freeradius 高性能负载均衡配置说明

最新推荐文章于 2022-12-16 16:26:58 发布
最新推荐文章于 2022-12-16 16:26:58 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: freeradius 文章标签: freeradius proxy 高性能 负载均衡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lx_mai/article/details/51994746
版权

要配置freeRADIUS的proxy功能,就需要熟悉它的两个配置文件:proxy.conf 和client.conf。

 

1. proxy.conf主要是用来配置被代理的radius server(也叫home server) 和 realm, 以及他们之间的映射关系,也就是request转发到那个home server。

该配置文件中主要有三个配置项目:

a. home_server: 主要用来配置home server的属性, 也就是被代理的radius server的属性,主要包括home server的类型(认证,计费,认证计费等)、ip地址、端口、密码(server和client之间的密码)、是否需要authenticator、重启时间等等。

b. home_server_pool: 用来定义home server集。 它可以把多个home server放到一个home_server_pool中,然后定义这些home  

server之间的协作关系,可以是load-balance,fail-over等

c.realm : 用来定义域。 在该项目中可以指定 home_sever_pool,这样就把该域的请求转发到home_server_pool中的一个home

server上。如果realm中不指定home_server_pool,那么该请求就会在本地处理。

总之, 一个home server指定了一台被代理的radius服务器,然后home_server_pool又将一些home server放到一个pool中,在realm中指定home_server_pool,这样也就把域和radius server联系在一起了。

 

在代理freeRadius server上,收到一个请求后,就会检查该请求的域,然后去匹配proxy.conf中定义的realm,然后将请求转发到相应的radius server上去。没有域的请求会使用realm NULL来处理,如果没有找到匹配的 会使用realm DEFAULT来处理。

 

    2. client.conf 主要是用来配置radius server的客户端的,server的客户端的概念是相对的,可以是NAS,直接的client设备,也可以是    代理radius server。 如果某一台freeRADIUS启用了代理,那么对于被他代理的radius server 来说他就是client。 所以,也需要 在被    代理的radius server的client.conf中,添加上代理radius server。

 

 

下面,以一个freeRadius 代理两个freeRadius server来说明。 

代理freeRadius(192.168.1.10)

被代理freeRADIUS server 1 (192.168.1.101,用来处理mydomain1.com的请求) 

被代理freeRADIUS server 2 (192.168.1.102,用来处理mydomain2.com的请求) 

 

(1) 代理freeRadius 上的配置

  1. #配置home server 1  
  2. home_server myProxyServer_1 {  
  3.     type = auth  
  4.     ipaddr = 192.168.1.101  #home server ip地址  
  5.     port = 1812  
  6.     secret = myProxyServer_1   #密码(client和server间的)  
  7.     require_message_authenticator = no  
  8.     response_window = 20  
  9.     zombie_period = 40  
  10.     revive_interval = 120  
  11.     status_check = status-server  
  12.     check_interval = 30  
  13.     num_answers_to_alive = 3  
  14.     coa {  
  15.         irt = 2  
  16.         mrt = 16  
  17.         mrc = 5  
  18.         mrd = 30  
  19.     }  
  20. }  
  21. #配置 home server pool 1  
  22. home_server_pool myProxyPool_1{  
  23.     type = fail-over  
  24.     home_server = myProxyServer_1    
  25.         #指定home_server 可以指定多个  
  26. }  
  27. #配置realm  
  28. realm mydomain1.com {  
  29.     auth_pool = myProxyPool_1  # 指定home_server_pool  
  30.     nostrip  #一定要加上这个,不然server会剪掉域名,导致认证通不过  
  31. }  
  32. #配置home server 2  
  33. home_server myProxyServer_2 {  
  34.     type = auth  
  35.     ipaddr = 192.168.1.102  #home server ip地址  
  36.     port = 1812  
  37.     secret = myProxyServer_2   #密码(client和server间的)  
  38.     require_message_authenticator = no  
  39.     response_window = 20  
  40.     zombie_period = 40  
  41.     revive_interval = 120  
  42.     status_check = status-server  
  43.     check_interval = 30  
  44.     num_answers_to_alive = 3  
  45.     coa {  
  46.         irt = 2  
  47.         mrt = 16  
  48.         mrc = 5  
  49.         mrd = 30  
  50.     }  
  51. }  
  52. #配置 home server pool 2  
  53. home_server_pool myProxyPool_2{  
  54.     type = fail-over  
  55.     home_server = myProxyServer_2    
  56.         #指定home_server 可以指定多个  
  57. }  
  58. #配置realm  
  59. realm mydomain2.com {  
  60.     auth_pool = myProxyPool_2  # 指定home_server_pool  
  61.     nostrip  #一定要加上这个,不然server会剪掉域名,导致认证通不过  
  62. }  


注意如果需要本地的帐号也需要转发直接配置一个NULL就可以了

  1. realm NULL {  
  2.     auth_pool = myProxyPool_2  # 指定home_server_pool  
  3.     nostrip  #一定要加上这个,不然server会剪掉域名,导致认证通不过  
  4. }  

 

Realm指向home server pool 
auth_pool  指向home server pool并且pool中的home servertype都必须是auth 
acct_pool   指向home server pool 并且pool中的home servertype必须是acct 
如果pool中的home servertype都是auth+acct,那么可以使用pool参数设置即可
可以直接设置成

  1. #配置realm  
  2. realm mydomain2.com {  
  3.     pool = myProxyPool_2  # 指定home_server_pool  ,表示认证+计费

  5. }  


(2)home server 1 上的设置

 

proxy.conf设置,添加如下

  1. realm mydomain1.com{  
  2. #不需要设置 home_server_pool,因为转发过来的请求需要在本机上处理  
  3. }  

 

client.conf中添加

  1. client 192.168.1.10{  
  2.     secret = myProxyServer_1  
  3.     shortname = myproxy  
  4.     nastype     = other # localhost isn't usually a NAS...  
  5.     require_message_authenticator = no  
  6.       
  7. }  

 

(3) home server 2 的设置

font-family: monospace;">

  1. #client.conf  
  2. client 192.168.192.10{  
  3.     secret = myProxyServer_2  
  4.     shortname = myproxy  
  5.     nastype     = other # localhost isn't usually a NAS...  
  6.     require_message_authenticator = no  
  7.       
  8. }  
  9. #proxy.conf  
  10. realm mydomain2.com{  
  11. }  

 



注意在认证有可能用户名称不对,带域认证的用户需要使用 %{Stripped-User-Name}

1、

 dialup.conf -- MySQL
#sql_user_name = "%{%{Stripped-User-Name}:-%{%{User-Name}:-DEFAULT}}"

2、如果需要强制下线,
只需要在网关片开启对代理IP接入请求3799端口就可以了

零起飞
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
freeradius负载均衡
遇卿
12-15 1405
Freeradius负载均衡配置
基于centos的freeradius高可用lvs(UDP)
weixin_33709590的博客
03-31 113
最近在做freeradius高可用配置,使用lvs的vip做轮询:   freeradius配置见前面的文章;   下面是lvs的keepalived的配置:     global_defs {       router_id LVS_DEVEL_TEST    }     vrrp_sync_group LVS_RA {       group {        ...
FreeRADIUS 负载均衡高可用
weixin_34150830的博客
12-29 334
FreeRADIUS 负载均衡高可用 测试环境 192.168.2.226test.com域控192.168.2.97freeradius.test.com192.168.2.92freeradius92.test.com192.168.2.93freeradius93.test.com 配置三台freeradius...
linux udp轮询的方式,基于CentOS的FreeRADIUS高可用LVS(UDP)
weixin_29018419的博客
05-14 334
最近在CentOS下做freeradius高可用配置,使用LVS的vip做轮询:freeradius配置见前面的文章;下面是lvs的keepalived的配置:global_defs {router_id LVS_DEVEL_TEST}vrrp_sync_group LVS_RA {group {VI_1}}vrrp_instance VI_1 {state MASTER #主备inte...
FreeRADIUS学习
07-16
freeradius 学习文档
freeRadius安装配置说明书 完全文档
08-30
FreeRadius安装配置说明书完全文档 FreeRadius是一款开源的 radius服务器软件,广泛应用于网络身份验证、授权和计费(AAA)领域。本文将指导读者在Linux环境下安装和配置FreeRadius服务器。 第一章 概述 Free...
FreeRadius windos 认证服务器
最新发布
09-12
安装完成后,配置FreeRadius的主配置文件`radiusd.conf`和认证、授权、计费模块的配置配置FreeRadius时,你需要定义以下关键部分: - **clients**:列出网络设备的IP地址和共享密钥,这些设备会向FreeRadius...
FreeRadius客户端和服务器配置
06-24
FreeRadius 客户端和服务器配置 FreeRadius 是一个开源的 RADIUS 服务器,广泛应用于网络认证、授权和记帐(AAA)领域。FreeRadius 客户端和服务器配置是实现网络认证和授权的关键步骤。本文将详细介绍 FreeRadius ...
h3c freeradius comware7 教程
04-05
在 Ubuntu 系统中安装 Freeradius,并对其进行minimal 配置以便演示远程 RADIUS AAA 登录到 Comware 7 交换机。 首先,需要编辑 Freeradius 的客户端配置文件,添加必要的属性。然后,编辑用户配置文件,添加必要的...
freeradius server 以及 client 配置、测试步骤
09-21
Freeradius Server 以及 Freeradius Client配置及测试详细步骤,在Centos 6.x操作系统上可以完全按照步骤进行配置和测试等相关操作,能够实现radius服务器的搭建,并且使用客户端进行验证测试。另外,附带了整理出来...
freeradius-server:FreeRADIUS-多协议策略服务器
01-28
FreeRADIUS服务器 介绍 FreeRADIUS Server Project是一个高性能,高度可配置的多协议策略服务器,支持RADIUS,DHCPv4和VMPS。 它在GNU GPLv2的条款下可用。 使用RADIUS可以集中化对网络的身份验证和授权,并最大程度地减少了在向网络中添加或删除新用户时必须进行的更改次数。 FreeRADIUS可以在802.1x(WiFi),拨号,PPPoE,VPN,VoIP等系统上对用户进行身份验证。 它支持后端数据库,例如MySQL,PostgreSQL,Oracle,Microsoft Active Directory,Apache Cassandra,Redis,OpenLDAP等。 每天都会使用它来认证数亿人的互联网访问,这些网站的用户范围从10到1000万以上。 文献资料 请参阅目录,其中包含版本4的完整文档。 另请参阅和 。 安装 要安装服务器,请参阅文档。 配置服务器 我们知道服务器可能难以配置,安装或管理。 毕竟,它是一个具有许多不同配置可能性的复杂系统。 最常见的问题是,人们在不了解自己正在做的事情且没有测试其更改的情况下更
Freeradius和cisco ssh身份验证
08-28
根据个人的实战经验,描述了FreeRADIUS的安装配置过程。FreeRADIUS+cisco 交换机ssh aaa认证。网上介绍FreeRADIUS安装配置的资料都比较旧,大部分是基于2.x版本的。本文档中涉及到的软件,都是比较新的版本,如FreeRADIUS是3.0版的,操作系统是Debian10.0.2,希望能对你有帮助
关于Freeradius用户非正常下线的问题
12-23
关于Freeradius用户非正常下线的问题
FreeRADIUS RADRELAY说明
Jesse的黑洞
09-03 984
radrelay -- Deprecated command.   描述 Radrelay的功能被添加到radiusd中。Radiusd的实例的一个好处就是可以读多个详细的文件。 Rlm_sql_log模块工作类似但不是sql查询。 备份 大多数站点运行多个radius服务器;至少一个主和一个备。当主down,NASes检测到问题切换到备服务器上。   这将引起你的记账数据包到达
mikrotik ros + FreeRadius+daloradius CoA和PoD断开
ChinaSanDuo的专栏
03-15 3431
我们看到freeradius Disconnect Messages写到: Example Disconnect-Request FreeRADIUS server (radiusd) supports sending Disconnect-Request via the update coa and update disconnect Unlang statements. You c
mariadb+freeradius踢用户下线及非正常掉线用户清理【更新】
inthesun29的博客
11-27 1302
整套Radius环境基于mariadb+freeradius+daloradius,daloradius本身有踢用户下线功能,但是只能逐个用户踢下线。本文结合网上其他网友的方法,提供一段可执行的python代码,用以定时批量将已停断的用户主动踢下线。 程序的原理是查找所有当前在线的但是却被daloradius放入daloRADIUS-Disabled-Users用户组(daloradius是用这种方法禁用、停断用户的)的用户以及在线信息(用户的Acct-Session-Id等信息),用这些信息向Bras/N
freeradius中将routeros中的拨号用户踢下线的方法
Json的知识梦工厂
01-16 3553
PHP交流群:294088839, Python交流群:652376983 先在ros的终端中输入引用: /radius incoming set accept=yes这样将开启routeros的断线请求消息,并监听在端口udp 1700。 然后使用radclient构造一个踢人的数据包。 格式如下:引用: echo "Acct-Session-Id=8100000c" > packe...
FreeRadius 服务器环境搭建(PAP 版)
weixin_39651041的博客
11-16 2287
FreeRADIUS 是一个高性能和高可配置的多协议策略服务器,支持RADIUS,DHCPv4 DHCPv6、TACACS+ 和 VMPS。源码: FreeRADIUS/freeradius-server:FreeRADIUS - 一个多协议策略服务器。2.1. 修改 /etc/raddb/mods-config/files/authorize 文件,添加认证用户信息。安装配置测试文档:Getting Started (freeradius.org)4.2. Java client 测试代码。
freeradius学习2--用户验证测试
liimuu的专栏
12-16 1013
freeradius 用户验证测试
FREERADIUS dOT1x配置步骤
06-12
下面是在Linux系统中使用FREERADIUS配置DOT1x的基本步骤: 1. 安装FREERADIUS软件包 ``` sudo apt-get update sudo apt-get install freeradius ``` 2. 配置FREERADIUS服务器 在`/etc/freeradius/`目录下,编辑`/etc/freeradius/users`文件,添加用户信息。例如: ``` bob Cleartext-Password := "password" ``` 这将创建一个名为“bob”的用户,密码为“password”。此外,还需要在`/etc/freeradius/clients.conf`文件中添加客户端信息。例如: ``` client 192.168.1.0/24 { secret = testing123 shortname = localnet } ``` 这将创建一个名为“localnet”的客户端,IP地址为“192.168.1.0/24”,共享密钥为“testing123”。 3. 配置DOT1x认证 在`/etc/freeradius/eap.conf`文件中,配置EAP认证协议,例如: ``` eap { default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 tls { private_key_password = password private_key_file = /etc/freeradius/certs/server.pem certificate_file = /etc/freeradius/certs/server.pem ca_file = /etc/freeradius/certs/ca.pem dh_file = /etc/freeradius/certs/dh } peap { default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = no proxy_tunneled_request_as_eap = yes virtual_server = "inner-tunnel" } } ``` 这将启用PEAP认证协议,并将其配置为使用MSCHAPv2作为默认EAP类型。 4. 配置网络接入设备 在网络接入设备(例如交换机或无线接入点)上,配置DOT1x认证。根据设备型号和厂商不同,具体配置方式可能会有所不同。 5. 测试认证 使用以下命令测试认证: ``` radtest bob password localhost 0 testing123 ``` 这将使用用户名“bob”和密码“password”对本地FREERADIUS服务器进行认证。 以上就是使用FREERADIUS配置DOT1x认证的基本步骤。具体的配置方式可能会因环境和需求的不同而有所变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值