分类: 网络与安全
2014-01-02 16:35:39
我这里freeradius+mysql在同一台机器上,ip地址:192.168.4.10,无线路由器为TP-Link的TL_WR642G+,ip地址:192.168.4.3
一、安装系统自带的mysql.
三、freeradius和mysql的集成
四、安装daloradius
在下载daloradius-0.9-8.tar.gz
五、无线路由器上的配置
SSID号:tp-link123
在无线参数-基本设置里,勾选"开启安全设置",
安全类型:WPA/WPA2
安全选项:WPA
加密方法:TKIP
Radius服务器IP:192.168.4.10
Radius端口:1812
Radius密码:tp-link
六、客户机上windows xp的设置。
无线网络连接上右键-属性,“无线网络配置”-“首选网络”-选中tp-link123,单击“属性”-“关联”,网络身份验证选WPA,数据加密选TKIP;
单击“验证”:EAP类型选"受保护的EAP(PEAP)",在他的“属性”里,去掉“验证服务器证书”前的勾,在“选择身份验证方法”里选"安全密码
(EAP-MSCHAPv2)",单击“配置”,去掉“自动使用Windows登录名和密码(以及域,如果有的话)”前的勾。完成后回到验证页,去掉“当
计算机信息可用时验证为计算机”前的勾。
=====================================================================================
=====================================================================================
pptp+dhcp+mysql+freeradius(AS5.3上配置) | |
来源: ChinaUnix博客 日期: 2009.06.23 17:58 (共有0条评论) | |
pptp+mysql+freeradius配置 一、软件版本号: mysql 5.0.45 freeradius-server-2.1.3 pptp redhat AS5.3 自带 说明: freeradius 2.1.3 (才能够与myql 5.0.45的版本匹配),高于此版本不能够编译成功mysql模块,就是不能与mysql 5.0.45 数据库连接,至少额的编译是这样的。 二、 通过安装盘安装pptp 软件包,不多说了。 要下载 dkms-2.0.17.5-1.noarch.rpm ppp-devel-2.4.4-9.0.rhel5.x86_64.rpm ppp-2.4.4-9.0.rhel5.x86_64.rpm pptpd-1.3.4-1.rhel5.1.x86_64.rpm 直接rpm 安装即可。 ppp配置文件 cat /etc/ppp/options.pptpd # Authentication # Name of the local system for authentication purposes # (must match the second field in /etc/ppp/chap-secrets entries) name pptpd # Strip the domain prefix from the username before authentication. # (applies if you use pppd with chapms-strip-domain patch) #chapms-strip-domain # Encryption # (There have been multiple versions of PPP with encryption support, # choose with of the following sections you will use.) # BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o # {{{ refuse-pap refuse-chap refuse-mschap # Require the peer to authenticate itself using MS-CHAPv2 [Microsoft # Challenge Handshake Authentication Protocol, Version 2] authentication. require-mschap-v2 # Require MPPE 128-bit encryption # (note that MPPE requires the use of MSCHAP-V2 during authentication) require-mppe-128 # }}} # OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o # {{{ -chap #-chapms # Require the peer to authenticate itself using MS-CHAPv2 [Microsoft # Challenge Handshake Authentication Protocol, Version 2] authentication. #+chapms-v2 # Require MPPE encryption # (note that MPPE requires the use of MSCHAP-V2 during authentication) #mppe-40 # enable either 40-bit or 128-bit, not both #mppe-128 #mppe-stateless # }}} # Network and Routing # If pppd is acting as a server for Microsoft Windows clients, this # option allows pppd to supply one or two DNS (Domain Name Server) # addresses to the clients. The first instance of this option # specifies the primary DNS address; the second instance (if given) # specifies the secondary DNS address. #ms-dns 10.0.0.1 #ms-dns 10.0.0.2 # If pppd is acting as a server for Microsoft Windows or "Samba" # clients, this option allows pppd to supply one or two WINS (Windows # Internet Name Services) server addresses to the clients. The first # instance of this option specifies the primary WINS address; the # second instance (if given) specifies the secondary WINS address. #ms-wins 10.0.0.3 #ms-wins 10.0.0.4 # Add an entry to this system's ARP [Address Resolution Protocol] # table with the IP address of the peer and the Ethernet address of this # system. This will have the effect of making the peer appear to other # systems to be on the local ethernet. # (you do not need this if your PPTP server is responsible for routing # packets to the clients -- James Cameron) proxyarp # Normally pptpd passes the IP address to pppd, but if pptpd has been # given the delegate option in pptpd.conf or the --delegate command line # option, then pppd will use chap-secrets or radius to allocate the # client IP address. The default local IP address used at the server # end is often the same as the address of the server. To override this, # specify the local IP address here. # (you must not use this unless you have used the delegate option) #10.8.0.100 # Logging # Enable connection debugging facilities. # (see your syslog configuration for where pppd sends to) #debug # Print out all the option values which have been set. # (often requested by mailing list to verify options) #dump # Miscellaneous # Create a UUCP-style lock file for the pseudo-tty to ensure exclusive # access. lock # Disable BSD-Compress compression nobsdcomp # Disable Van Jacobson compression # (needed on some networks with Windows 9x/ME/XP clients, see posting to # poptop-server on 14th April 2005 by Pawel Pokrywka and followups, # ) novj novjccomp # turn off logging to stderr, since this may be redirected to pptpd, # which may trigger a loopback nologfd 添加用户: vi /etc/ppp/chap-secrets # Secrets for authentication using CHAP # client server secret IP addresses vpntest pptpd 111111 * #添加该行 ========================================= ##添加模块 modprobe ppp-compress-18 && echo ok [root@mail freeradius]# lsmod |grep ppp ppp_mppe 39881 2 ppp_async 45377 1 crc_ccitt 35265 1 ppp_async ppp_generic 62689 6 ppp_mppe,ppp_async slhc 39745 1 ppp_generic 防火墙设置: vi iptable.sh #!/bin/sh # load any special modules modprobe ip_nat_ftp modprobe ip_conntrack_ftp # delete any existing chains iptables -F iptables -F -t nat iptables -X iptables -Z # turn on ip forwarding echo "1" > /proc/sys/net/ipv4/ip_forward iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 1723 -j ACCEPT ###freeradius 防火墙设置 iptables -A INPUT -p udp --dport 1812 -j ACCEPT iptables -A INPUT -p udp --dport 1813 -j ACCEPT iptables -A INPUT -p udp --dport 1814 -j ACCEPT ##(VPN客户端到服务器本机地址) iptables -t nat -A POSTROUTING -s 192.88.0.0/24 -j SNAT --to-source 192.88.50.35 说明,我给客户端分配的IP地址和vpn server在一个段,50.35 就是vpn服务器 ================ 编辑/etc/pptpd.conf localip 192.88.50.35 remoteip 192.88.50.234-238,192.88.50.245 这样客户端建立vpn拨号连接就可以拨号进去了。 注意客户端设置。 三、mysql 编译 CFLAGS="-O3 -mpentiumpro" CXX=gcc CXXFLAGS="-O3 -felide-constructors -fno-exceptions -fno-rtti -fomit-frame-pointer -ffixed-ebp" ./configure --prefix=/usr/local/mysql5.0.45 --with-unix-socket-path=/tmp/mysql.sock --enable-assembler --with-pthread --with-mysqld-ldflags=-all-static --with-client-ldflags=-all-static --with-mysqld-user=mysql --enable-thread-safe-client --with-charset=utf8 --with-extra-charsets=all --with-mysqld-user=mysql --with-big-tables --with-archive-storage-engine --with-example-storage-engine --with-max-indexes=128 --enable-thread-safe-client --enable-server 编译时要加上:--enable-thread-safe-client --enable-server 这两个参数 make make install useradd -M -s /sbin/nologin mysql /usr/local/mysql5.0.45/bin/mysql_install_db --user=mysql ln -sv /usr/local/mysql5.0.45 /usr/local/mysql vi /etc/profile export PATH=$PATH:/usr/local/mysql/bin:/usr/local/freeradius/sbin:/usr/local/freeradius/bin source /etc/profile vi /etc/ld.so.conf /usr/local/mysql/lib/mysql /usr/local/freeradius/lib ##提前加入,呵呵 ldconfig -v mysqld_safe --user=mysql & 就可以启动mysql数据库了 四:下载安装freeradius #wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.3.tar.gz # tar zxvf freeradius-server-2.1.3.tar.gz # cd freeradius-server-2.1.3 (2.1.3 版本才能够与myql 5.0.45的版本匹配,高于次版本不能够编译成功mysql模块) ./configure --prefix=/usr/local/freeradius |grep "mysql_config" 主要查看 关于 mysql 几个参数是不是全是(mysqlclient_r)yes ,如果不是,编译失败 make make install cd /usr/local/freeradius # vi +76 /etc/raddb/users取消注释 # radiusd -Xs # radtest steve testing localhost 1812 testing123 出现Access-Accept字样说明成功。 测试成功后把/etc/raddb/users改回去。 注意 开放防火墙端口 五、freeradius和mysql的集成 # mysqladmin -u root -p create radius # mysql -u root -p radius GRANT SELECT ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'radpass'; mysql> GRANT ALL on radius.radacct TO 'radius'@'localhost'; mysql> GRANT ALL on radius.radpostauth TO 'radius'@'localhost'; 先加入一些组信息: mysql>use radius; mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local'); mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type','=','Framed-User'); mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask','=','255.255.255.255'); mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0'); 然后加入用户信息: mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('test', 'Password', 'test'); 然后把用户加到组里: mysql> insert into radusergroup(username,groupname) values('test','user'); mysql> select * from radcheck where UserName='test'; 1.编辑/usr/local/freeradius/etc/raddb/sql.conf mysql用户名,密码根据自己的情况填写 第88行取消readclients = yes 前的注释 2.编辑/usr/local/freeradius/etc/raddb/sites-enabled/default 第145 行files前加注释 第152 行取消sql前的注释 第308 行files 前加注释 第342 行取消sql前的注释 第374 行取消sql前的注释 第395 行取消sql前的注释 3.编辑/usr/local/freeradius/etc/raddb/sites-enabled/inner-tunnel 第111 行files前加注释 第118行取消sql前的注释 第242行取消sql前的注释 第264行取消sql前的注释 ###总之就是去掉files模块,开启sql模块 4.编辑/usr/local/freeradius/etc/raddb/eap.conf 第30行default_eap_type = md5改为default_eap_type = peap 6.测试 # radtest sqltest testpwd localhost 1812 testing123 出现Access-Accept字样说明成功。 参考网址: 到目前为止:整合了freeradius+mysql, pptpd还是单独运行. 六、pptpd+mysql+freeradius整合,激动人心的时刻到了。 mkdir /etc/radiusclient/ 下载源码ppp-2.4.4,解压 cd ppp-2.4.4/ppp-2.4.4/pppd/plugins/radius/etc cp * /etc/radiusclient/ vi /etc/radiusclient/radiusclient.conf auth_order radius login_tries 4 login_timeout 60 # logins on /dev/ttyS2) (default /etc/nologin) nologin /sbin/nologin issue /etc/radiusclient/issue authserver localhost:1812 acctserver localhost:1813 servers /etc/radiusclient/servers dictionary /etc/radiusclient/dictionary login_radius /usr/local/sbin/login.radius seqfile /var/run/radius.seq # file which specifies mapping between ttyname and NAS-Port attribute mapfile /etc/radiusclient/port-id-map default_realm # time to wait for a reply from the RADIUS server radius_timeout 10 # resend request this many times before trying the next server radius_retries 3 login_local /bin/login vi /etc/ppp/options.pptpd 在最后添加: # put plugins here # (putting them higher up may cause them to sent messages to the pty) logfile /var/log/pptpd.log plugin /usr/lib64/pppd/2.4.4/radius.so #plugin /usr/lib64/pppd/2.4.4/radattr.so radius-config-file /etc/radiusclient/radiusclient.conf ###注意,我的是64位系统,所以模块在/usr/lib64/pppd/2.4.4 下面。32位的在 /usr/lib/pppd/2.4.4 vi /etc/radiusclient/server localhost testing123 vi /etc/radiusclient/dictionary 添加: INCLUDE /etc/radiusclient/dictionary.microsoft INCLUDE /etc/radiusclient/dictionary.ascend INCLUDE /etc/radiusclient/dictionary.merit INCLUDE /etc/radiusclient/dictionary.compat 否则拨号时后台日志会报错,无法拨入,客户端报691错误: Connect: ppp0 /dev/pts/5 rc_avpair_new: unknown attribute 11 rc_avpair_new: unknown attribute 25 Peer test failed CHAP authentication Connection terminated. 哈哈,从启freeradius 与pptpd ,连接就可以通过了。 如果是无法访问其他的机器,请注意防火墙的设置。这是我的配置文档,绝对的能够跑通。 ======================================== |
===============================================
不需要使用昂贵的专业系统,采用PC服务器和Linux系统的Freeradius+MySQL就能可靠地实现RADIUS认证服务器。
RADIUS 认证服务器(Remote Authentication Dial In User Service,远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、 Accounting,即认证、授权、计费)。随着网络安全需求提高,中小企业的局域网集中用户认证,特别是使用VPDN专网的也逐渐需要建立自己的认证 服务器以管理拨号用户。但这些用户不需要使用昂贵的专业系统,采用PC服务器和Linux系统的Freeradius+MySQL就能可靠地实现。
● Freeradius的安装
笔 者采用FC4 for x86_64系统上的freeradius-1.1.2,在中档PC服务器上运行,系统运行稳定可靠。Linux FC4自带Freeradius和MySQL,不过实测不理想。FC4 MySQL对中文支持不好,而freeradius则仅支持其自带MySQL。所以,在编译MySQL时要加入选项“--with- charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“— with-snmp=no”,因为与库文件snmp相关的库对64位支持有问题(最新的FC7也许没有这些问题)。Freeradius提供了MySQL 建库脚本——db-MySQL.sql,不过建nas库有1个语法错误,将“id int(10) DEFAULT‘0’; ”中的“DEFAULT ‘0’”去掉即可正常建立Radius库。
● Freeradius的设置
用 户数量较少的情况下可使用Freeradius缺省的users文件配置用户,根据文件制定的规则工作。安装完毕后启动Radius服务: /usr/local/sbin/radiusd-X。本机运行radtest test test localhost 0 testing123发认证请求,得到回应表示Radius服务器工作正常。
Radius服务器缺省使用/usr/local/etc/raddb/users文件认证,简单易行。但如果管理几十个或更多用户,则应使用数据库,对于用户数少于一万的情况而言,MySQL是合适的选择。
● MySQL认证的设置
在 配置文件radiusd.conf中,在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置 MySQL的连接信息、用户/密码和地址、本机用localhost即可。还需要在users中对DEFAULT用户做如下设置: Auth-Type = Local,Fall-Through = 1。这样,才可正确使用MySQL进行认证。
在MySQL中设置用户的规则与users文件用户设置有对应关系。Radius认证是以Attribute = Value的形式提供认证和应答消息。在users文件中,与用户名位于同一行,以“,”分隔的各个属性是认证请求必须提供而且需要验证的属性。
实 际使用时,往往使用username@domain形式用户进行认证。用文件方式时,可以通过设置剥离域名,只建立username认证即可。需要在 radiusd.conf中加入一项realm domain { format=suffix… }域说明,并在proxy.conf中realm DEFAULT使用LOCAL认证。用MySQL认证时,缺省的sql.conf中使用带域名的全名进行认证。
最后,打开防火墙是必要的。缺省Radius认证服务器使用UDP 1812端口认证,UDP1813端口计费,应该开放UDP包的进出。
● CISCO路由器的设置
CISCO 路由器是经典的RADIUS客户端,在VPDN拨号系统中LNS作为二次认证客户端。在clients.conf中定义客户端IP地址和共享密钥。对单网 口的低级路由器来说,客户端的IP地址就是网口IP。对于中高级路由器来说,路由器缺省使用第一个网口IP作为客户端源IP,如果是不可路由的内网地址, 则客户端无法收到认证应答包。要指定IP,使用如下语句:
ip radius source-interface FastEthernet0/1
其中FastEthernet0/1的IP指定作为认证客户端的源地址。一般做法是在VPDN-GROUP定义中使用source-ip 语句指定IP,不过重启路由器后必须重新设置RADIUS服务器才能生效。
另一个关于CISCO的设置是使用多个认证服务器。中高档路由器通常可支持不同的拨号接入。不同拨号接入使用不同的认证服务器。CISCO中使用不同的server-group实现。
aaa authorization network aaa-radius1 start-stop group radius1
aaa authorization network aaa-radius2 start-stop group radius2
也可根据需要定义authentication/accounting使用的server-group。
● 用户物理绑定的实现
实 现用户物理绑定,特定用户只能在特定的电话号码或端口号上发起连接才能认证成功,可以大大提高认证安全性。在窄带系统中,LAC在拨入接入服务器LAC进 行一次认证时,就向RADIUS服务器提供主叫号码,二次认证时该属性就被提交给RADIUS服务器。如电话号码为1234567,用户拨号,请求中包含 属性Calling-Station-Id = "1234567"。为了实现主叫号码绑定,首先在radiusd.conf配置文件中起用对主叫号码的检查,即checkval {}中的内容。在使用users文件认证时,在用户名定义的同一行内加入Calling-Station-Id = "1234567"即可。使用MySQL认证时,在radcheck表中加入“Calling-Station-Id,”+=”,”1234567””这 条记录即可。
对于ADSL宽带来说,不能使用电话号码绑定。不同宽带设备可提供不同的绑定方式。其实现要点也是必须在发出认证请求中包含其物理端口或其他物理信息,Radius服务器在字典定义该属性,在users文件或MySQL中加入约束值即可。
================================================
================================================
经过实践,实现了openvpn2.0.9版本使用radius认证的配置功能。以下简要说明,与大家分享。
我的环境是server端是linux9.0,Client端是winxp。
基本的配置就不复述了,使用证书认证的文章很多,其中网友elm就有不少好的配置手册。
网络上关于username/password认证的文章也不少,但不是需要用到mysql数据库就是要用到freeradius认证库,我就想简单快速
的实现把用户名密码提交到第三方radius服务器认证就可以了。第三方radius服务器很多比如windows
ActiveDirectory或WinRadius 2.01,我这里用WinRadius2.01作为radius服务器。
1.radiusplugin_v2.0.tar.gz: 可以编译得到radiusplugin.so
到下载
2.libgcrypt支持库: 可以编译得到/usr/lib/libgcrypt.so.11
到ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.4.tar.gz下载
3.libgpg-error支持库: 可以编译得到/usr/local/lib/libgpg-error.so.0
到ftp://ftp.gnupg.org/gcrypt/libgpg-error/libgpg-error-1.5.tar.gz下载
简单的编译以上3个支持库,configure;make;make install。
我们要用到radiusplugin.so,其他是radiusplugin.so的支持库。
好了如果能够得到radiusplugin.so,已经成功了80%,其他的就是配置了。
把radiusplugin.so拷贝到/etc/openvpn下,并配置其配置文件radiusplugin.conf
内容如下:
# The NAS identifier which is sent to the RADIUS server
NAS-Identifier=OpenVpn
# The service type which is sent to the RADIUS server
Service-Type=5
# The framed protocol which is sent to the RADIUS server
Framed-Protocol=1
# The NAS port type which is sent to the RADIUS server
NAS-Port-Type=5
# 这是运行openvpn服务器的ip,作为radius客户端
NAS-IP-Address=192.168.2.8
#这里指明openvpn的配置位置
OpenVPNConfig=/etc/openvpn/cert_conf/server.conf
# 这里定义 radius server 参数可以超过1个作为备份
server
{
# The UDP port for radius accounting.
acctport=1813
# The UDP port for radius authentication.
authport=1812
# 这是我radius 服务器的ip,也就是运行winradius,并添加了用户。
name=192.168.2.2
# How many times should the plugin send the if there is no response?
retry=1
# How long should the plugin wait for a response?
wait=1
# The shared secret.共享密钥,在winradius里配置,设置-系统-NAS密钥
sharedsecret=winradius
}
以下配置openvpn服务器,server.conf
这个配置跟证书配置只需新增以下3行不同。
plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radius.conf
client-cert-not-required
username-as-common-name
客户端配置:在winxp下
去掉客户端证书,并添加提示用户密码的参数就可以了。
ca ca.crt
#cert client.crt
#key client.key
auth-user-pass
启动服务器
openvpn --config server.conf
如果出错查看日志文件如openvpn.log一般可以解决.
启动客户端,提示
Sat Aug 25 17:52:38 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2
006
Enter Auth Username:test
Enter Auth Password:
...
Sat Aug 25 17:55:22 2007 Route addition via IPAPI succeeded
Sat Aug 25 17:55:22 2007 Initialization Sequence Completed
认证通过,vpn隧道建立成功
查看winradius:
用户(test)认证通过
用户(test)呼叫()开始
查看linux server端日志
RADIUS-PLUGIN: Configfile name: /etc/openvpn/radiusplugin.conf .
Sun Apr 1 13:31:09 2007 PLUGIN_INIT: POST
/etc/openvpn/radiusplugin.so '/etc/openvpn/radiusplugin.conf'
intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
...
Sun Apr 1 13:31:56 2007 192.168.2.2:3214
PLUGIN_CALL: POST
/etc/openvpn/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Sun Apr 1 13:31:56 2007 192.168.2.2:3214 TLS: Username/Password authentication succeeded for username 'test' [CN SET]
至此,radius认证成功。
=======================================================================================
红帽RHEL5U3平台实现pppoe接入记账认证服务器
作者:zorro
邮件:zorro@uplooking.com
软件需求:
红帽自带的:rp-pppoe,ppp,freeradius,freeradius-mysql,mysql。
另需:freeradius-2.1.3以及ppp2.4.4的源代码包。
第一部分:实现简单的pppoe拨号服务
检查系统上的rp-pppoe以及ppp软件是否安装,命令:
#rpm -q rp-pppoe ppp
如果安装则会有显示软件包的名称,若未安装,找到安装盘上的相关rpm包安装。
然后配置/etc/ppp/pppoe-server-options文件,内容为:
# PPP options for the PPPoE server
# LIC: GPL
require-chap
login
lcp-echo-interval 10
lcp-echo-failure 2
defaultroute
ms-dns 192.168.1.1
logfile /var/log/pppod.log
文件内容不做解释,可以通过man pppd查寻相关帮助。此时pppoe服务器从/etc/ppp/ chap-secrets文件中读取验证的用户名和密码信息,此文件格式为:
# Secrets for authentication using CHAP
# client server secret IP addresses
"zorro" * "123456" *
想要多添加用户,再加入新行即可。
然后可以启动pppoe服务了,命令是:
#pppoe-server -I eth0 -L $LOCALIP -R $REMOTEIP -N $CONNLIMIT
命令详细信息查询man pppoe-server。
注:红帽自带的pppoe服务器,在RHEL5至RHEL5U2的版本上与系统的syslog服务有冲突。可现关闭syslog服务,让pppoe服务器正常运行。
第二部分:让pppoe服务使用freeradius服务器进行验证
首先更改/etc/ppp/pppoe-server-options,添加一行设置:
# PPP options for the PPPoE server
# LIC: GPL
require-chap
login
lcp-echo-interval 10
lcp-echo-failure 2
defaultroute
ms-dns 192.168.1.1
logfile /var/log/pppod.log
plugin /usr/lib/pppd/2.4.4/radius.so
表示让pppoe-server在运行时加入pppd的radius查检,可以让pppoe服务通过freeradius来验证和记账。添加此行之
后,可以创建/etc/radiusclient/目录,创建完之后,我们需要使用一下ppp的源代码,因为红帽没有给我们提供相应的配置文件。解压
ppp的源代码目录:
#tar xvfz ppp-2.4.4.tar.gz
#cd ppp-2.4.4
#cd pppd/plugins/radius/etc/
#cp * /etc/radiusclient/
这个目录下有我们需要的所有相关的配置文件,其中最重要的是/etc/radiusclient/radiusclient.conf,我们先打开此文件配置,其内容为(已去掉注释):
auth_order radius
login_tries 4
login_timeout 60
nologin /etc/nologin
issue /etc/radiusclient/issue
authserver localhost:1812
acctserver localhost:1813
servers /etc/radiusclient/servers
dictionary /etc/radiusclient/dictionary
login_radius /sbin/login.radius
seqfile /var/run/radius.seq
mapfile /etc/radiusclient/port-id-map
default_realm
radius_timeout 10
radius_retries 3
login_local /bin/login
字段相关意义清参考文件自带的注释。
另外,还需更改此目录下的servers文件,此文件用来指定读取的radius服务器的主机名称以及key值(需要在freeradius配置中指定)。
此时pppoe服务已经可以通过radius认证了。然后进行freeradius的配置。
首先检查freeradius是否安装:
#rpm -q freeradius freeradius-mysql
其中freeradius-mysql包使用来让freeradius连接mysql数据库的,本部分还用不到。
首先打开/etc/raddb/clients.conf配置客户端访问控制,文件内容如下(已删除注释):
client 127.0.0.1 {
secret = hello
shortname = localhost
nastype = othe
}
表示客户端之允许从127.0.0.1的ip登录radius服务,并且需要验证的secret为hello,就是在上面的servers文件中需要配置的信息。若要实现可以从别的机器访问,请参考注释获得帮助。
然后配置naslist文件,内容为:
# NAS Name Short Name Type
#---------------- ---------- ----
#portmaster1.isp.com pm1.NY livingston
#portmaster2.isp.com pm1.LA livingston
localhost local portslave
此文件用来配置记录有哪些指定的nas服务器需要使用radius进行记账。现在指定的是localhost。
主控配置文件是radiusd.conf,目前没有需要改的,可通过注释学习其中配置方法。此文件主要是用来指定freeradius服务器默认的验证和记账方式。我们目前使用本地的文件方式,就是/etc/raddb/users文件,在其中添加我们需要提供给pppoe服务认证的用户信息,内容如下(某段截取):
zorro Auth-Type := Local, Simultaneous-Use := 1, User-Password == "zorro"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 10.0.0.33,
Framed-IP-Netmask = 255.255.255.255
其中Simultaneous-Use := 1字段用来设置每个用户同时登录的个数。所有字段信息都在freeradius的源代码中有文档给予解释。另外要注意,添加的用户字段应写在文件DEFAULT字段前面添加,否则可能不会生效。
都配置完毕后,可以通过radiusd
-X命令以排错方式启动,此时再启动pppoe-server,用客户端拨号验证一下,检查pppoe服务是否成功通过freeradius来验证用户。
如果成功,这一部分完成。可通过 service radiusd restart来正常启动radius服务。
第三部分:配置freeradius从mysql数据库读取用户信息
首先更改/etc/raddb/radiusd.conf,首先将$INCLUDE ${confdir}/sql.conf字段这行原有的注释
去掉,然后找到authorize字段中的sql将注释取消掉,以及accouting字段中的sql的注释取消。然后需要更改sql.conf中的设
置,主要是设置读取的mysql服务器的相关信息,可更改如下一些字段:
server = "localhost" #数据库服务器
login = "mysql_username" #数据库用户
password = "mysql_password" #数据库密码
radius_db = "radius" #数据库名称
当然前提是你要现把mysql服务设置好,设置方法是:
先启动你的mysqld:
service mysqld start
然后设置root帐户密码:
mysqladmin –uroot –p password 12345
创建radius数据库
mysqladmin –uroot –p123456 create radius
建立mysql的数据库raius的表,我们可以通过软件已经给出的sql脚本导入数据库:
mysql -uroot –p123456 radius < /usr/share/doc/freeradius-1.1.3/examples/mysql.sql
这样,所有radius需要的数据库和表都已经建立好了。
此时可以添加测是帐号来测试是否正常工作。具体方法就不在这说了。我们待会要使用freeradius源代码自带的dialup_admin来进行数据库的管理工作,那是一个基于web的管理界面,使用php编写,要比直接用sql语句方便的多。
这里要注意的是,如何在数据库里添加限制没用户同时登录个数的限制,比如,我先用sql语句添加一个测试用户,然后来限制他的登录个数,语句是:
mysql -uroot –p123456 radius
insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');
insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type',':=','Framed-User');
insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Address',':=','255.255.255.254');
insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0');
insert into radcheck (username,attribute,op,value) values ('test','User-Password',':=','test');
insert into usergroup (username,groupname) values ('test','user');
这样就给我们的数据库中添加了一个帐户测试帐户test,并让test帐户属于user组。
然后我们可以通过设置user组的检查属性来设置此组帐户的登录数限制,以后只要用户加入这个组,登录数都不能超过1次:
INSERT INTO radgroupcheck (GroupName, Attribute, op, Value) values("user", "Simultaneous-Use", ":=", "1";
好了,限制完成。我们现在可以使用test帐户登录,并测试是否是通过mysql数据库验证的。并且可以检查是不是只能登录一个。
第四部分:使用dialup_admin来管理radius服务器
服务器搭建成功后如果需要web管理,freeradius自带了一个web管理程序dialup_admin。
首先测试Apache与PHP安装的正确性。Apache的WEB目录在 /var/www/html 下首先测试Apache,在浏览器输入 下看到Apache界面表示正常。
编辑一个PHP测试文件,内容为 ,保存为 phpinfo.php。在浏览器输入/phpinfo.php 看到php相关信息页面,表示php运作正常。
直接将freeradius源代码中的dialup_admin/文件夹全部拷贝到Apache网页目录下/etc/local下。
修改dialup_admin/conf/下的admin.conf文件中的如下参数:
sql_type:mysql
sql_server:localhost //sql地址
sql_port:3306 //默认端口
sql_username:root
sql_password:123456 //密码
sql_database:radius //数据库名
general_base_dir: /usr/local/dialup_admin //dialup_admin主目录
general_domain: company.com //这个可改也可不改,没什么影响,改了还看点而已
general_radius_server_auth_proto: chap //将pap改成chap
general_encryption_method: clear //将crypt改成clear
说明一下,general_encryption_method: clear是必须得改的,否则用web管理界面添加用户后会出现密码被加密后无法识别导致认证失败,clear方式是以明文存储密码,freeradius默认是用明文存储密码,两者要对应,所以这里要用clear方式。
修改dialup_admin/conf/下的naslist.conf文件如下
nas1_name: nas1.%{general_domain}
nas1_model: Computer //NAS服务器的类型
nas1_ip: 192.168.1.1 //NAS服务器的IP地址
nas1_port_num: 15
nas1_community: public
其他的通通删掉或用#号注释掉,这样修改的目的是方便在web管理界面中直观的看到每个NAS服务器连接用户的情况。
导入相关数据库表
cd /usr/local/dialup_admin/sql
mysql -uroot –p123456 radius < userinfo.sql
mysql -uroot –p123456 radius < totacct.sql
mysql -uroot –p123456 radius < mtotacct.sql
mysql -uroot –p123456 radius < badusers.sql
dialup_admin用的是php3格式的文件,需要web服务器支持这种格式,
修改/etc/httpd/conf/httpd.conf文件,在此文件最后添加
AddType application/x-httpd-php .php .html .htm .php3
并在默认的主页目录下建立一个指向/usr/local/dialup_admin/htdocs的符号连接htdocs
保存后重启httpd服务
service httpd restart
访问:
能正常打开各页面就ok了。默认是打开的sql调试模式。可以在admin.conf中找到sql_debug.把true改为false即可关闭。
至此,整个Radius服务器搭建完成。