freeradius+mysql为华为AP做无线用户MAC地址验证-sky

ZN＋FB

首页　| 　博文目录　| 　关于我

sky_home

博客访问： 225820
博文数量： 26
博客积分： 1435
博客等级：上尉
技术积分： 290
用户组：普通用户
注册时间： 2005-12-15 16:11

文章分类

全部博文（26）

linux（10）
网络技术（2）
维护手记（2）
oracle（11）
未分配的博文（1）

文章存档

2014年（1）

2013年（2）

2012年（1）

2011年（1）

2010年（2）

2009年（11）

2008年（3）

2006年（3）

2005年（2）

我的朋友

相关博文

freeradius+mysql为华为AP做无线用户MAC地址验证

分类：系统运维

2008-12-11 14:48:54

公司新买了几个H3C的无线AP（WA2220E-AG），为安全起见，严格控制允许接入无线AP的MAC地址。一开始使用白名单功能进行无线用户MAC地址控制。结果没想到H3C这个东东的白名单只支持64个MAC地址,晕！没办法，找800，建议使用MAC地址认证来控制。

MAC地址认证有两种方式，其一是认证的用户名和密码设置在AP配置的LOCAL-USER中，这个很麻烦。比如我们有好几个AP，来一个新用户，就要登录这些AP都执行一遍添加操作，删除过程也是如此。其二可以使用radius服务器来认证，只要在mysql数据库中加入MAC地址，所有AP都可以对MAC地址进行验证，简单方便。

关于freeradius+mysql的配置参考我的前一篇文章http://blog.chinaunix.net/u/12207/showart.php?id=163495，过程完全一样。

需要注意：

mysql数据库中加入的用于MAC认证的用户名和密码为MAC地址，必须小写并且没有间隔。例如无线网卡的mac地址为：0021-0064-E2B1,则加入mysql数据库中的用户名和密码均为：00210064e2b1。用户名和密码对应mysql数据库中radius表的username和value字段。

配置完这两个软件后，剩下的就是配置AP了。

环境：freeradius主服务器地址：192.168.30.3（必须）备用服务器：192.168.30.4（可选）

AP的地址：192.168.44.11

AP与freeradius服务器之间通讯的密码为：123456（参考前一篇文章，在clients.conf中配置）

1、配置radius scheme：

全局下：

radius scheme mac-radius

primary authentication 192.168.30.3

primary accounting 192.168.30.3

secondary authentication 192.168.30.4

secondary accounting 192.168.30.4

key authentication 123456

key accounting 123456

user-name-format without-domain

2、配置MAC认证的域：

全局下：

domain mac-dom

authentication default radius-scheme mac-radius

authorization default radius-scheme mac-radius

accounting default radius-scheme mac-radius

access-limit disable

state active

idle-cut disable

self-service-url disable

3、配置全局MAC认证：

port-security enable

mac-authentication domain mac-dom

4、开启无线端口的MAC认证

[AP01] int WLAN-BSS 1

[AP01-WLAN-BSS1] port-security port-mode mac-authentication

[AP01] int WLAN-BSS 2

[AP01-WLAN-BSS2] port-security port-mode mac-authentication

阅读(12538) | 评论(0) | 转发(0) |

上一篇：程序的SUID/SGID属性

下一篇：oracle用户远程建表、用户、授权、导入数据

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6