作者：gavin
电子邮箱：
MSN：
博客地址：
Wiki地址：
建立日期：2008年07月15日
版本： 0.1
版权说明：本文基于创作共用约定，内容归作者版权所有，欢迎大家转载，但要请保留作者的完整信息和出处，谢谢！


本文参考：
Extreme Networks Technical Brief 文档号：TBLDAPEnviron_1370
讨论列表也给了我很大的帮助，很多关于Freeradius和OpenLDAP保存数据的概念都在此讨论区中弄明白的。对于文中所涉及的radius概念或是一些名词请借助google帮助学习，文中没有更详细的解释。

关于：
公司原用认证服务器为Soliton Net'Attest EPS，知道为什么EPS证书一直不能正确导入到VISTA中，这点是从厂商方面得到的证明，不知道是什么特别的原因。再加上EPS更换产品的空白服务器，让我感觉有些郁闷，所以公司决定更换现在公司的认证系统，包括DHCP服务器。
这是到公司后第二个自己独立完成的比较完整的公司网络改造过程，记录一下方便自己以后查阅，也希望能为准备用Freeradius认证和OpenLDAP的朋友提供一些有用的信息。
介于网络上流行的一些关于Freeradius+OpenLDAP+PEAP认证的一些资料都比较旧，所以在测试的时候Freeradius采用最新的Freeradius 2.0.5版本。由于2.0以前的版本配置文件格式和文件出入比较大，所以使用Freeradius2.0以前版本的朋友在配置的时候需要特别注意。CentOS下用yum安装后为1.1.7版。

目的：
Freeradius在公司使用不是做为WLAN接认证，而是做为LAN接入认证用。先要通过认证后才能通论DHCP获得IP，而且会因为Freeradius返回的信息为Client划分VLAN ID以及访问控制。

感谢：
首先是老婆对我生活上的细心照顾，才能让我有更多的时间学习和测试来完成这份文档。Freeradius的测试大部分在下班之后才能进行，所以每天晚上回家都很晚，老婆也一直等到我回家后才吃晚饭，另外要感谢远在国内的父母，生活在异乡的我们正因为有你们的牵挂，我们会更加努力。

===========================分割线==========================

服务器环境：
CentOS 5.1 Linux blackduck 2.6.18-53.el5
#安装时不含任何安装包
yum –y update
#全部更新升级
openssl.i686 0.9.8b-10.el5
openssl-devel.i386 0.9.8b-10.el5
openldap.i386 2.3.27-8.el5_2.4
openldap-clients.i386 2.3.27-8.el5_2.4
openldap-devel.i386 2.3.27-8.el5_2.4
openldap-servers.i386 2.3.27-8.el5_2.4

对于OpenLDAP的配置可以参看我以前的文档《Samba+LDAP+LAM管理工具应用》一文件中OpenLDAP的配置

Freeradius 安装：
下载源码包
#wget
#tar –jxvf freeradius-server-2.0.5.tar.bz2
#cd freeradius-server-2.0.5
#./configure --with-openssl --with-openssl-includes=/usr/include/openssl/ \
--with-openssl-libraries=/usr/lib/openssl/
#configure文件中说明配置支持OpenSSL但是装完后运行EAP支持的时候会报错。说手动没有支持OpenSSL，所以此处给出OpenSSL的路径。
#make && make install

安装后可以直接执行进行测试
#radiusd –Xf   (2.0以前版本为-AXf  X为Debug模式 f为不运行在deamon状态下 )

===========================分割线==========================

安装后可以通过radtest测试
#radtest admin password localhost 0 testing123
返回信息如下说明测试成功，此步很重要，安装后第一步应该测试一下Freeradius是不是可以正常运行，再进行下面的配置。
Sending Access-Request of id 85 to 127.0.0.1 port 1812
        User-Name = "admin"
        User-Password = "password"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=85, length=20


测试通过后配置Freeradius，配置文件在/usr/local/etc/raddb下，2.0之后的配置对于对认证的支持方式采用模块化，所以修改起来也很方便。配置文件忽略注释项

主配置文件radiusd.conf：
#vi radiusd.conf
此文件只是把log选项中的认证log信息打开了其他部分没有做任何修改
log {
        destination = files
file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = no
        auth = yes
        auth_badpass = no
        auth_goodpass = no
}

2.0以后的版本，所以有的认证模块都保存在/usr/local/etc/raddb/modules目录下
用户认证配置文件

===========================分割线==========================

ldap认证模块修改：
#vi ldap
比较重要的为前四行，设置你LDAP服务器的配置，如何过虑User-Name的字段，以前你LDAP的搜索域，如果你的LDAP需要权限控制才能访问，请修改配置文件中被注释的两行。
ldap {
        server = "localhost"
        #identity = "cn=admin,o=My Org,c=UA"
        #password = mypass
        basedn = "dc=yepn,dc=net"
        filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
        base_filter = "(objectclass=radiusprofile)"
        ldap_connections_number = 15
        timeout = 4
        timelimit = 3
        net_timeout = 1
        tls {
               start_tls = no
        }
        dictionary_mapping = ${confdir}/ldap.attrmap
}

红色文件比较重要，这个表示在检索LDAP时查找的字段和返回的信息值，对于Client的网络配置部分都在这文件中表明，后文会详细说明。

===========================分割线==========================

Freeradius字典文件修改：
通过LDAP认证时的返回值全部都要在Freeradius Dictionary中说明，否侧不能被Freeradius识别。
Dictionary配置文件保存在/usr/local/etc/raddb目录下
#cat dictionary |grep -v “#”
$INCLUDE        /usr/local/share/freeradius/dictionary

Dictionary文件分部保存在/usr/local/share/freeradius/文件中
#cat dictionary |grep -v “#”
$INCLUDE dictionary.compat
$INCLUDE dictionary.rfc2865
$INCLUDE dictionary.rfc2866
$INCLUDE dictionary.rfc2867
$INCLUDE dictionary.rfc2868
$INCLUDE dictionary.rfc2869
$INCLUDE dictionary.rfc3162
$INCLUDE dictionary.rfc3576
$INCLUDE dictionary.rfc3580
以下略

我的NAS用的是Extreme network summit X450交换机，需要修改的字典文件为dictionary.extreme，如果你使用的是其他NAS可以修改相应的字典文件，或是自己创建一个字典文件也可以。
加入下面两行定义
ATTRIBUTE       Extreme-Netlogin-Extended-Vlan          211     string
ATTRIBUTE       Extreme-Security-Profile                212     string

字典修改后，修改ldap.attrmap让LDAP可以返回extreme认证用的字段。配置文件保存在/usr/local/etc/raddb/下

添加以下属性
replyItem   Tunnel-Type                      radiusTunnelType
replyItem   Tunnel-Medium-Type              radiusTunnelMediumType
replyItem   Tunnel-Private-Group-Id           radiusTunnelPrivateGroupId
replyItem   Extreme-Security-Profile           radiusExtremeSecurityProfile
replyItem   Extreme-Netlogin-Vlan-Tag        radiusExtremeNetloginVlanTag
replyItem   Extreme-Netlogin-Extended-Vlan  radiusExtremeNetloginExtendedVlan
另外需要把NT-Password字段修改如下，如果你希望radius用户使用samba的密码，可以不用修改这部分，因为我希望密码分开管理，而且网络认证的密码不会发给用户，所以我用了其他的字段做为Freeradius的认证密码。

checkItem       NT-Password                     radiusUserPassword

这部分再次说明一下，如果是用Winxp客户端认证的话，一定要用MD4(WinNT)方式加密后再放到radiusUserPassword中

另外Windows通过Freeradius认证时，密码通过MD4(WinNT)的方式加密，所以需要储存在LDAP中的radiusUserPassword也通过MD4的加密方式保存，这样才能通过认证。另外，通过ntradping验证工具是不能验证MD4是否成功的需要，通过WinXP客户端进行验证。

===========================分割线==========================

配置可使用的认证方式：
修改认证方式配置文件，目录为/usr/local/etc/raddb/sites-available
两个比较重要的文件
default    #默认配置文件
inner-tunnel   #认证虚拟机配置文件，这个文件我没做仔细研究，如果有了解的朋友希望能交流一下

#vi default
用户认证部分只保留了ldap和eap部分，其他的认证用不到我注释掉了，如果你需要其他的认证去掉相应的注释部分。
authorize {
        ldap
        eap
}

验证部分保留了下面的选项，支持MS-CHAP验证方式，LDAP验证和EAP验证
authenticate {
        Auth-Type MS-CHAP {
                mschap
        }
        ldap
        eap
}
authorize    配置用户信息通过那种方式获得，LDAP服务器、Mysql服务器、Unix系统帐号还是files文件。
authenticate 配置验证方式，密码的格式等等
除上述部分外未作任何修改。

===========================分割线==========================
配置eap认证方式：
修改内容如下
#cat eap.conf|grep -v “#”
eap {
                default_eap_type = peap
                timer_expire     = 60
                ignore_unknown_eap_types = no
                tls {
                        certdir = ${confdir}/certs
                        cadir = ${confdir}/certs
                        private_key_password = cyberstep
                        private_key_file = ${certdir}/server.pem
                        certificate_file = ${certdir}/server.pem
                        CA_file = ${cadir}/ca.pem
                        dh_file = ${certdir}/dh
                        random_file = ${certdir}/random
                        fragment_size = 1024
                        include_length = yes
                        make_cert_command = "${certdir}/bootstrap"
                }
                peap {
                        default_eap_type = mschapv2
                }
                mschapv2 {
                }
        }
主要修改部分为交eap的默认认证方式改为peap，原为MD5，另外添加对tls的支持，希望客户端和Freeradius通信时采用证书加密。另外将peap默认认证方式改为mschapv2。

Freeradius生成证书
Freeradius2.0.5含有证书制作脚本，只要OpenSSL的路径正确，Freeradius可以自己制作证书，不过需要修改一下相关的信息，文件在/usr/local/etc/raddb/certs目录下，需要修改的文件为ca.cnf server.cnf client.cnf
#more ca.cnf
default_days            = 3650
default_crl_days        = 3650
[certificate_authority]
countryName             = JP
stateOrProvinceName     = Tokyo
localityName            = Shibuya
organizationName        = Yepn Inc.
emailAddress            =
commonName              = "yepn Certificate Authority"

其中比较重要的是这几部分，days问题你也希望你的证书只能用一个月，或是一年的时间，相信网管都不喜欢这样，所以我把时间设的长一点改成了10年。下面的certificate_authority是你证书的相关信息这个是方便查询证书的出处，不清楚的地方请找OpenSSL的资料看一下，另外在cert文件夹中有Makefile文件，我也小修改了一下，不知道为什么前面对于ca.cnf日期的修改在cn.cnf中不生效，所以我只好把命令行那边加上一个-days 3650
修改后如下
#more Makefile
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.pem -config ./ca.cnf

因为OpenSSL自己也不是特别明白，所以没办法讲的更细了，希望明白的朋友指点一下。

这样生成后的ca.der证书可以导入到Winxp中。

到此为止Freeradius的配置就完成了，可以通过radiusd –Xf 测试一下radius的配置是否正确。可以通过radtest命令来验证一下Freeradius能验证。

===========================分割线==========================
OpenLDAP配置：
因为LDAP中加入了对radius属性的支持，所以需要修改OpenLDAP配置文件。
复制raiuds.schema文件到openLDAP的schema目录下
#cp /usr/local/share/doc/freeradius/examples/ openldap.schema /etc/openldap/schema/radius.schema

因为上面刚刚新加的几个attribute的值在这个标准的radius.schema文件中没有，所以需要自己定义几个新的attribute的值
添加内容如下：
attributetype
( 1.3.6.1.4.1.3317.4.3.1.61
NAME ‘radiusExtremeSecurityProfile’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
( 1.3.6.1.4.1.3317.4.3.1.62
NAME ‘radiusExtremeNetloginVlanTag’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
( 1.3.6.1.4.1.3317.4.3.1.63
NAME ‘radiusExtremeNetloginExtendedVlan’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
   ( 1.3.6.1.4.1.3317.4.3.1.66
      NAME 'radiusUserPassword'
      DESC 'radiusUserPassword'
      SUP userPassword
   )
OpenLDAP schema修改：
对于OpenLDAP schema的格式问题不在这里作更多说明，有很多文章解决如果编写自己的schema文件请参阅。只在这里说明一点对于radiusUserPassword部分的定义，我让radiusUserPassword继承userPassword的特性，如果需要修改的朋友可以自己改成其他属性。
最后，别忘记在你的objectclass里添加刚刚加的属性

objectclass
   ( 1.3.6.1.4.1.3317.4.3.2.1
      NAME 'radiusprofile'
      SUP top AUXILIARY
      DESC ''
      MUST cn
      MAY ( radiusArapFeatures $ radiusArapSecurity $ radiusArapZoneAccess $
            radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
            radiusCalledStationId $ radiusCallingStationId $ radiusClass $
            radiusClientIPAddress $ radiusFilterId $ radiusFramedAppleTalkLink $
            radiusFramedAppleTalkNetwork $ radiusFramedAppleTalkZone $
            radiusFramedCompression $ radiusFramedIPAddress $
            radiusFramedIPNetmask $ radiusFramedIPXNetwork $
            radiusFramedMTU $ radiusFramedProtocol $
            radiusCheckItem $ radiusReplyItem $
            radiusFramedRoute $ radiusFramedRouting $ radiusIdleTimeout $
            radiusGroupName $ radiusHint $ radiusHuntgroupName $
            radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLATNode $
            radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $
            radiusLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $
            radiusPortLimit $ radiusPrompt $ radiusProxyToRealm $
            radiusRealm $ radiusReplicateToRealm $ radiusServiceType $
            radiusSessionTimeout $ radiusStripUserName $
            radiusTerminationAction $ radiusTunnelClientEndpoint $
radiusProfileDn $
            radiusSimultaneousUse $ radiusTunnelAssignmentId $
            radiusTunnelMediumType $ radiusTunnelPassword $
radiusTunnelPreference $
            radiusTunnelPrivateGroupId $ radiusTunnelServerEndpoint $
            radiusTunnelType $ radiusUserCategory $ radiusVSA $
            radiusExpiration $ dialupAccess $ radiusNASIpAddress $
            radiusReplyMessage $ radiusExtremeSecurityProfile $
            radiusExtremeNetloginVlanTag $ radiusExtremeNetloginExtendedVlan $
            radiusUserPassword)
   )

看似很复杂，其实schema的说明很简单，多找些资料看看会明白很多，我这里给出了全部的objectclass的值。

radius.schema文件修改后，别忘了修改slapd.conf配置文件加载radius.schema文件，让OpenLDAP能识别这些新属性。

加入以下内容
include /etc/openldap/schema/radius.schema

重启OpenLDAP
#service ldap restart

到这里OpenLDAP的配置就结束了，可以说Freeradius+OpenLDAP+PEAP认证的配置已经完成了一大部分了，最后就是OpenLDAP数据的添加。

对于批量的OpenLDAP数据库修改不放在这里，需要的朋友请到我的Wiki上查找，可以实现大批量的LDAP数据修改。

===========================分割线==========================

一个radius用户的例子：
#cat zhou.ldif
dn: uid=zhou,ou=Users,dc=yepn,dc=net
add: objectClass
objectClass: radiusprofile
-
add: radiusSessionTimeout
radiusSessionTimeout: 43200
-
add: radiusTunnelType
radiusTunnelType: VLAN
-
add: radiusTunnelMediumType
radiusTunnelMediumType: IEEE-802
-
add: radiusTunnelPrivateGroupId
radiusTunnelPrivateGroupId: 160
-
add: radiusTerminationAction
radiusTerminationAction: RADIUS-Request
-
add: radiusExtremeSecurityProfile
-
add: radiusUserPassword
radiusUserPassword:  178DEACBFD994B3A6A67F49F420DB96A

格式要与我上面的相同，如果不一样的话不能通过ldapmodify方式导入

#ldapmodify –x –D “cn=root,dc=yepn,dc=net” –w password –f zhou.ldif

把修改后的数据导入到LDAP中
#ldapsearch –x uid=zhou   
我的LDAP支持匿名查询

===========================分割线==========================
以下为完整的zhou用户信息
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: uid=zhou
# requesting: ALL
#

# zhou, Users, yepn,net
dn: uid=zhou,ou=Users,dc=yepn,dc=com
sn: zhou
givenName: zhou
gecos: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
displayName: zhou
sambaSID: S-1-5-21-1153389650-4125104348-4025214935-3060
sambaPrimaryGroupSID: S-1-5-21-1153389650-4125104348-4025214935-2001
sambaLogonScript: logon.bat
sambaProfilePath: \\PDC-SRV\profiles\zhou
sambaHomePath: \\PDC-SRV\zhou
sambaHomeDrive: H:
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
00000000
mail:
shadowMax: 45
uid: zhou
cn: zhou
homeDirectory: /home/zhou
uidNumber: 1030
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: radiusprofile
gidNumber: 500
shadowLastChange: 14027
loginShell: /bin/bash
radiusSessionTimeout: 43200
radiusTunnelType: VLAN
radiusTunnelMediumType: IEEE-802
radiusTerminationAction: RADIUS-Request
sambaDomainName: YEPN
radiusTunnelPrivateGroupId: 310
sambaAcctFlags: [XU         ]
sambaLMPassword: 44EFCE164AB921CAAAD3B435B51404EE
sambaNTPassword: 32ED87BDB5FDC5E9CBA88547376818D4
sambaPwdLastSet: 1216031836
radiusUserPassword: 3FA45A060BD2693AE4C05B601D05CA0C
userPassword:: e0NSWVBUfSQxJGNFb0N5Z2JqJHpnSXdkUmpaUzl1MkdVR0hsZ2s3YTE=

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

需要说明的一点，关于radiusUserPassword密码为000000，通过mkntpwd加密成MD4(WinNT)格式的密码放到LDAP中，修改密码时也不能直接修改，需要通过mkntpwd生成新密码后再添加到LDAP中。
mkntpwd可以在SF.net的网站上下载
#wget
#mkdir mkntpwd
#tar –zxvf mkntpwd.tar.gz –C mkntpwd
#cd mkntpwd
#make
#./mkntpwd –N password
8846F7EAEE8FB117AD06BDD830B7586C

生成密码MD4格式密码

Summit X450的配置
#configure radius netlogin primary server 172.31.7.7 1812 client-ip 172.16.0.1 vr VR-Default
#configure radius netlogin primary shared-secret testing123

Summit交换机因为我也了解不多，所以没办法做更多的说明。

===========================分割线==========================

客户端配置：
修改WinXP客户端配置，网络属性中如下图修改。我的系统是日文的所以找来了一份英文的图片，按下图修改就OK了。

这里贴图比较麻烦~需要的朋友请下载我做好的PDF文档

这里没有使用CA证书，先测试一下能不能通过认证。

需要修改Select Authentication Method的Configure选项，把Automatically use my Windows logon name and password这里去掉。

祝你好运，希望能一次通过认证。

Freeradius+OpenLDAP+PEAP_Authenticate 　　　　　　
--------------------next---------------------