使用802.1X+FreeRadius+LDAP实现网络准入方案

最新推荐文章于 2024-04-29 11:17:05 发布
最新推荐文章于 2024-04-29 11:17:05 发布
阅读量1.3k 收藏 3
点赞数
文章标签: ldap 运维 操作系统
原文链接:https://my.oschina.net/uyunsoft/blog/697192
版权

本文,将为大家分享运维前沿在网络准入管理方面的实践经验。

 

网络准入业界常用方案

 

为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:

 

wKioL1dgydagX2N3AADArRTcsyw560.jpg

 

而今天给大家介绍的802.1X+FreeRadius+LDAP网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。

 

什么是802.1X

 

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机或AP上的设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

 

部署结构

 

wKioL1dgydSQ9a8dAACDt-Mr7GM090.jpg

 

该方案的部署包括客户端、接入网络、论证与帐户系统。

 

客户端:可以是Windows、OSX与移动终端。目前Windows与OSX均支持802.1x协议,并且移动端也支持企业级WPA(支持用户名与密码)并与RADIUS服务集成;

 

接入网络:支持802.1x与Radius的交换机与无线AP即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与AP都可以支持;

 

论证与帐户系统:一个Radius服务器(本案例使用FreeRadius),与提供帐户管理的数据库(本案例使用LDAP服务器),同时也支持在LDAP服务器中设置下发VLAN与ACL信息。

 

方案优点

 

统一配置:对于运维人员来说减少网络管理维护工作,通过LDAP统一帐户管理。

 

安全可靠:在二层网络上实现用户认证,结合端口、账户、VLAN和密码等;绑定技术具有很高的安全性与实时性;

 

更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。

 

符合标准:802.1x属于IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软操作系统内置支持,Linux也提供了对该协议的支持。

 

用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。

 

方案缺点

 

需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动LDAP支持,安装FreeRadius即可。

 

首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客VLAN”,以提供基础的网络通信功能。

 

关键配置

 

1. 部署认证服务器FreeRadius服务器和LDAP服务器(本文略)。

2. 在网络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本文以H3C网络设备为例。

 

第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:

 

dot1x

dot1x authentication-method eap

 

第二步:与认证服务器RADIUS的配置,命令如下:

 

radius scheme demo

primary authentication IP //radius服务器的IP

primary accounting IP //radius服务器的IP

key authentication cipher 密码 //radius服务器认证密码

key accounting cipher密码 //radius服务器计费密码

user-name-format without-domain

 

第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:

 

domain system

authentication lan-accessradius-scheme demo

authorization lan-accessradius-scheme demo

accounting lan-access radius-schemedemo

access-limit disable

state active   

idle-cut disable

self-service-url disable

 

第四步:开启端口的802.1X的认证,命令如下:

 

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //认证失败下发一个guest VLAN

undo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连

dot1x port-method portbased

dot1x    

idle-cut disable

self-service-url disable

 

终端接入效果

 

下面以win7有线网络的接入为例进行说明。

 

第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:

 

wKioL1dgydWR1HGBAAA3IZ05VMI878.jpg

 

第二步:在弹出的对话框中,用户名输入LDAP帐号和密码,如下图所示:

 

wKiom1dgyMKTTUfYAAA6GKuzs80520.jpg

 

第三步:认证成功后如下图所示,入网就是这么so easy!

 

wKiom1dgyMLDcOKKAAAbnS9IWQM978.jpg

 

作者简介:邓小林,现任优云软件运维测试工程师,在运维的浩瀚海洋中耕耘着学习着积累着,希望能在运维领域与同行多多交流,与时俱进~

转载于:https://my.oschina.net/uyunsoft/blog/697192

chengle2011
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP
小李的csdn
12-26 5035
文章目录一、环境准备(一)LDAP环境搭建 一、环境准备 1.服务器信息 名称 系统版本 配置 ip地址 ldap-master CentOS 7.6(core) 2c 2g 50g 192.168.3.130 ldap-slave CentOS 7.6(core) 2c 2g 50g 192.168.3.131 redius-master CentOS 7.6(core)...
Freeradius结合LDAP认证
07-12
使用开源软件FreeradiusLDAP进行身份认证的说明文档
Ubuntu系统搭建FreeRadius认证系统测802.1X wifi 环境
稻草人V587
11-26 4763
Ubuntu系统搭建FreeRadius系统测802.1X wifi 安装FreeRadius环境 海外客户由于特殊wifi加密环境需求,测试802.1X PEAP/TTLS AP,反馈无法正常连接wifi。 初识802.1X协议 按照上面的描述,简言之就是在常规正常链接环境中插一个认证服务器,有它来确认终端用户的身份和证书等相关安全信息。 Win10安装Ubuntu环境子系统 Win10在控制面板->程序和功能->启用或关闭Windows 功能->勾选适用于Linux的Windows
搭建802.1X服务器及如何使用路由器接入和桥接(WDS)
let_he_write的博客
08-22 3171
搭建802.1X服务器及如何使用路由器接入和桥接(WDS) 本文说明了以下几个内容: 1、如何使用freeradius(在自己电脑上,linux系统)搭建802.1X认证服务器 2、如何将路由器A(openwrt系统)作为client连接上述服务器 3、如何使用路由器B(openwrt系统)桥接步骤2中的路由器A 一、使用freeradius(在自己电脑上)搭建802.1x认证服务器 参考http...
freeradius+ldap搭建认证服务器
qq_35992647的博客
02-24 6724
freeradius+ldap搭建认证服务器1.安装LDAP2.安装freeradius Freeradius包含一个radius服务器和radius-client,可以对支持radius协议的网络设备进行鉴权记账,支持众多的数据库。先freeradius+LDAP搭建认证服务器 1.安装LDAP apt-get install slapd ldap-utils migrationtools 安装...
Ubuntu中使用freeradius配置RADIUS,并在RADIUS中配置LDAP实现AP认证
噜噜噜的博客
10-10 1272
执行 sudo apt-get install freeradius freeradius-ldap freeradius-mysql进行安装freeradius 安装完成之后,他会自己启动,需要手动关闭,不然后面会报错,或者直接简单粗暴从任务管理器中kill相关进程也行 service freeradius stop 修改/etc/freeradius/3.0/sites-enabled/...
Freeradius使用FreeradiusLDAP和Google Authenticator实现双因素身份验证
u012153104的博客
10-08 1188
随着网络安全威胁的增加,传统的用户名和密码已经变得不再安全。为了加强网络访问的安全性,双因素身份验证成为了一种流行且有效的解决方案。在本文中,我们将介绍如何在已有的Windows AD环境下,在Ubuntu 22.04上安装和配置Freeradius和Google Authenticator来实现双因素身份验证,来提供网络访问服务器认证、授权和帐户信息。
用开源NAC阻止非法网络访问
weixin_33918357的博客
01-22 619
用开源NAC阻止非法网络访问 本文将要介绍的NAC代表网络准入控制(Network Access Control),在传统方法中,为了防止外来设备接入企业网可以采用在交换机上设置 IP-MAC绑定,结合ACL等方法使外来设备无法接入网络。目前市面上已经出现了一些上网行为管理和审计类产品,再此对比较知名的产品做一个概述性介绍,这些产品的功能也为接下来的研究工作提供了方向,具有指导性意义。深信服AC系...
802.1x+RADIUS认证计费超详细配置有图.pdf
06-21
安装AD活动目录; 默认域安全设置; 配置AD用户和计算机; 配置自动申请证书; 配置internet难服务(IAS); 配置IIS(internet信息服务管理器); 查看记录; 认证者端配置; 无线客户端配置;
PacketFence开源网络准入 Clustering群集搭建文档.docx
01-19
cketfence 编辑 讨论 上传视频 PacketFence的是一个完全支持,信任,自由和开放源码的网络访问控制(NAC)解决方案。拥有一个令人印象深刻的功能集包括一个俘虏门户网站登记和整治,集中有线和无线管理,强大的客户管理选项,802.1X支持,第2层隔离有问题的设备; PacketFence的,可以用来有效地保护网络,小到非常大的异构网络
基于LDAP802.1x的无线接入统一身份认证研究
07-04
对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。提出并建立了一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现了基于RADIUS的无线802.1x/EAP接入认证和基于LDAP的认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
802.1X+radius+ap
01-10
通过Radius来进行无线认证,可以实现无线不通客户的认证,达到权限不通的方案
基于802.1x协议的认证网络的设计与实现
01-31
文中重点分析了802.1x协议的技术要点、部署流程。结合H3C公司的交换机和Cams认证计费软件,实现为高校校园网络快速部署802.1x认证环境。总结了802.1x环境下的一些性能优化方案与安全措施。
NetBox 接入AD LDAP域控认证系统
Songxwn的博客
04-27 307
本文介绍了NetBox接入微软的AD LDAP认证的教程。已在NetBox 3.5-4.0版本验证过.more。
Virtualbox7.0.10--创建虚拟机
最新发布
醉殇姒若梦遗年 ツ的博客
04-29 336
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
lua编译器介绍
笨死的猪Blog
04-27 405
Lua编译器是将Lua语言编写的源代码转换为可执行代码的工具。
常见Linux操作系统SSH配置详解
weixin_42132035的博客
04-25 386
SSH(Secure Shell)是一种网络协议,用于加密方式远程登录和操作计算机系统。Linux用户经常需要通过SSH来安全地管理系统。本文将详细介绍在不同Linux发行版(CentOS、Ubuntu、RedHat、Debian、Fedora)上配置SSH服务的步骤。
802.1x radius
01-06
802.1x是一种网络访问控制协议,它提供了一种机制,用于在局域网中对用户进行身份验证和授权。RADIUS(远程身份验证拨号用户服务)是一种常用的认证和授权协议,用于管理网络用户的访问权限。 以下是一个关于802.1x和RADIUS的示例: ```shell Sep 20 10:20:21.598: RADIUS: User-Name [1] 7 "8021x" ``` 这是一个RADIUS服务器日志条目,其中包含了一个名为"8021x"的用户。 ```shell Sep 20 10:20:17.694: RADIUS: User-Name [1] 7 "8021x" ``` 这是另一个RADIUS服务器日志条目,也包含了一个名为"8021x"的用户。 通过这些日志条目,我们可以看到有两个用户使用802.1x协议进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值