Freeradius结合LDAP认证

所需积分/C币:31 2013-07-12 11:40:06 306KB PDF

使用开源软件Freeradius及LDAP进行身份认证的说明文档
安装后可以通过 radtest测试 fradtest admin password localhost testing 123 返回信息如下说明测试成功,此步很重要,安装后第一步应该测试一下 Freeradius是不是可 以正常运行,再进行下面的置 Sending Access-Request of id 85 to 127.0.0. 1 port 1812 User-Name="admin" User-Password ="password' NAS-IP-Address=127.0.0.1 NAS-Port=0 rad_ recv: Access- Accept packet from host 127.0.0.1 port 1812, id=85, length=20 测试通过后酤置 reeradius,型置文件在/usr/ local/etc/radb下,2.0之后的配置对」对认 证的支持方式米用模块化,所以修改起来也很方便。配冒文件忽略注释项 主配置文件 radiusd conf: #vi radiusd 此文件只是把log选项中的认证log信息打开了其他部分没有做任何修改 destination files file=$logdir/radius. log syslog facility =daemon stripped_names=no auth= ves auth badass = no auth_goodpass=no 20以后的版本,所以有的认证模块都保存在/usr/ocal/etc/ radde/ modules月录下 用户认证配置文件 ldap认证模块修改: #vi ldap 比较重要的为前四行,设置你LDAP服务器的配置,如何过虑 User- Name的宇段,以前你 LDAP的搜索域,如果你的LDAP需要权限控制才能访问,请修改配貿文件中被沣释的两行。 ap server ="localhost'r #identity ="cnadmin, o=My Org, C=UA #password= mypass basedn ="dc=yen, dc=net!" filter="quid=% Stripped-User-Name: -%User-NameB3) base_filter="(objectclass=radiusprofile) Idap connections number=15 timeout 4 timelimit= 3 net timeout 1 start tIs=no dictionary_ mapping =Siconfdiry/dap. attrmap 红文件比较重要,这个表示在检索LDAP时查我的字段和返回的信息值,对于 Client的网 终配置部分都在这文件中表明,后文会详细说明。 Freeradius字典文件修改 通过LDAP认证时的返回值全部都要在 Freeradius Dictionary中说明,否侧不能被 上 reeradius识别。 Dictionary配智文件保存在/usr/ localletc/raddb目录下 # at dictionary|grep“v“#” SINCLUDE /usr/local/share/freeradius/dictionary Dictionary文件分部保存在/usr/ ocal/share/freeradius/文件中 fcat dictionary grep"v"" SINCLUDE dictionary. compat INCLUdE dictionary. rfc2865 SIncLUDE dictionary.rfc2866 SINcLUdE dictionary. rfc2867 SINCLUDE dictionary. rfc2868 INCLUDE dictionary. rfc2869 incLUdE dictionary. rfc3162 InCLUdE dictionary.rfc 3576 INCLUdE dictionary.rfc3580 以下略 我的NAS用的是 extreme network summitⅩ450交换机,需要修改的字典文件为 dictionary. extreme,如果你使用的是其他NAS可以修改相应的字典文件,或是自己创建 个字典文件也可以 加入下面两行定义 ATTRIBUTE Extreme-Netlogin- Extended- Vlan 211 string ATTRIBUTE Extreme-Securitv-Profile 212 string 字共修改后,修改ldap. attrmap让DAP可以返回 extreme认证用的字段。配置文件保存 在/usr/ caleta/ radde/下 添加以下属性 replyItem Tunnel-Type radius TunnelType replyltem Tunnel- Medium- Type radiusTunnelMediumType replyltem Tunnel- Private-Group-Id radiusTunnelPrivate GroupId replyltem Extreme-Security-Profile radius extremeSecurity Profile replyItem Extreme-Netlogin- Vlan-Tag radius ExtremeNetlogin VlanTag replyItem Extreme-Netlogin-Extended-Vlan radius ExtremeNetlogin Extendedvlan 另外需要把 NT-Password字段修改如下,如果你希望 radius用户使用 samba的密码,可以 不用修改这部分,因为我希望密码分廾管理,而且网终认证的密码不会发给用户,所以我用 了其他的字段做为 Freeradius的认证密码。 checkitem User-Password userPassword checkltem NT Password radiusUserpassword 这部分再次说明一下 如果是想通过MAC方式认证,比如客户端是 Linux或是MAC累的机器,密码验证时需要 使用 userpassword字段。 如果是用 Winxp客户端认证的话,无论你是否使用CA证书,一定要用MD4( WinNT方式加 密后雨放到 radiusUserPassword中。 另外 Windows通过 Freeradius认证时,密码通过MD4( Winnt)的式加密,所以需要储存 在LDAP中的 radiusUserpassword也通过MD4的加密方式保存,这样才能通过认让。另 外,通过 ntradping验证工具是不能验证MD4是否成功的需要,通过 WinXP客户端进行验 证 配置可使用的认证方式: 修改认证方式配置文件,日录为usr/ callet/ radde/ sites-available 两个比较重要的文件 default#默认配置文件 inner-tunnel#认证虚拟机配置文件,这个文件我没做仔细研究,如果有了解的屴友希望能 交流一下 #vi default 用户认证部分只保留了ldap和eap部分,其他的认证用不到我注释掉了,如果你需要其他的 认证去掉相应的注释部分。 authorize ldap eap 验证部分保留了下面的选项,支持 MS-CHAP验证方式,LDAP验证和EAP验证 authenticate Auth-Type MS-CHAP mishap Idap eap authorize配冒用户信息通过那种方式获得,LDAP服务器、 Mysql服务器、Unix系统 帐号还是 files文件 authenticate配置验证方式,密码的格式等等 除上述部分外未作任何修改。 配置eap认证方式: 修改内容如下 cat eap. conf grep-v“# eap default eap type timer_expire ignore_un known_eap_types =no tl certdir=$ iconfdirl/certs cadir=confirm/ private_ key_password = cyberstep private_key_file=Sicertdir//server pem certificate file=icertdirM/server pem CA file icadiry/ca pem dh file =Sicertdir,/dh random file sIcertdir/random fragment size =1024 clude length make_cert command="icertdir,/bootstrap' peap default_eap _type msc 2 mschapv2 主要修改部分为交eap的默认认证方式改为peap,原为MD5,另夕添加对tls的支持,希望 客户端和 freeradius通信时采用证书加密。另外将 peap默认认证方式改为 schaps2 Freeradius生成证书 Freeradius20.5含有证书制作脚本,只要 OpenSsl的路径正确, Freeradius可以自己制作 证书,不过需要修改一下相关的信息,文件在/sr/ local/etc/ radde/erts目录下,需要修改的 文件为ca. cnf server cnf client cnf #more ca cnf default days =3650 default crl days =5650 Certificate authority countryName =JP stateOrProvincename Toky locality Name Shibuya organization name -Yep inc. emailAddress zhou@yen.net commonnvame yepn certificate authority" 其中比较重要的是这几部分,days问题你也希望你的证书只能用个月,或是年的时间, 相信闷管都不喜欢这样,所以我把时间设的长一点改成了10年。下血的 certificate_authority 是你证书的相关信息这个是方便査询证书的出处,不清楚的地方请找 OpenSSL的资料看 下,另外在cert文件夹中有 Makefile文件,我也小修改了一下,不知道为什么前面对于 ca cnf 日期的修改在cn.cnf中不生效,所以我只好把命令行那边加上一个days3650 修改后如下 #more makefile openssl req new-x509-days 3650-keyout ca key -out ca pem -config /ca cnf 因为 OpenSSL自己也不是特别明白,所以没办法讲的更细了,希望明白的朋友指点下。 这样生成后的 ca der证书可以导入到 Winxp中 到此为止 Freeradius的配置就完成了,可以通过 radiusd-Xf测试一下 radius的配置是否 正确。可以通过 radtest命令来验证一卜 Freeradius能验证。 OpenLDAP配置: 因为LDAP中加入了对 radius属性的支持,所以需要修改 OpenLDAP配置文件。 复制 raiuds. schema文件到 openLDaP的 schema目录下 #+o /usr/local/share/doc/freeradius/examples/ openldap schema letc/openldap/schema/radius schem 因为上面刚刚新加的几个 attribute的值在这个标准的 radius. schema文什中没有,所以需要 自己定义几个新的 attribute的值 添加内容如下 attributetype (1.3.61.41.3317.4.3.1.61 NAME radius Extreme Security Profile DESC“ EQUALITY caselgnorelA5Match SYNTAⅩ1.3.6.1.4.1.1466.115.121.1.26 attributetype (1.36.1.4.1.317.4.3,1.62 NAME radius ExtremeNetlogin VlanTag DESC EQUALITY caselgnore IA5Match SYNTAX1.3.6.1.4.1.1466.115.121.1.26 attributetype (1.836.1.4.1.331743.1.63 NAME radius ExtremeNetlogin Extended vlan DESC“ EQUALITY caselgnoreIA5Match SYNTAⅩ1.3.6.1.4.1.1466.115.121.1.26 attributetype (1.3.6.1.4.1331743166 NAME radiusUser Password DESC radius password SUP userpassword

...展开详情

评论 下载该资源后可以进行评论 1

xray2005 文档不错。就是年代有点久远了。
2019-03-08
回复
img
Just4life

关注 私信 TA的资源

上传资源赚积分,得勋章
相关内容推荐