基于Linux的RADIUS Server的搭建和使用.docx

基于Linux的RADIUS Server的搭建和使用各组成元素介绍首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作，另外还有LDAP协议。Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的（请参阅参考资料获得相关链接）。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机 /服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点（访问点是网络上专门配置的节点；WAP是无线版本）。 RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS和AAA如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。功能完整的RADIUS服务器可以支持很多不同的用户验证机制，除了LDAP以外，还包括：PAP（Password Authentication Protocol，密码验证协议，与PPP一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比PAP更安全，它同时使用用户名和密码）；本地UNIX/Linux系统密码数据库（/etc/passwd）；其他本地数据库。在 RADIUS中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么RADIUS服务器将返回一个Access-Accept响应，其中包 括一些参数（属性-值对），以保证对该用户的访问。这些参数是在RADIUS中配置的，包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控 制列表（ACL）或要在NAS上应用的静态路由，另外还有其他一些值。RADIUS记帐特性（在RFC 2866中定义；请参阅参考资料获得相关链接）允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源-例如时间、包和字节。轻量级目录访问协议轻 量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类X.500 目录中信息的一种方法。LDAP可用于将用户信息保存在一个中央场所，从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维 护和访问信息。LDAP在一个集中的目录中管理用户，从而简化了用户管理工作。除了存储用户信息外，在LDAP中定义用户还可以使一些可 选特性得到启用，例如限制登录的数量。在本文中，您将学习如何配置RADIUS服务器，以便基于LDAP验证用户-由于本文的重点在于RADIUS，我 不会描述关于LDAP服务器的安装和配置的细节。OpenLDAP是LDAP的一种开放源码实现。在OpenLDAP.org上可以找到关于它的详细信息（请参阅参考资料获得相关链接）。场景想像以下场景：用户在家里可以通过拨号验证访问他公司的内部网。带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。管理员使用他们的工作站通过管理用户验证以telnet或HTTP登录到网络设备。所有这些验证任务都可以通过一个RADIUS服务器基于一个中央LDAP服务器来完成（见图 1）。图1 通过RADIUS和LDAP进行验证在本文中，我将重点描述对最后一种选项的实现，作为对该解决方案的一个介绍。首先安装RADIUS服务器。安装 RADIUSRADIUS 服务器软件可以从多个地方获得。在本文中，我将使用FreeRADIUS（请参阅参考资料获得相关链接），但Cisco Secure Access Control Server (ACS)是一种集中式用户访问控制框架，可用于跨UNIX和Windows上多个Cisco设备的用户管理，并支持Cisco 特有的协议TACACS+（据说在支持TACACS+的设备上可拥有更多的特性）。FreeRADIUS是来自开放源码社区的一种强大的 Linux上的RADIUS服务器，可用于如今的分布式和异构计算环境。FreeRADIUS 1.0.2 支持LDAP、MySQL、PostgreSQL和Oracle数据库，并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型生产网络系统中。下面的步骤演示如何在Red Hat Enterprise Linux Advanced Server 3.0上安装和测试FreeRADIUS 1.0.2：清单1 安装和测试FreeRADIUStar -zxvf freeradius-1.0.2.tar.gz - extract it with gunzip and tar./configuremakemake install - run this command as rootradiusd or - start RADIUS serverradiusd -X - start RADIUS server in debug moderadtest test test localhost 0 testing123 - test RADIUS server如果radtest收到一个响应，则表明FreeRADIUS服务器工作正常。同时我还推荐另一种免费工具，那就是NTRadPing，它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应，例如属性值。现在让我们来配置FreeRADIUS。配置FreeRADIUSRADIUS服务器的配置包括对服务器、客户机和用户的配置（都是用于验证和授权）。出于不同的需要，对RADIUS服务器可以有不同的配置。幸运的是，大多数配置都是类似的。* 配置服务器FreeRADIUS配置文件通常位于/etc/raddb文件夹下。首先，我们需要像下面这样修改radiusd.conf文件。清单2 修改radiusd.conf1) Global settings:log_auth = yes - log authentication requests to the log filelog_auth_badpass = no - dont log passwords if request rejectedlog_auth_goodpass = no - dont log passwords if request accepted2) LDAP Settings:modules ldap server = - the hostname or IP address of the LDAP server port = 636 - encrypted communications basedn = ou=bluepages,o= - define the base Distinguished Names (DN), - under the Organization (O) , - in the Organization Unit (OU) bluepages filter = (mail=%u) - specify search criteria base_filter = (objectclass=person) - specify base search criteria authenticate - enable authentication against LDAP Auth-Type LDAP ldap 参数被设为使用 IBM BluePages，这是LDAP服务的一个实例。对于其他LDAP服务器，参数可能有所不同。* 配置客户机客 户机是在/etc/raddb/clients.conf 文件中配置的。有两种方式可用于配置RADIUS客户机。您可以按IP subnet将NAS分组（清单 3），或者可以按主机名或 IP 地址列出NAS（清单4）。如果按照第二种方法，可以定义shortname和nastype。清单3 按IP subnet将NAS分组client /24 secret = mysecret1 - the secret should be the same as configured on NAS shortname = mylan - the shortname can be used for logging nastype = cisco - the nastype is used for checkrad and is optional清单4 按主机名或 IP 地址列出 NASclient secret = mysecret1 shortname = myserver nastype = other* 为验证而配置用户文件 /etc/raddb/user 包含每个用户的验证和配置信息。清单5 /etc/raddb/user 文件1) Authentication type:Auth-Type := LDAP - authenticate against LDAPAuth-Type := Local, User-Password = mypasswd - authenticate against the - password set in /etc/raddb/userAuth-Type := System - authenticate against the system password file - /etc/passwd or /etc/shadow2) Service type:Service-Type = Login, - for administrative login* 为授权而配置用户下面的验证服务器属性-值对（AV）应该为用户授权而进行配置。在验证被接受后，这个属性-值对被返回给NAS，作为对管理员登录请求的响应。对于Cisco路由器，有不同的权限级别：级别1是无特权（non-privileged）。提示符是 router，这是用于登录的默认级别。级别15是特权（privileged）。 提示符是 router#，这是进入 enable 模式后的级别。级别2到14 在默认配置中不使用。下面的命令可以使一个用户从网络访问服务器登录，并获得对EXEC命令的立即访问：cisco-avpair =shell:priv-lvl=15 下面的代码处理相同的任务，这一次是对于Cisco无线访问点：Cisco:Avpair= aironet:admin-capability=write+snmp+ident+firmware+admin 任何功能组合都和这个属性一起返回：Cisco:Avpair = aironet:admin-capability=ident+adminCisco:Avpair = aironet:admin-capability=admin 请与 Cisco 联系，以获得关于这些命令的更多信息。配置网络访问服务器接下来我们将配置NAS，首先是配置一个Cisco路由器，然后轮到一个Cisco WAP。对于Cisco IOS 12.1路由器，我们将启用AAA，然后配置验证、授权和记帐。清单6 启用AAAaaa new-modelradius-server host 00radius-server key mysecret1AAA 在路由器上应该被启用。然后，指定能为 NAS 提供 AAA 服务的 RADIUS 服务器的列表。加密密钥用于加密 NAS 和 RADIUS 服务器之间的数据传输。它必须与 FreeRADIUS 上配置的一样。清单7 配置验证aaa authentication login default group radius localline vty 0 4login authentication default在这个例子中，网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用，则使用 NAS 的本地用户数据库密码。清单8 配置授权aaa authorization exec default group radius if-authenticated允许用户在登录到 NAS 中时运行 EXEC shell。清单9 配置记帐aaa accounting system default start-stop group radiusaaa accounting network default start-stop group radiusaaa accounting connection default start-stop group radiusaaa accounting exec default stop-only group radiusaaa accounting commands 1 default stop-only group radiusaaa accounting commands 15 default wait-start group radius必须对路由器进行特别的配置，以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 12.01T1的Cisco 1200 Series AP。如图2中的屏幕快照所示，您：* 输入服务器名或 IP 地址和共享的秘密。* 选择“Radius”作为类型，并选中“User Authentication”。图2 为WAP配置NAS实际上，在这里您还可以配置EAP Authentication，使FreeRADIUS可用于验证无线LAN的一般用户。记帐：工作中的RADIUS现在所有配置都已经完成，FreeRADIUS服务器可以开始记录NAS发送的所有信息，将该信息存储在/var/log/radius/radius.log文件中，就像这样：清单10 /var/log/radius/radius.log文件Thu Mar 3 21:37:32 2005 : Auth: Login OK: David (from client mylan port 1 cli 4)Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: John (from client mylan port 1 cli 4)详细的记帐信息被存放在/var/log/radius/radacct目录中。清单11表明，David在2005年3月4日 19:40到19:51这段时间里从 4登录到了路由器。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大 帮助。清单11 RADIUS 提供的记帐细节示例Fri Mar 4 19:40:12 2005 NAS-IP-Address = NAS-Port = 1 NAS-Port-Type = Virtual User-Name = David Calling-Station-Id = 4 Acct-Status-Type = Start Acct-Authentic = RADIUS Service-Type = NAS-Prompt-User Acct-Session-Id = 00000026 Acct-Delay-Time = 0 Client-IP-Address = Acct-Unique-Sessi