中文字幕亚洲情99在线_ 構建一個(gè)RADIUS服務(wù)器

構建一個(gè)RADIUS服務(wù)器

時(shí)間：2005-11-27 21:06:43 來(lái)源：作者：

作為一名網(wǎng)絡(luò )管理員，您需要為您所需管理的每個(gè)網(wǎng)絡(luò )設備存放用于管理的用戶(hù)信息。但是網(wǎng)絡(luò )設備通常只支持有限的用戶(hù)管理功能。學(xué)習如何使用Linux上的一個(gè)外部RADIUS服務(wù)器來(lái)驗證用戶(hù)，具體來(lái)說(shuō)是通過(guò)一個(gè)LDAP服務(wù)器進(jìn)行驗證，可以集中放置存儲在LDAP服務(wù)器上并且由RADIUS服務(wù)器進(jìn)行驗證的用戶(hù)信息，從而既可以減少用戶(hù)管理上的管理開(kāi)銷(xiāo)，又可以使遠程登錄過(guò)程更加安全。

數據安全作為現代系統中網(wǎng)絡(luò )安全的一部分，與系統安全一樣的重要，所以保護數據--確保提供機密性、完整性和可用性--對管理員來(lái)說(shuō)至關(guān)重要。

在本文中，我將談到數據安全性的機密性方面：確保受保護的數據只能被授權用戶(hù)或系統訪(fǎng)問(wèn)。您將學(xué)習如何在Linux系統上建立和配置一個(gè)Remote Authentication Dial-In User Service 服務(wù)器（RADIUS），以執行對用戶(hù)的驗證、授權和記帳（AAA）。

各組成元素介紹

首先讓我們談一談RADIUS協(xié)議、AAA組件以及它們如何工作，另外還有LDAP協(xié)議。

Remote Authentication Dial-In User Service 協(xié)議是在IET的RFC 2865中定義的（請參閱參考資料獲得相關(guān)鏈接）。它允許網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器（NAS）執行對用戶(hù)的驗證、授權和記帳。RADIUS是基于UDP的一種客戶(hù)機/服務(wù)器協(xié)議。RADIUS客戶(hù)機是網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器，它通常是一個(gè)路由器、交換機或無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)（訪(fǎng)問(wèn)點(diǎn)是網(wǎng)絡(luò )上專(zhuān)門(mén)配置的節點(diǎn)；WAP是無(wú)線(xiàn)版本）。RADIUS服務(wù)器通常是在UNIX或Windows 2000服務(wù)器上運行的一個(gè)監護程序。

RADIUS和AAA

如果NAS收到用戶(hù)連接請求，它會(huì )將它們傳遞到指定的RADIUS服務(wù)器，后者對用戶(hù)進(jìn)行驗證，并將用戶(hù)的配置信息返回給NAS。然后，NAS接受或拒絕連接請求。

功能完整的RADIUS服務(wù)器可以支持很多不同的用戶(hù)驗證機制，除了LDAP以外，還包括：

PAP（Password Authentication Protocol，密碼驗證協(xié)議，與PPP一起使用，在此機制下，密碼以明文形式被發(fā)送到客戶(hù)機進(jìn)行比較）；

CHAP（Challenge Handshake Authentication Protocol，挑戰握手驗證協(xié)議，比PAP更安全，它同時(shí)使用用戶(hù)名和密碼）；

本地UNIX/Linux系統密碼數據庫（/etc/passwd）；

其他本地數據庫。

在RADIUS中，驗證和授權是組合在一起的。如果發(fā)現了用戶(hù)名，并且密碼正確，那么RADIUS服務(wù)器將返回一個(gè)Access-Accept響應，其中包括一些參數（屬性-值對），以保證對該用戶(hù)的訪(fǎng)問(wèn)。這些參數是在RADIUS中配置的，包括訪(fǎng)問(wèn)類(lèi)型、協(xié)議類(lèi)型、用戶(hù)指定該用戶(hù)的IP地址以及一個(gè)訪(fǎng)問(wèn)控制列表（ACL）或要在NAS上應用的靜態(tài)路由，另外還有其他一些值。

RADIUS記帳特性（在RFC 2866中定義；請參閱參考資料獲得相關(guān)鏈接）允許在連接會(huì )話(huà)的開(kāi)始和結束發(fā)送數據，表明在會(huì )話(huà)期間使用的可能用于安全或開(kāi)單（billing）需要的大量資源--例如時(shí)間、包和字節。

輕量級目錄訪(fǎng)問(wèn)協(xié)議

輕量級目錄訪(fǎng)問(wèn)協(xié)議（Lightweight Directory Access Protocol，LDAP）是一種開(kāi)放標準，它定義了用于訪(fǎng)問(wèn)和更新類(lèi)X.500 目錄中信息的一種方法。LDAP可用于將用戶(hù)信息保存在一個(gè)中央場(chǎng)所，從而不必將相同的信息存儲在每個(gè)系統上。它還可以用于以一種一致的、可控制的方式維護和訪(fǎng)問(wèn)信息。

LDAP在一個(gè)集中的目錄中管理用戶(hù)，從而簡(jiǎn)化了用戶(hù)管理工作。除了存儲用戶(hù)信息外，在LDAP中定義用戶(hù)還可以使一些可選特性得到啟用，例如限制登錄的數量。在本文中，您將學(xué)習如何配置RADIUS服務(wù)器，以便基于LDAP驗證用戶(hù)--由于本文的重點(diǎn)在于RADIUS，我不會(huì )描述關(guān)于LDAP服務(wù)器的安裝和配置的細節。

OpenLDAP是LDAP的一種開(kāi)放源碼實(shí)現。在OpenLDAP.org上可以找到關(guān)于它的詳細信息（請參閱參考資料獲得相關(guān)鏈接）。

場(chǎng)景

想像以下場(chǎng)景：

用戶(hù)在家里可以通過(guò)撥號驗證訪(fǎng)問(wèn)他公司的內部網(wǎng)。

帶無(wú)線(xiàn)支持的筆記本電腦可以通過(guò)無(wú)線(xiàn)驗證連接到一個(gè)校園網(wǎng)。

管理員使用他們的工作站通過(guò)管理用戶(hù)驗證以telnet或HTTP登錄到網(wǎng)絡(luò )設備。

所有這些驗證任務(wù)都可以通過(guò)一個(gè)RADIUS服務(wù)器基于一個(gè)中央LDAP服務(wù)器來(lái)完成（見(jiàn)圖 1）。

圖1 通過(guò)RADIUS和LDAP進(jìn)行驗證

在本文中，我將重點(diǎn)描述對最后一種選項的實(shí)現，作為對該解決方案的一個(gè)介紹。首先安裝RADIUS服務(wù)器。

安裝 RADIUS

RADIUS服務(wù)器軟件可以從多個(gè)地方獲得。在本文中，我將使用FreeRADIUS（請參閱參考資料獲得相關(guān)鏈接），但Cisco Secure Access Control Server (ACS)是一種集中式用戶(hù)訪(fǎng)問(wèn)控制框架，可用于跨UNIX和Windows上多個(gè)Cisco設備的用戶(hù)管理，并支持Cisco 特有的協(xié)議TACACS+（據說(shuō)在支持TACACS+的設備上可擁有更多的特性）。

FreeRADIUS是來(lái)自開(kāi)放源碼社區的一種強大的Linux上的RADIUS服務(wù)器，可用于如今的分布式和異構計算環(huán)境。FreeRADIUS 1.0.2 支持LDAP、MySQL、PostgreSQL和Oracle數據庫，并與諸如EAP和Cisco LEAP之類(lèi)的網(wǎng)絡(luò )協(xié)議兼容。FreeRADIUS目前被部署在很多大型生產(chǎn)網(wǎng)絡(luò )系統中。

下面的步驟演示如何在Red Hat Enterprise Linux Advanced Server 3.0上安裝和測試FreeRADIUS 1.0.2：

清單1 安裝和測試FreeRADIUS

tar -zxvf freeradius-1.0.2.tar.gz - extract it with gunzip and tar

./configure

make

make install - run this command as root

radiusd or - start RADIUS server

radiusd -X - start RADIUS server in debug mode

radtest test test localhost 0 testing123 - test RADIUS server

如果radtest收到一個(gè)響應，則表明FreeRADIUS服務(wù)器工作正常。

同時(shí)我還推薦另一種免費工具，那就是NTRadPing，它可用于測試來(lái)自Windows客戶(hù)機的驗證和授權請求。它可以顯示從RADIUS服務(wù)器發(fā)回的詳細的響應，例如屬性值。

現在讓我們來(lái)配置FreeRADIUS。

配置FreeRADIUS

RADIUS服務(wù)器的配置包括對服務(wù)器、客戶(hù)機和用戶(hù)的配置（都是用于驗證和授權）。出于不同的需要，對RADIUS服務(wù)器可以有不同的配置。幸運的是，大多數配置都是類(lèi)似的。

* 配置服務(wù)器

FreeRADIUS配置文件通常位于/etc/raddb文件夾下。首先，我們需要像下面這樣修改radiusd.conf文件。

清單2 修改radiusd.conf

1) Global settings:

log_auth = yes - log authentication requests to the log file

log_auth_badpass = no - don't log passwords if request rejected

log_auth_goodpass = no - don't log passwords if request accepted

2) LDAP Settings:

modules {

ldap {

server = "bluepages.ibm.com" - the hostname or IP address of the LDAP server

port = 636 - encrypted communications

basedn = "ou=bluepages,o=ibm.com" - define the base Distinguished Names (DN),

- under the Organization (O) "ibm.com",

- in the Organization Unit (OU) "bluepages"

filter = "(mail=%u)" - specify search criteria

base_filter = "(objectclass=person)" - specify base search criteria

}

authenticate { - enable authentication against LDAP

Auth-Type LDAP {

ldap

}

參數被設為使用 IBM BluePages，這是LDAP服務(wù)的一個(gè)實(shí)例。對于其他LDAP服務(wù)器，參數可能有所不同。

* 配置客戶(hù)機

客戶(hù)機是在/etc/raddb/clients.conf 文件中配置的。有兩種方式可用于配置RADIUS客戶(hù)機。您可以按IP subnet將NAS分組（清單 3），或者可以按主機名或 IP 地址列出NAS（清單4）。如果按照第二種方法，可以定義shortname和nastype。

清單3 按IP subnet將NAS分組

client 192.168.0.0/24 {

secret = mysecret1 - the "secret" should be the same as configured on NAS

shortname = mylan - the "shortname" can be used for logging

nastype = cisco - the "nastype" is used for checkrad and is optional

}

清單4 按主機名或 IP 地址列出 NAS

client 192.168.0.1 {

secret = mysecret1

shortname = myserver

nastype = other

}

* 為驗證而配置用戶(hù)

文件 /etc/raddb/user 包含每個(gè)用戶(hù)的驗證和配置信息。

清單5 /etc/raddb/user 文件

1) Authentication type:

Auth-Type := LDAP - authenticate against LDAP

Auth-Type := Local, User-Password == "mypasswd"

- authenticate against the

- password set in /etc/raddb/user

Auth-Type := System - authenticate against the system password file

- /etc/passwd or /etc/shadow

2) Service type:

Service-Type = Login, - for administrative login

* 為授權而配置用戶(hù)

下面的驗證服務(wù)器屬性-值對（AV）應該為用戶(hù)授權而進(jìn)行配置。在驗證被接受后，這個(gè)屬性-值對被返回給NAS，作為對管理員登錄請求的響應。

對于Cisco路由器，有不同的權限級別：

級別1是無(wú)特權（non-privileged）。提示符是 router>，這是用于登錄的默認級別。

級別15是特權（privileged）。提示符是 router#，這是進(jìn)入 enable 模式后的級別。

級別2到14 在默認配置中不使用。

下面的命令可以使一個(gè)用戶(hù)從網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器登錄，并獲得對EXEC命令的立即訪(fǎng)問(wèn)：

cisco-avpair ="shell:priv-lvl=15"

下面的代碼處理相同的任務(wù)，這一次是對于Cisco無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)：

Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"

任何功能組合都和這個(gè)屬性一起返回：

Cisco:Avpair = "aironet:admin-capability=ident+admin"

Cisco:Avpair = "aironet:admin-capability=admin"

請與 Cisco 聯(lián)系，以獲得關(guān)于這些命令的更多信息。

配置網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器

接下來(lái)我們將配置NAS，首先是配置一個(gè)Cisco路由器，然后輪到一個(gè)Cisco WAP。

對于Cisco IOS 12.1路由器，我們將啟用AAA，然后配置驗證、授權和記帳。

清單6 啟用AAA

aaa new-model

radius-server host 192.168.0.100

radius-server key mysecret1

AAA 在路由器上應該被啟用。然后，指定能為 NAS 提供 AAA 服務(wù)的 RADIUS 服務(wù)器的列表。加密密鑰用于加密 NAS 和 RADIUS 服務(wù)器之間的數據傳輸。它必須與 FreeRADIUS 上配置的一樣。

清單7 配置驗證

aaa authentication login default group radius local

line vty 0 4

在這個(gè)例子中，網(wǎng)絡(luò )管理員使用 RADIUS 驗證。如果 RADIUS 服務(wù)器不可用，則使用 NAS 的本地用戶(hù)數據庫密碼。

清單8 配置授權

aaa authorization exec default group radius if-authenticated

允許用戶(hù)在登錄到 NAS 中時(shí)運行 EXEC shell。

清單9 配置記帳

aaa accounting system default start-stop group radius

aaa accounting network default start-stop group radius

aaa accounting connection default start-stop group radius

aaa accounting exec default stop-only group radius

aaa accounting commands 1 default stop-only group radius

aaa accounting commands 15 default wait-start group radius

必須對路由器進(jìn)行特別的配置，以使之發(fā)送記帳記錄到RADIUS服務(wù)器。使用清單9中的命令記錄關(guān)于NAS系統事件、網(wǎng)絡(luò )連接、輸出連接、EXEC操作以及級別1和級別15上的命令的記帳信息。

這樣就好了?，F在讓我們看看為Cisco無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)而進(jìn)行的配置。下面的配置適用于帶有Firmware 12.01T1的Cisco 1200 Series AP。如圖2中的屏幕快照所示，您：

* 輸入服務(wù)器名或 IP 地址和共享的秘密。

* 選擇“Radius”作為類(lèi)型，并選中“User Authentication”。

圖2 為WAP配置NAS

實(shí)際上，在這里您還可以配置EAP Authentication，使FreeRADIUS可用于驗證無(wú)線(xiàn)LAN的一般用戶(hù)。
記帳：工作中的RADIUS

現在所有配置都已經(jīng)完成，FreeRADIUS服務(wù)器可以開(kāi)始記錄NAS發(fā)送的所有信息，將該信息存儲在/var/log/radius/radius.log文件中，就像這樣：

清單10 /var/log/radius/radius.log文件

Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client

mylan port 1 cli 192.168.0.94)

Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from

client mylan port 1 cli 192.168.0.94)

詳細的記帳信息被存放在/var/log/radius/radacct目錄中。清單11表明，David在2005年3月4日19:40到19:51這段時(shí)間里從 192.168.0.94登錄到了路由器192.168.0.1。這么詳細的信息對于正在調查安全事故以及試圖維護易于審計的記錄的管理員來(lái)說(shuō)無(wú)疑是一大幫助。

清單11 RADIUS 提供的記帳細節示例

Fri Mar 4 19:40:12 2005

NAS-IP-Address = 192.168.0.1

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = "David"

Calling-Station-Id = "192.168.0.94"

Acct-Status-Type = Start

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-User

Acct-Session-Id = "00000026"

Acct-Delay-Time = 0

Client-IP-Address = 192.168.0.1

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109936412

Fri Mar 4 19:51:17 2005

NAS-IP-Address = 192.168.0.1

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = "David"

Calling-Station-Id = "192.168.0.94"

Acct-Status-Type = Stop

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-User

Acct-Session-Id = "00000026"

Acct-Terminate-Cause = Idle-Timeout

Acct-Session-Time = 665

Acct-Delay-Time = 0

Client-IP-Address = 192.168.0.1

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109937077

結束語(yǔ)

通過(guò)遵循本文中列出的簡(jiǎn)單步驟，您可以建立一個(gè)Remote Authentication Dial-In User Service服務(wù)器，該服務(wù)器使用一個(gè)外部的LDAP服務(wù)器來(lái)處理為網(wǎng)絡(luò )安全問(wèn)題而進(jìn)行的驗證、授權和記帳。本文提供了以下內容來(lái)幫助您完成此任務(wù)：

* 對RADIUS和LDAP服務(wù)器以及AAA概念的介紹。

* 一個(gè)融入了安裝和配置任務(wù)的場(chǎng)景。

* 關(guān)于安裝和配置RADIUS服務(wù)器的說(shuō)明。

* 關(guān)于配置網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器的細節。

* RADIUS將提供和管理的詳細信息的一個(gè)示例。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久