Chinaunix首页 | 论坛 | 博客
  • 博客访问: 452758
  • 博文数量: 403
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: -70
  • 用 户 组: 普通用户
  • 注册时间: 2016-09-05 12:45
文章分类

全部博文(403)

文章存档

2014年(3)

2013年(1)

2012年(3)

2011年(21)

2010年(13)

2009年(64)

2008年(9)

2007年(36)

2006年(253)

分类:

2006-08-01 15:10:42

远程认证拨号用户服务(Remote Authentication Dial In User Service,RADIUS)是在网络访问服务器(Network Access Server,NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。其协议的标准定义在IETF的RFC 2865和RFC 2866文件中。对于中小型企业NAS应用来说,以Linux为平台建立RADIUS服务器是非常好的选择。使用共享软件完全可以建立简洁、高效的RADIUS服务器,而且无须任何软件上的花费。
一、RADIUS的工作原理
RADIUS以Client/Server方式工作,实现了对远程电话拨号用户的身份认证、授权和计费功能。其Client端多为通过拨号方式实现的NAS,主要用来将用户信息传递给服务器;RADIUS服务器则对用户进行认证,并返回用户的配置信息。为了保证传输的安全性,在Client和Server之间传送的数据均以MD5方式加密。在RADIUS的Server端和Client端之间的通信主要有两种情况;一种是接入认证;另一种是计费请求。
使用RADIUS可以实现集中化的认证和记费功能,可以减少管理的负担和费用,同时还可以实现很多扩展的功能,如用户拨号时间的限定、用户拨号时间的配额、根据用户分配特定IP地址等等。RADIUS是一种基于UDP协议的上层协议,认证服务的监听端口号为1812,记费服务的监听端口号为1813。RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS向RADIUS服务器发送一系列加密的“属性/值”; (3)RADIUS服务器检查用户是否存在、属性/值是否匹配;(4)RADIUS服务器发送回“接受“或“拒绝“给NAS。
RADIUS服务器通常是基于数据库来实现的。对于大型ISP,通常会使用诸如Oracle之类的大型后台数据库。而对于中小型应用使用mySQL这样的数据库就足够了。其实RADIUS的身份验证也可以通过LDAP来实现,但其应用不如数据库那么广泛。
这里介绍一种使用IC-RADIUS与mySQL配合建立RADIUS服务器的方案。并分别介绍了使用Cisco2610+Modem Pool作为NAS和使用Linux作为NAS的配置实例。
二、RADIUS服务器的建立
首先安装配置好Linux的基本系统,注意需要安装开发工具、Perl、Perl DBI和mySQL DBD模块,当然还必须安装mySQL数据库。这里我们假设把数据库和RADIUS服务放在同一台服务器上。现在几乎每个Linux发行版本里都包含mySQL,所以可以直接安装到系统里。具体步骤如下。
1.安装和配置ICRADIUS
(1)输入以下命令
#tar xvfz icradius-0.18.1.tar.gz
#cd icradius-0.18.1/src
然后拷贝针对Linux的Make文件Makefile.lnx为Makefile,命令如下:
cp Makefile.lnx Makefile
这里需要注意的是有可能需要修改Makefile文件,把mySQL库、头文件的位置根据实际安装的情况加以修改。对于可执行文件的安装位置也可以修改。
(2)运行如下命令
#make
#make install
2.创建RADIUS数据库
(1)连接mysql数据库,命令如下
#mysql -u root -pyourpassword
>CREATE DATABASE radius; ### 创建radius数据库
然后需要创建RADIUS数据库需要的各个表格,这里要使用icradius-0.18.1目录下script子目录中的radius.db文件,该文件已经定义了所需要的各个表格,这里只要使用命令
#mysql -u root -pyourpassword radius < radius.db
即可。这时就创建了Radius认证和计费所需要的各个表格,见附表1。

3.填充各个表格
向上面创建的各个数据库的表中添加内容。对于dictionary表的内容,icradius软件提供了一个脚本文件script/dictimport.pl来创建,步骤如下。
(1)编辑该文件,修改
my $dbusername =root;
my $dbpassword = yourpassword;
为对应的数据库管理员的用户名和密码。
(2)运行该脚本,命令如下:
#./dictimport.pl ../raddb/dictionary
如果使用Cisco路由器,还需要加载Cisco的dictionary文件,命令如下:
# ./dictimport.pl ../raddb/dictionary.cisco
(3)向nas表格中添加内容,先进入mysql:
# mysql -u root -pyourpassword radius
执行SQL语言命令如下:
insert into nas
values (0,"cisco nas","nas","10.60.39.250","cisco",32,"cisco","public","on");
其中各字段的意义见附表2。

(4)srcipts目录下的radius.cgi是一个实现Web界面管理用户及记费信息的CGI程序,但是要在使用该脚本程序以前,首先要在radcheck表格中添加如下内容:
INSERT INTO radcheck VALUES ("","admin","Password","adminpassword");
INSERT INTO radcheck VALUES ("","admin","Radius-Operator","Yes");
这里,admin为RADIUS管理员的用户名,adminpassword为管理员的密码。
(5)将radius.cgi和usage.cgi拷贝到Web服务器的cgi-bin目录下,再编辑这两个文件,正确的设定数据库管理员的用户名和密码。最后指定两个文件中的$cookiedomain及$radhost为空。两个文件中的$radsecret指定为NAS和RADIUS共享的密码。
4.配置启动radiusd
(1)在/etc/目录下创建子目录raddb
# mkdir /etc/raddb
(2)在该目录下创建文件client,并设定其访问权限:
# touch clients
# chmod 664 clients
(3)把icradius-0.18.1/raddb /目录下的radiusd.conf拷贝到/etc/raddb目录下:
#cp ~/icradius-0.18.1/raddb/radius.conf /etc/raddb/
(4)把~/icradius-0.18.1/raddb/中的所有文件拷贝到/etc/raddb目录中。
其中在~/icradius-0.18.1/redhat/目录下有一个名为rc.radiusd-redhat的文件,它是redhat环境下radiusd的启动文件,将其拷贝到/etc/rc.d/init.d目录下:
# cp ~/icradius-0.18.1/redhat/rc.radiusd-redhat /etc/rc.d/init.d/rc.radiusd
(5)编辑文件/etc/raddb/radius.conf文件,password后面修改为mysql的管理员密码。
(6)编辑文件/etc/rc.d/init.d/rc.radius,把如下内容:
RADIUSD=/usr/sbin/radiusd
WATCHER=/usr/sbin/radwatch修改为(缺省安装时)
RADIUSD=/usr/local/sbin/radiusd
WATCHER=/usr/local/sbin/radwatch
(7)拷贝~/icradius-0.18.1/scripts目录下的radwatch到/usr/local/sbin目录下。拷贝~/icradius-0.18.1/scripts目录下的radiusd.cron.daily到/etc/cron.daily/目录下。拷贝~/icradius-0.18.1/scripts目录下的radiusd.cron.monthly到/etc/cron.daily/目录下。
(8)启动radiusd,命令如下
/etc/rc.d/init/rc.radiusd start
5.添加用户
在浏览器里输入进入管理界面,在这里输入RADIUS管理员的用户名和密码。
(1)创建一个组,该组具有所有用户都应该具有的特性,为该组起一个名字。
(2)进入组属性设置界面,在“reply item”中设置最基本的属性,命令如下:
Framed-Protocol PPP
Service-Type Framed-User
(3)添加用户,为该用户组起一个名字:aaa,并设定该用户的密码。
(4)进入了用户属性设置界面,选择“add to group“*”all_user组”*“确定”,就可以看到,该用户如下“reply item”:
Framed-Protocol PPP
Service-Type Framed-User
(5)如果需要设置该用户的时间限制,则需要输入时间限制的数字,注意时间单位为秒),因此一小时的时间限制对应的“Total-Time-Limte”属性值为3600。
(6如果需要是设置回拨,在“reply item”中选择“Cisco-AVPair lcp:callback-dialstring=1234567(回拨的电话号码)”。对于“check item”和“reply item”根据不同的NAS设备类型有非常多的可选项,其功能也非常丰富。
三、拨号服务器的设置
通过上面的步骤,RADIUS服务器基本建立完毕了。为了让拨号服务器使用RADIUS作为拨号用户的身份验证方式,必须在拨号服务器上作相应的设置。在本文讨论的实例中使用了Cisco 2610路由器作为拨号服务器,在配备了16端口的异步串口模块后,可以允许16个用户同时拨入。在Cisco 2610上完成拨号基本配置可以正常工作后,需要加入如下语句来使用RADIUS作身份认证和记账。
aaa new-model #激活AAA(authentication、authorization、accounting)访问控制
aaa authentication login default line enable #进行login认证,若RADIUS Server未找到从本地数据库内查找
aaa authentication ppp default radius local #进行PPP认证,若RADIUS Server未找到从本地数据库内查找
aaa authorization exec default radius none #由RADIUS服务器授权运行EXEC模式
aaa authorization network default radius local #先由RADIUS服务器授权与网络相关的服务请求。
aaa accounting network default start-stop radius #定义使用RADIUS作为使用时间的记账
radius-server host 10.65.65.19 auth-port 1812 acct-port 1813 #设置RADIUS服务器IP地址、验证和记账端口
radius-server key cisco #定义RADIUS服务器和NAS之间共享的密码
!
对于小型应用,使用Linux作拨号服务器的同时,也可以使用RADIUS作身份认证和记费,这需要安装radiusclient-0.2.7.tar.gz。后面的步骤如下。
(1)必须已经配置好拨号服务器PPP Server,使其能够正常工作,修改/etc/mgetty+sendfax/login.config文件,去掉下面一行的注释符号:
/AutoPPP/ - a_ppp /usr/sbin/pppd-radius
此行的目的是实现基于RADIUS的PAP验证,使通过Windows 95/98的拨号用户不需弹出终端窗口,直接在拨号窗口中输入用户ID和口令即可进入
(2)修改/etc/options文件,需要去掉idle 600等配置项,因为pppd-radius这个脚本不支持这些参数。在配置文件中添加参数radius和radacct,这两项是告诉pppd-radius要用RADIUS进行验证。
(3)修改/etc/radiusclient/radiusclient.conf文件,具体如下:
auth_order radius,local #验证顺序
login_tries 4
login_timeout 60
nologin /etc/nologin
issue /etc/radiusclient/issue
authserver 10.65.65.19 #RADIUS Server的地址,可以是localhost
acctserver 10.65.65.19 clients/etc/raddb/clients #作为client的一些配置
login_radius /usr/sbin/login.radius
seqfile /var/run/radius.seq
mapfile /etc/radiusclient/port-id-map
default_realm
radius_timeout 10
radius_retries 3
login_local /bin/login
port_pool /etc/radiusclient/modem-pool
(4)修改/etc/raddb/clients文件,具体内容如下:

(5)在对应Client Name处写入Radius Server的IP地址,也就是在/etc/radiusclient/radiusclient.conf文件中定义的authserver和acctserver的地址,在对应Key处应加上保密字。
阅读(1140) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~