Chinaunix首页 | 论坛 | 博客
  • 博客访问: 968308
  • 博文数量: 86
  • 博客积分: 2283
  • 博客等级: 大尉
  • 技术积分: 861
  • 用 户 组: 普通用户
  • 注册时间: 2009-02-04 09:02
个人简介

没什么好说的。

文章分类

全部博文(86)

文章存档

2014年(1)

2013年(5)

2012年(7)

2011年(26)

2010年(20)

2009年(27)

分类: LINUX

2009-06-15 10:20:33

环境:

1、linux服务器:用于ssh登录,同时做为radius客户端。

    CentOS5

    IP:10.0.1.1

2、Radius服务器:用于radius客户端,同时做为域成员(加入AD域)

    windows 2003   加入域 并启用internet验证服务

  IP:10.100.1.1

linux服务器的设置

下载pam_radius-1.3.17.tar.gz
tar -zxvf pam_radius-1.3.17.tar.gz
cd pam_radius-1.3.17
vi pam_radius_auth.conf
修改部分:

# server[:port] shared_secret      timeout (s)
10.0.100.1       123456             1
#other-server    other-secret       3

make 得到pam_radius_auth.so文件
cp pam_radius_auth.so /lib/security/

mkdir /etc/raddb/ (如果没有的话)
cp pam_radius_auth.conf  /etc/raddb/server
chown go-rwx root /etc/raddb
chown go-rwx root /etc/raddb/server

cp /etc/pam.d/sshd /etc/pam.d/sshd.backup
vi /etc/pam.d/sshd
将sshd文件中的内容替换为:

#%PAM-1.0
auth sufficient /lib/security/pam_radius_auth.so debug client_id=linux
auth sufficient pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_loginuid.so

Radius服务器的配置:

(Radius服务器环境:系统:windows2k3 加入域;软件:Internet验证服务)

一、打开radius服务器设置:

“开始--所有程序--管理工具--Internet验证服务”

二、新建Radius客户端:

右击“radius客户端”--“新建Radius客户端”--“好记的名称”输入:“ssh”--“客户端地址(IP或DNS)”处输入:“10.0.1.1”--下一步--“客户端-供应商”处选择:“RADIUS Standard”--“共享密钥”和“确认的密钥”处输入:“0123456789”--完成

三、新建远程访问策略:

右击“远程访问策略”--“新建远程访问策略”--“下一步”--单选“设置自定义访问策略”--“策略名称”处输入:“允许所有域用户ssh登录linux”--“下一步”--“添加”--在选择属性框中选择“Windows-Groups”--“添加”--“添加”--输入组名--“检查名称”--确定--确定--下一步--单选“授予远程访问权限”--下一步--“编辑配置文件”--“高级”选项卡--删除所有属性--添加属性“Service Type”--属性值选“login”--确定--关闭--确定--完成--然后再将此策略上移到最顶上

四、新建连接请求策略

右击“连接请求策略”--“新建连接请求策略”--下一步--选择“自定义策略”--“策略名”处输入“sshlogin”--下一步--添加--选择“Client-IP-Address”--添加--输入一个字或通配符“10.0.1.1”--下一步--下一步--完成

此时,ssh和Radius的配置已经完成了。

使用方法:(以test帐户为例)

1、在域控制器上新建AD帐户:test并设置密码,开启远程访问权限,其它为默认权限即可(此处就不细讲了)

2、使用root权限登录linux服务器10.0.1.1

3、在linux服务器上增加用户test.命令如下:useradd root。(不需要设置密码)

退出服务器。偿试以test帐户登录。输入AD帐户test的密码。

登录成功!

OK,一切大功告成!!

 

阅读(9814) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~