FreeRadius 和 AD 集成搭一套认证环境

最新推荐文章于 2023-10-27 14:21:05 发布
最新推荐文章于 2023-10-27 14:21:05 发布
阅读量4.6k 收藏 10
点赞数
分类专栏: server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/david_zhang228/article/details/102627871
版权

FreeRadius 和 AD 集成搭一套认证环境

由于项目需要Radius 认证,所以用freeRadius + AD 搭了一套认证环境,对于AD我搭的是Window server 2019,这里不会描述它,下面主要讲述怎么安装freeRadius ,已经验证认证环境。

环境准备

  • Window server 2019 (192.168.63.10) (添加域名 mydemo.local)
  • Centos 7.x (192.168.63.9) (我用的是7.7 版本)
  • 客户机一台 测试 (192.168.63.4)(我用的是centos)

FreeRadius server 的安装

Radius server 主要安装在Centos 7.x 上, 下面将yum install 多个安装包

设置hosts

在/etc/hosts 中配置下面的IP
在这里插入图片描述

关闭selinux 和iptables (生产环境我们肯定要设置iptable rule 来做)

在这里插入图片描述

安装samba 和配置

  1. yum install samba.x86_64 -y
  2. 配置smb, /etc/samba/smb.conf
    • ) workgroup 配置Domain 的左边
    • ) security 配置ads
    • ) readm 配置大写的domain
    • ) netbios name 配置你在hosts 中配置local 名字
    • )password server 配置的你的AD 的IP或者你在hosts 中配置AD的hostname
    • ) encrypt passwords 一定要配置yes
      在这里插入图片描述

安装krb5 以及kerberos 的配置

yum install krb5-server.x86_64 -y

  • /etc/krb5.conf 配置在这里插入图片描述
  • /var/kerberos/krb5kdc/kdc.conf 配置
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 MYDEMO.LOCAL={
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

安装freeradius 和winbind

  • yum install freeradius freeradius-utils samba-winbind krb5-server krb5-workstation -y
  • 配置 /etc/nsswitch.conf
  passwd:     files sss winbind
  shadow:     files sss winbind
  group:      files sss winbind
  • 将/usr/lib/systemd/system 下的service copy 到 /etc/systemd/system/, smb.service, krb5kdc.service winbind.service,

可以用kerberos 测试一下我们的账号

kinit Administrator@MYDEMO.LOCA
Password for Administrator@MYDEMO.LOCAL: *******

上面命令无返回就表示OK

将centos 加入我们的域mydemo.local中

net ads join -U Administrator
Enter Administrator's password: ********
Enter Administrator's password:
Using short domain name -- MYDEMO
Joined 'CENTOS' to dns domain 'mydemo.local'

上述结果表明OK, 我们可以到AD server 中可以看到我们将centos 加入了, 在加入的过程中可能会失败,我们加入:
net -s /dev/null groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin
然后join

然后我们可以测试一下用ntlm 来测试认证是否OK,所以我们需要安装 samba-winbind-clients.x86_64

ntlm_auth --request-nt-key --domain=MYDEMO.LOCAL --username=xxxxx --password=*****
NT_STATUS_OK: The operation completed successfully. (0x0)

上面返回结果表示OK

配置Radius

  • raddb/mods-enabled/ntlm_auth
        exec ntlm_auth {
                wait = yes
                program = "/path/to/ntlm_auth --request-nt-key --domain=MYDOMAIN --username=%{mschap:User-Name} --password=%{User-Password}"
        }

  • /etc/raddb/sites-available/default 和 raddb/sites-enabled/inner-tunnel
    authorize 中加入 ntdomain
    authenticate 中 加入 ntlm_auth

  • raddb/mods-config/files/authorize
    DEFAULT Auth-Type = ntlm_auth
    重启radius 服务之后,我们run 下面的命令:

radtest username passwd 127.0.0.1 0 testing123
Sent Access-Request Id 218 from 0.0.0.0:40053 to 127.0.0.1:1812 length 81
        User-Name = "david_zhang"
        User-Password = "passwd"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Message-Authenticator = 0x00
        Cleartext-Password = "passwd"
Received Access-Accept Id 218 from 127.0.0.1:1812 to 0.0.0.0:0 length 20

我们收到一个 “Access-Accept” 就表示认证成功

david_zhang228
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
ubuntu+freeradius建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境
freeradius 安装配置详细记录
01-18
在CentOS 5.5上安装freeradius 2.1.7的详细记录,包括基本安装,使用MYSQL数据库,使用dialup admin进行流量监控,用户管理。对同时登陆的帐号进行限制。采用MAC+用户名/密码进行认证的配置。
AD域控与CA证书、NPS(radius)超级详细安装
杜颐的博客
10-08 6339
外部域控、CA证书、Radius服务器的详细配置及服务器加域
FreeRadius+Cisco交换机+Windows AD实现802.1X认证
weixin_34007886的博客
07-31 1301
(一)概述本文档描述了如何设置FreeRadius服务器,以便对windows客户端网络用户透明的对ActiveDirectory进行身份验证。 1.1、原理:FrReRADIUS通过基于端口的访问控制提供身份验证。只有当认证服务器验证了证书时,用户才能连接到网络。用户证书通过使用802.1x标准的特殊认证协议来验证。(FreeRADIUS offers authentication via po...
调试freeradius 3.0 与microsoft AD通过LDAP认证的笔记
d9394952的博客
06-25 2228
首先来参考文章: a、https://blog.51cto.com/liqingbiao/2146832?utm_source=oschina-app 这个主要参考了基本安装、配置、测试 b、https://blog.51cto.com/11772130/1793273 这个是后面验证失败后找到了解决办法 下面是笔记: 1、按1配置后,发现无法验证用户: 修改/etc/addb/m...
Freeradius服务器的建流程
1244786512的博客
04-21 7206
Radius、Firewall 安装配置 1、说明 使用 freeradius 和 mariadb 配置 Radius 认证服务器 2、安装命令 使用在线 yum 源安装,保证网络畅通,执行以下命令等待安装完成 yum install -y freeradius freeradius-utils freeradius-mysql mariadb-server 验证安装,使用如下命令,如...
FreeRADIUS介绍
石头
09-21 5702
FreeRADIUS介绍 RADIUS( Remote Access Dial In User Service) Protocol主要用来提供认证(Authentication)机制,用来辨认使用者的身份与密码,确认通过之后,经由授权(Authorization)使用者登入
Ubuntu中使用freeradius配置RADIUS,并在RADIUS中配置LDAP
热门推荐
RBK的博客
06-06 1万+
Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用远程访问拨号用户服务(Remote Authentication Dial In User Service,RADIUS)来实现AAA。RADIUS是一...
无线WIFI接入FreeRadius进行认证——筑梦之路
筑梦之路
10-27 693
ASUS RT-AC88U路由器。
FreeRadius+Windows AD实现802.1X认证(20220405记录)
qq_18729059的博客
04-06 8259
FreeRadius+Windows AD实现802.1X认证(20220405记录) 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录FreeRadius+Windows AD实现802.1X认证(20220405记录)前言一、实验环境二、级标题2.1 Linux服务器的配置2.2 freeradius安装2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 想建开源的radius对接AD域,无线wifi的AC控制器对接radius,实现用户通过AD账号密码验
FreeRadius windos 认证服务器
09-12
FreeRadius windos 认证服务器
jradius+freeRadius 建AAA认证服务
01-22
因为freeradius是c写的,而需求是需要java建radius服务器,jradius正好是java写的,在freeradius3.0以下把jradius的模块映射出去,这样就可以用java代码来操作java端的服务器。 本资源好几个人建1个周,过程很...
Ubuntu16.0.4安装FreeRADIUS和Daloradius.pdf
07-16
Radius服务器,用于实现AAA认证
Freeradius配置wifi认证
07-12
使用开源软件Freeradius配置Wifi认证的说明文档
2024-2030全球及中国控制膨胀合金箔行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及中国控制膨胀合金箔行业研究及十五五规划分析报告
通信历年真题选择题汇总1.(DOC).doc
04-18
通信历年真题选择题汇总1.(DOC).doc
电子通信设计资料电子万年历设计与制作论文资料
04-18
电子通信设计资料电子万年历设计与制作论文资料提取方式是百度网盘分享地址
JSP-SSM健身俱乐部客户关系管理系统可升级SpringBoot源码.7z
最新发布
04-18
前台框架基于Bootstrap这一HTML5响应式框架,能够自适应不同终端设备的屏幕大小,为用户提供良好的浏览体验。开发环境兼容myEclipse、Eclipse、Idea等多种工具,配合mysql数据库,实现数据的存储与管理。后台则采用SSM(SpringMVC + Spring + Mybatis)框架,保证系统的稳定与高效运行。 系统主要包括会员信息管理、员工信息管理、设备信息管理以及退出模块。会员信息管理模块详细记录了会员的基本信息、健身目标、消费记录以及健身习惯等,同时设有会员投诉管理模块,用于收集和处理会员的意见与建议。员工信息管理模块则涵盖了员工的基本信息、工资发放情况等,帮助俱乐部进行人事管理。设备信息管理模块则负责建立器械档案,跟踪维修情况,并合理安排器械摆放位置,以延长器械使用寿命。 数据库设计方面,会员表记录了会员的各项基本信息,包括姓名、性别、职业等;部门表与员工表则分别用于记录俱乐部的组织机构和员工信息;会员消费表记录了会员的消费详情;员工工资表则用于记录员工的工资发放情况;留言表用于收集会员的留言及回复;设备类别表与设备表则详细记录了会所内器械的分类与具
2024-2030全球及中国超级殷钢 32-5行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及中国超级殷钢 32-5行业研究及十五五规划分析报告
freeradius sim卡认证
05-12
Freeradius是一款开源的协议认证软件,可以用来进行服务器认证和用户认证。其中,sim卡认证是一种基于移动通信网的用户认证方式,通过对移动网络用户的sim卡进行鉴别和验证,从而实现身份验证和访问控制。 Free...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值