在 Linux 上构建一个 RADIUS 服务器-hkebao-ChinaUnix博客

运维开发yaofang.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

hkebao

博客访问： 29308508
博文数量： 2065
博客积分： 10377
博客等级：上将
技术积分： 21525
用户组：普通用户
注册时间： 2008-11-04 17:50

文章分类

全部博文（2065）

创业天下（1）

技术论坛（0）

方案选择（1）
Android开发（0）
开源项目（12）

puppet配置文件管（0）

开源XEN管理工具（0）

在线图片处理（1）

日志分析工具（1）

计费系统（1）

python统计PY源码（2）

JAVA服务提供器（1）

网络工具（1）

Java版杀进程工具（1）

网络爬虫（2）

论坛发帖机设计（1）
Ruby区（3）

CODE（0）

相关资讯（0）

基础教程（3）
面向服务（1）

rest（0）

xml-rpc（1）
运维与开发（8）

应用服务（1）

网上学习笔记（1）

程序员杂志（1）

投稿（0）

架构方面（0）

网络方面（0）

系统管理OS（1）

开发方面（0）

虚拟化方面（0）

存储方面（0）

数据库方面（3）
互联网（33）

天涯论坛（0）

淘宝开放平台（0）

开放平台开发（0）

朱敬（1）

俞强华（1）

盛大（1）

VC（1）

webgame（0）

其它（1）

云计算（1）

移动互联网（1）

CU（1）

互联网产品设计（1）

InfoQ（2）

技术方向（0）

产品设计（1）

关注腾讯（2）

马化腾（0）

腾讯（1）

从技术解读互联网（2）

网店乐（0）

80后粉丝网（1）

点评网（0）

网站盈利（1）

国内一流互联网公（1）

网站运营（2）

技术动态（2）

搜房网（0）

案例公司（0）

新技术探讨（4）

新闻杂谈（1）

马云（1）

人物（0）

反思（0）

行业动态（2）
Window（10）

基本配置（1）

OS安全配置（1）
Flash（14）

应用篇（0）

中级篇（0）

基础篇（14）

flex学习（0）
DOS命令（7）
虚拟技术（3）

开发（0）

学习笔记（0）

XEN（0）

虚拟软件（0）

虚拟化技术（1）

相关知识（1）

相关技术动态（1）

虚拟动态（0）
linux（177）

源码学习（0）

YUM包（2）

相关专题（0）

RedHat认证（0）

shell杂（1）

Linux内核（1）

网络命令（2）

安全（1）

linux工具（2）

bash（0）

工具代码（3）

linux系统学习教（9）

LVS篇（1）

源码整理（11）

装机（5）

linux小技巧（8）

常用配置文件（2）

Ubuntu（1）

系统管理（4）

linux杂（9）

linux学习（13）

linux调优（2）

VI篇（4）

SED与AWK（6）

linux常用命令（43）

防火墙（6）

SHELL学习（10）

脚本学习（1）

鸟哥私房菜专集（6）

DNS学习（7）
其他内容（416）

混迹社会（0）

2011计划（1）

自己的项目（1）

未来之约（1）

工作日志（4）

日记（4）

职场生涯（4）

区域城市（3）

linux认证（0）

CCNA认证（0）

下一代网站（1）

投资自己（1）

当站长（2）

新闻日记（31）

创业专栏（9）

实战（0）

技术（0）

淘宝易货（0）

编码（1）

读书（3）

新浪财经（0）

程序设计（1）

学习（4）

股票软件（1）

读书笔记（3）

积淀（1）

工作（0）

酒文化（0）

茶文化（0）

搜狐财经（0）

第二职业（1）

压力篇（3）

项目进展（2）

木材（0）

家居（0）

传统产业分析（0）

可行性市场分析（1）

寻找市场（1）

互联网创业（2）

时间管理（2）

要做的平台产品（1）

人际交往（1）

项目学习法（3）

营养（5）

IT认证考试（0）

论坛精华（8）

职业规划（16）

创业篇（2）

年计划（0）

年计划（19）

汽车平台（0）

关注地产（0）

平台（0）

外包项目（2）

求职面试（14）

创业立志（5）

股票学习（0）

美食（1）

学习基金理财（2）

我的基金（2）

面试（0）

反省过去（1）

CTO相关资讯（0）

心情日记（28）

工作（4）

专题一（1）

财务（1）

大项目（3）

互联网盈利（8）

整理电子商务站（1）

男人与石头（1）

金融证券（0）

银行基金（11）

未来计划（13）

架构师（6）

社会经验（10）

工作室（11）

职业规划（8）

理财大全（1）

赚钱计划（10）

我的小说（3）

经典励志（24）

学习计划（2）

健康之道（4）

旁征博引（36）

学习心得（17）

编程心得（19）
java框架（55）

数据导入工具（1）

项目学习记录（0）

WEB框架理论（1）

常见异常错误（1）

整理代码（0）

笔记（0）

常用代码（3）

配置（6）

2010学习笔记（7）

专题（0）

Hibernate（0）

dom4j（2）

xsocket框架（1）

Ant开源学习（2）

Spring框架（0）

structs2.0（30）
php学习（198）

认证项目CI（0）

PHP自定义函数（0）

PHP整理笔记（1）

PHP面向对象（1）

UC专题（3）

wordpress（0）

php专题篇（9）

基于CI开源项目（0）

框架学习（1）

PHP缓存（0）

php整理备战（0）

php常用的代码（1）

PHP整理网站（0）

PHP看开源代码（3）

实战经验（2）

PHP制作公司CMS（3）

看实例学习整理（8）

PHP相关资料整理（18）

整理CU文章（23）

CodeIgniter框架（5）

Smarty学习整理（8）

帝国CMS学习区（3）

PHP168学习区（0）

PHP制作网站总结（51）

PHP常用函数整理（30）

PHP实例教程（7）

PHP入门资料（19）
Javascript（86）

ajax代码库（0）

ajax专题（1）

javascript理论（1）

JQuery应用（8）

javascript基础（3）

DEMO（4）

Javascript专题（7）

JQuery插件专题（6）

js常用代码集合（7）

JQuery框架学习（11）

JS解决跨域（0）

JavaScript小项目（1）

JavaScript整理（12）

Prototype框架（0）

ajax学习（14）
安全红客（7）

CODING（4）

网络安全（3）
敏捷开发（0）

技术准备（0）
奋斗领域（12）

分布式操作系统（0）

嵌入式操作系统（0）

Kernel（0）

Linux方向（0）

Linux内核研究（0）

C学习（2）

C代码库（1）

工具函数（0）

专题篇（3）

2010年专题产品篇（0）

UNIX环境高级编程（2）

网络编程相关（0）

数据结构与算法（0）

服务器性能编程（0）

HTTP编程（0）

网络编程（0）

C实现服务器（2）
J2ME学习（2）
WAP开发（0）
软件测试（3）

相关（1）

单元测试（0）

功能测试（0）

性能测试（1）
数据库学习（218）

故障排查经验（1）

2010数据库大会资（2）

相关资料整理（0）

mysql杂（2）

Mysql基础教程（6）

工作经验（1）

架构瓶颈（1）

系统管理员（1）

数据库技术（4）

基础（0）

索引理论（0）

SQL语句理论（2）

理论（2）

架构设计（0）

SQL编程（0）

MSSQL问题解决（2）

MySQLDBA篇（38）

数据库基础理论（8）

常用系统管理（12）

架构之数据库设计（2）

MySQL编程篇（15）

MySQL架构第一步（6）

MYSQL主从软件（6）

MYSQL查询优化篇（36）

MySQL中的文件（9）

MySQL主从配置（6）

MSSQL2000（12）

数据库加程序（2）

MYSQL（34）
兴趣研究（0）

全文检索（0）
IT运维体系（38）

翻译（2）

转载资料（2）

puppet（4）

ZABBIX（0）

mantis-bug管理系（0）

职业（2）

游戏运维（0）

Rsync（3）

rrd（1）

mrtg（0）

certmaster（0）

Func（1）

Cfengine（1）

cacti（2）

nagios（1）

ITIL（0）

规范流程（0）

Remedy（0）

kettle（0）

jpivot（0）

mondrian（0）

开源框架（1）

实践内容（1）

运维经验整理（2）

网上眼界（10）

新技术（0）

相关理论（4）
Erlang（4）

资料整理（4）
开源学习（6）

开源产品使用（1）

其他开源（1）

Memoranda（0）

Drupal专题学习笔（0）

php开源（0）

python开源代码（2）

C开源代码（0）

Shell开源（0）

JAVA开源（1）
Jython学习（0）

Jython入门学习（0）
理论知识（69）

gfs（1）

mfs（0）

分布式文件系统（1）

SNMP（4）

VPN教程（1）

网络教程（1）

存储教程（3）

存储产品（1）

漫谈存储（3）

存储开发（0）

存储技术（1）

存储理论（2）

存储相关（0）

存储（0）

操作系统（0）

软件工程（0）

其它相关（0）

算法（0）

计算机知识（3）

网上资料（8）

CCNA教程（9）

计算机硬件（4）

FastDFS专题（1）

架构之开源篇（0）

架构之硬件（9）

架构之系统（2）

架构之存储篇（3）

架构之网络篇（7）

计算机网络（2）

正则表达式（3）
服务器配置（105）

nginx源码研究（0）

实际案例分享（1）

nginx开发（2）

apache学习笔记（4）

资料介绍（1）

资料使用（0）

CDN（2）

LVS（0）

服务器安全（1）

haproxy（1）

Varnish（0）

squid（1）

编程篇（0）

memcached（2）

nginx整理学习（15）

nginx实战经验（5）

nginx官网资料（4）

FTP服务器（1）

lighttpd（3）

版本控制管理（8）

负载均衡（1）

nginx服务器（8）

服务器集群（1）

IIS服务器（12）

resin服务器（16）

Apache服务器（13）

Tomcat服务器（3）
JSP学习（57）

JSP开发经验之谈（2）

JSP架构设计（1）

JSP基础（1）

JSP专题（3）

J2EE体系（0）

JSP缓存整理（2）

JSP配置文件（3）

JSP实践编程（2）

JSP自定义标签（10）

JSP文本操作（2）

JSP扩展话题（1）

JAVABEAN学习（5）

Servlets学习（12）
XML学习（15）

YAML（0）

SOAP专题（2）

XML基础篇（7）

WebService（0）

JSON（6）
ASP学习（89）

ASP专题整理（5）

vbs教程（4）

JMail整理版（1）

ASP其他（2）

ASP建站整理（9）

ASP整理归档版（22）

ASP工具整理（14）
专题讨论（99）

LDAP（0）

LINUX密码管理（0）

代码优化JOB（2）

CI框架公司培训（1）

理论学习（0）

JSP（1）

内存DB（1）

代码库（1）

HTTP隧道（0）

破解验证码（2）

研究专题（1）

JQuery培训（0）

MySQL架构（3）

培训专题（0）

GAE专题（0）

不懂就学专题（1）

Google APP Engin（0）

ROR框架整理（0）

Hibernate整理（1）

Django培训专题（0）

编程思想篇（1）

8月份研究模拟Htt（1）

HttpClient学习（2）

Java开源版商城（0）

JAVA实现下载器（2）

学习项目制作（0）

PHP（10）

文档编写（1）

WEB服务器（1）

网页爬虫（9）

网络处理老师（1）

好的网站大全（2）

JavaScript代码（6）

CSS样式（0）

Java（17）

Python（24）

ASP（8）
编程工具（13）
JAVA学习（160）

数据库编程（11）

JAVA短信（0）

Java面试题（1）

JAVA日常工具（3）

JAVA新技术（2）

开发思想JAVA版（1）

JAVA小品（1）

SCJP考证（1）

java基础教程（5）

JAVA网络编程（10）

JAVA岗位招聘（5）

JAVA性能监控（3）

JAVA与设计模式（0）

java.lang（1）

系统学习（2）

java.util（7）

Java代码之美（2）

基础学习整理（6）

JAVA高级工程师（11）

高性能架构（2）

专题研究（8）

java.io（1）

SUN官网资料（2）

JAVA缓存（0）

JAVA正则（1）

RMI（1）

JAVA基础（20）

面向接口编程（1）

JAVA编程思想（3）

JAVA操作流文件（9）

JAVAMail专题（2）

JAVA中数据结构（12）

JMS学习（1）
WEB开发（79）

原创架构（1）

架构大讲堂（8）

CSS框架（0）

百度UED团队（2）

前端开发（0）

架构整理（3）

DIV+CSS实例整理（0）

DIV学习笔记（2）

前台学习资料（1）

HTTP理论（19）

COOKIE详细分析（5）

SVG学习篇（10）

WEB页面分析（0）

程序方面（0）

CSS框架（3）

SEO优化（0）

页面编码（2）

HTML学习（18）

div+css（5）
未分配的博文（65）

文章存档

2012年（2）

2011年（19）

2010年（1160）

2009年（969）

2008年（153）

我的朋友

相关博文

在 Linux 上构建一个 RADIUS 服务器

分类： LINUX

2009-11-10 21:50:59

2005 年 6 月 23 日

作为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用 Linux™ 上的一个外部 RADIUS 服务器来验证用户，具体来说是通过一个 LDAP 服务器进行验证，可以集中放置存储在 LDAP 服务器上并且由 RADIUS 服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据 —— 确保提供机密性、完整性和可用性 —— 对管理员来说至关重要。

在本文中，我将谈到数据安全性的机密性方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在 Linux 系统上建立和配置一个 Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。

首先让我们谈一谈 RADIUS 协议、AAA 组件以及它们如何工作，另外还有 LDAP 协议。

Remote Authentication Dial-In User Service 协议是在 IETF 的 RFC 2865 中定义的（请参阅参考资料获得相关链接）。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS 客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点（访问点是网络上专门配置的节点；WAP 是无线版本）。RADIUS 服务器通常是在 UNIX 或 Windows 2000 服务器上运行的一个监护程序。

如果 NAS 收到用户连接请求，它会将它们传递到指定的 RADIUS 服务器，后者对用户进行验证，并将用户的配置信息返回给 NAS。然后，NAS 接受或拒绝连接请求。

功能完整的 RADIUS 服务器可以支持很多不同的用户验证机制，除了 LDAP 以外，还包括：

PAP（Password Authentication Protocol，密码验证协议，与 PPP 一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；
CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比 PAP 更安全，它同时使用用户名和密码）；
本地 UNIX/Linux 系统密码数据库（/etc/passwd）；
其他本地数据库。

在 RADIUS 中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么 RADIUS 服务器将返回一个 Access-Accept 响应，其中包括一些参数（属性-值对），以保证对该用户的访问。这些参数是在 RADIUS 中配置的，包括访问类型、协议类型、用户指定该用户的 IP 地址以及一个访问控制列表（ACL）或要在 NAS 上应用的静态路由，另外还有其他一些值。

RADIUS 记帐特性（在 RFC 2866 中定义；请参阅参考资料获得相关链接）允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源 —— 例如时间、包和字节。

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类 X.500 目录中信息的一种方法。LDAP 可用于将用户信息保存在一个中央场所，从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。

LDAP 在一个集中的目录中管理用户，从而简化了用户管理工作。除了存储用户信息外，在 LDAP 中定义用户还可以使一些可选特性得到启用，例如限制登录的数量。在本文中，您将学习如何配置 RADIUS 服务器，以便基于 LDAP 验证用户 —— 由于本文的重点在于 RADIUS，我不会描述关于 LDAP 服务器的安装和配置的细节。

OpenLDAP 是 LDAP 的一种开放源码实现。在 OpenLDAP.org 上可以找到关于它的详细信息（请参阅参考资料获得相关链接）。

想像以下场景：

用户在家里可以通过拨号验证访问他公司的内部网。
带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。
管理员使用他们的工作站通过管理用户验证以 telnet 或 HTTP 登录到网络设备。

所有这些验证任务都可以通过一个 RADIUS 服务器基于一个中央 LDAP 服务器来完成（见图 1）。

在本文中，我将重点描述对最后一种选项的实现，作为对该解决方案的一个介绍。首先安装 RADIUS 服务器。

回页首

RADIUS 服务器软件可以从多个地方获得。在本文中，我将使用 FreeRADIUS（请参阅参考资料获得相关链接），但 Cisco Secure Access Control Server (ACS) 是一种集中式用户访问控制框架，可用于跨 UNIX 和 Windows 上多个 Cisco 设备的用户管理，并支持 Cisco 特有的协议 TACACS+（据说在支持 TACACS+ 的设备上可拥有更多的特性）。

FreeRADIUS 是来自开放源码社区的一种强大的 Linux 上的 RADIUS 服务器，可用于如今的分布式和异构计算环境。FreeRADIUS 1.0.2 支持 LDAP、MySQL、PostgreSQL 和 Oracle 数据库，并与诸如 EAP 和 Cisco LEAP 之类的网络协议兼容。FreeRADIUS 目前被部署在很多大型生产网络系统中。

下面的步骤演示如何在 Red Hat Enterprise Linux Advanced Server 3.0 上安装和测试 FreeRADIUS 1.0.2：

				
tar -zxvf freeradius-1.0.2.tar.gz         - extract it with gunzip and tar
./configure
make
make install                              - run this command as root
radiusd or                                - start RADIUS server
radiusd -X                                - start RADIUS server in debug mode
radtest test test localhost 0 testing123  - test RADIUS server

如果 radtest 收到一个响应，则表明 FreeRADIUS 服务器工作正常。

同时我还推荐另一种免费工具，那就是 NTRadPing（请参阅参考资料获得相关链接），它可用于测试来自 Windows 客户机的验证和授权请求。它可以显示从 RADIUS 服务器发回的详细的响应，例如属性值。

现在让我们来配置 FreeRADIUS。

回页首

RADIUS 服务器的配置包括对服务器、客户机和用户的配置（都是用于验证和授权）。出于不同的需要，对 RADIUS 服务器可以有不同的配置。幸运的是，大多数配置都是类似的。

FreeRADIUS 配置文件通常位于 /etc/raddb 文件夹下。首先，我们需要像下面这样修改 radiusd.conf 文件。

				
				1) Global settings:
log_auth = yes                - log authentication requests to the log file
log_auth_badpass = no         - don't log passwords if request rejected
log_auth_goodpass = no        - don't log passwords if request accepted
2) LDAP Settings:
modules {
   ldap {
      server = "bluepages.ibm.com"   - the hostname or IP address of the LDAP server
      port = 636                     - encrypted communications
      basedn = "ou=bluepages,o=ibm.com"   - define the base Distinguished Names (DN),
                                          - under the Organization (O) "ibm.com",
                                          - in the Organization Unit (OU) "bluepages"
      filter = "(mail=%u)"                   - specify search criteria
      base_filter = "(objectclass=person)"   - specify base search criteria
   }
authenticate {                - enable authentication against LDAP
   Auth-Type LDAP {
      ldap
   }

参数被设为使用 IBM BluePages，这是 LDAP 服务的一个实例。对于其他 LDAP 服务器，参数可能有所不同。

客户机是在 /etc/raddb/clients.conf 文件中配置的。有两种方式可用于配置 RADIUS 客户机。您可以按 IP subnet 将 NAS 分组（清单 3），或者可以按主机名或 IP 地址列出 NAS（清单 4）。如果按照第二种方法，可以定义 shortname 和 nastype。

				
client 192.168.0.0/24 {
   secret      = mysecret1   - the "secret" should be the same as configured on NAS
   shortname   = mylan       - the "shortname" can be used for logging
   nastype      = cisco      - the "nastype" is used for checkrad and is optional
}

				
client 192.168.0.1 {
   secret      = mysecret1
   shortname   = myserver
   nastype      = other
}

文件 /etc/raddb/user 包含每个用户的验证和配置信息。

				
				1) Authentication type:
Auth-Type := LDAP       - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
                        - authenticate against the
                        - password set in /etc/raddb/user
Auth-Type := System     - authenticate against the system password file
                        - /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login,   - for administrative login

下面的验证服务器属性-值对（AV）应该为用户授权而进行配置。在验证被接受后，这个属性-值对被返回给 NAS，作为对管理员登录请求的响应。

对于 Cisco 路由器，有不同的权限级别：

级别 1 是无特权（non-privileged）。提示符是 router>，这是用于登录的默认级别。
级别 15 是特权（privileged）。提示符是 router#，这是进入 enable 模式后的级别。
级别 2 到 14 在默认配置中不使用。

下面的命令可以使一个用户从网络访问服务器登录，并获得对 EXEC 命令的立即访问：

cisco-avpair ="shell:priv-lvl=15"

下面的代码处理相同的任务，这一次是对于 Cisco 无线访问点：

Cisco:Avpair = "aironet:admin-capability=write+snmp+ident+firmware+admin"

任何功能组合都和这个属性一起返回：

Cisco:Avpair = "aironet:admin-capability=ident+admin" Cisco:Avpair = "aironet:admin-capability=admin"

请与 Cisco 联系，以获得关于这些命令的更多信息。

回页首

接下来我们将配置 NAS，首先是配置一个 Cisco 路由器，然后轮到一个 Cisco WAP。

对于 Cisco IOS 12.1 路由器，我们将启用 AAA，然后配置验证、授权和记帐。

				
aaa new-model
radius-server host 192.168.0.100
radius-server key mysecret1

AAA 在路由器上应该被启用。然后，指定能为 NAS 提供 AAA 服务的 RADIUS 服务器的列表。加密密钥用于加密 NAS 和 RADIUS 服务器之间的数据传输。它必须与 FreeRADIUS 上配置的一样。

				
aaa authentication login default group radius local
line vty 0 4
login authentication default

在这个例子中，网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用，则使用 NAS 的本地用户数据库密码。

				
aaa authorization exec default group radius if-authenticated

允许用户在登录到 NAS 中时运行 EXEC shell。

				
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius

必须对路由器进行特别的配置，以使之发送记帐记录到 RADIUS 服务器。使用清单 9 中的命令记录关于 NAS 系统事件、网络连接、输出连接、EXEC 操作以及级别 1 和级别 15 上的命令的记帐信息。

这样就好了。现在让我们看看为 Cisco 无线访问点而进行的配置。下面的配置适用于带有 Firmware 12.01T1 的 Cisco 1200 Series AP。如图 2 中的屏幕快照所示，您：

输入服务器名或 IP 地址和共享的秘密。
选择“Radius”作为类型，并选中“User Authentication”。

实际上，在这里您还可以配置 EAP Authentication，使 FreeRADIUS 可用于验证无线 LAN 的一般用户。

回页首

现在所有配置都已经完成，FreeRADIUS 服务器可以开始记录 NAS 发送的所有信息，将该信息存储在 /var/log/radius/radius.log 文件中，就像这样：

				
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
                                mylan port 1 cli 192.168.0.94)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
                                client mylan port 1 cli 192.168.0.94)

详细的记帐信息被存放在 /var/log/radius/radacct 目录中。清单 11 表明，David 在 2005 年 3 月 4 日 19:40 到 19:51 这段时间里从 192.168.0.94 登录到了路由器 192.168.0.1。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。

				
Fri Mar  4 19:40:12 2005
        NAS-IP-Address = 192.168.0.1
        NAS-Port = 1
        NAS-Port-Type = Virtual
        User-Name = "David"
        Calling-Station-Id = "192.168.0.94"
        Acct-Status-Type = Start
        Acct-Authentic = RADIUS
        Service-Type = NAS-Prompt-User
        Acct-Session-Id = "00000026"
        Acct-Delay-Time = 0
        Client-IP-Address = 192.168.0.1
        Acct-Unique-Session-Id = "913029a52dacb116"
        Timestamp = 1109936412
Fri Mar  4 19:51:17 2005
        NAS-IP-Address = 192.168.0.1
        NAS-Port = 1
        NAS-Port-Type = Virtual
        User-Name = "David"
        Calling-Station-Id = "192.168.0.94"
        Acct-Status-Type = Stop
        Acct-Authentic = RADIUS
        Service-Type = NAS-Prompt-User
        Acct-Session-Id = "00000026"
        Acct-Terminate-Cause = Idle-Timeout
        Acct-Session-Time = 665
        Acct-Delay-Time = 0
        Client-IP-Address = 192.168.0.1
        Acct-Unique-Session-Id = "913029a52dacb116"
        Timestamp = 1109937077

回页首

通过遵循本文中列出的简单步骤，您可以建立一个 Remote Authentication Dial-In User Service 服务器，该服务器使用一个外部的 LDAP 服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务：

对 RADIUS 和 LDAP 服务器以及 AAA 概念的介绍。
一个融入了安装和配置任务的场景。
关于安装和配置 RADIUS 服务器的说明。
关于配置网络访问服务器的细节。
RADIUS 将提供和管理的详细信息的一个示例。

这些指示可以快速确保受保护的数据只能由 Linux 系统上已授权的实体访问。

阅读(947) | 评论(0) | 转发(0) |

上一篇：程序员之路探究

下一篇：CDN 概念

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6