证框架，鉴于很多系统的PAM库都有内存漏洞，所以不建议使用。