FreeRadius+Windows AD实现802.1X认证(20220405记录)

已于 2022-04-06 10:01:32 修改
阅读量8.6k 收藏 18
点赞数 5
文章标签: 网络 安全
于 2022-04-06 02:25:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18729059/article/details/123976927
版权

FreeRadius+Windows AD实现802.1X认证(20220405记录)

文章目录

前言

使用开源radius对接AD域,无线AC控制器对接radius,实现用户通过AD账号密码验证,连接wifi。

FrReRADIUS介绍:

FrReRADIUS通过基于端口的访问控制提供身份验证。只有当认证服务器验证了证书时,用户才能连接到网络。用户证书通过使用802.1x标准的特殊认证协议来验证。(FreeRADIUS offers authentication via port based access control. A user can connect to the network only if its credentials have been validated by the authentication server. User credentials are verified by using special authentication protocols which belong to the 802.1X standard.—官方文档)

一、实验环境

1、CentOS 7.8(阿里yum源)
2、FreeRadius
3、AD域(现有AD域:域名abc.com,域服务器ads.abc.com)

二、配置步骤

2.1 Linux服务器的配置

关闭Selinux

vim /etc/selinux/config 
SELINUX=disabled
SELINUXTYPE=targeted

防火墙开启对应端口

firewall-cmd --add-port=1812/udp
firewall-cmd --add-port=1812/udp --permanent
firewall-cmd --add-port=1813/udp
firewall-cmd --add-port=1813/udp --permanent
firewall-cmd --add-port=139/tcp
firewall-cmd --add-port=139/tcp --permanent
firewall-cmd --add-port=445/tcp
firewall-cmd --add-port=445/tcp --permanent
firewall-cmd --reload
firewall-cmd --list-all

配置DNS

vim /etc/resolv.conf
nameserver x.x.x.x   #这里填写dns服务器地址,我这AD同时是DNS

2.2 freeradius/samba/krb5安装

yum install freeradius freeradius-ldap freeradius-utils -y
yum install libtalloc-devel -y
yum install openssl openssl-devel -y
yum install samba samba-client samba-winbind* samba-common krb5-server krb5-workstation -y

2.3 samba配置

vim /etc/samba/smb.conf
[global]
workgroup = ABC
security = ads
winbind use default domain = no
password server = ADS.ABC.COM
realm = ABC.COM

[home]
comment = Home Directories
browseable = no
writable = yes

systemctl restart smb
systemctl enable smb
systemctl status smb

2.4 krb5配置

vim  /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = ABC.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

ABC.COM = {
 kdc = 192.168.2.243:88
 admin_server = 192.168.2.243:749
 default_domain = ABC.COM
 }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
.abc.com = ABC.COM
abc.com = ABC.COM

[kdc]
  profile =/var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
 }

vim /var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 EXAMPLE.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

 ABC.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

2.5 编辑/etc/nsswich.conf,在下列行末添加winbind,其他的不变

vim /etc/nsswitch.conf
passwd:     files winbind
shadow:     files winbind
group:      files winbind

protocols:  files winbind

services:   files winbind

netgroup:   files winbind

automount:  files winbind

将/usr/lib/systemd/system 下的service copy 到 /etc/systemd/system/, smb.service, krb5kdc.service winbind.service

cd /usr/lib/systemd/system
cp smb.service krb5kdc.service winbind.service /etc/systemd/system/

重新启动机器。

reboot

2.6 linux服务器加域

net join -U  administrator

如果不行就ping下域名再加

启动smaba和winbind服务

systemctl enable winbind
systemctl enable smb
systemctl start winbind
systemctl start smb
systemctl status winbind

2.7 加域后测试

通过wbinfo进行账号拉取测试。wbinfo –a user%password

wbinfo -a lirui%lirui@123

提示
challenge/response password authentication succeeded

让我们试着和NTLM验证,这对使用Active Directory的FreeRADIUS是必要的

ntlm_auth --request-nt-key --domain=abc.com --username=lirui
Password: 
NT_STATUS_OK: The operation completed successfully. (0x0)

修改/var/lib/samba/winbindd_privileged权限

usermod -G wbpriv radiusd
chown -R root.radiusd /var/lib/samba/winbindd_privileged

2.8 FreeRadius的配置

vim /etc/raddb/clients.conf
client 10.145.0.0/16 {
        secret = testing123
        showtanme = 10.145.0.0
        }
client 192.168.0.0/16 {
        secret = testing123
        showtanme = 192.168.0.0
        }

vim /etc/raddb/mods-available/mschap
	with_ntdomain_hack = yes
	ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{mschap:User-Name}:-00} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00} --domain=%{%{mschap:NT-Domain}:-ABC.COM}"

vim /etc/raddb/mods-enabled/ntlm_auth
exec ntlm_auth {
        wait = yes
        program = "/usr/bin/ntlm_auth --request-nt-key --domain=ABC.COM --username=%{mschap:User-Name} --password=%{User-Password}"
}

vim /etc/raddb/mods-available/eap
eap {
	default_eap_type = peap

tls-config tls-common {
	random_file = /dev/urandom

/etc/raddb/sites-available/default 和 raddb/sites-enabled/inner-tunnel
authorize 中加入 ntdomain
authenticate 中 加入 ntlm_auth

vim /etc/raddb/mods-config/files/authorize
DEFAULT Auth-Type = ntlm_auth

重启radius 服务之后,我们run 下面的命令

[root@localhost ~]# radtest lirui lirui@123 10.145.8.5:1812 0 testing123
Sent Access-Request Id 183 from 0.0.0.0:45154 to 10.145.8.5:1812 length 75
	User-Name = "lirui"
	User-Password = "lirui@123"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 0
	Message-Authenticator = 0x00
	Cleartext-Password = "lirui@123"
Received Access-Accept Id 183 from 10.145.8.5:1812 to 0.0.0.0:0 length 20

Access-Accept 验证成功。

总结

域控服务器可能和DNS服务器不是同一台,不过应该可以写本地host文件解决。

参考文章:

https://blog.51cto.com/liqingbiao/2152850
https://wiki.freeradius.org/guide/freeradius-active-directory-integration-howto
https://www.freesion.com/article/6304659593/

qq_18729059
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
基于Windows平台的Radius服务器搭建指南
huizi2468的博客
09-21 9856
1.概览 增加支持RADIUS协议与RNC进行认证,计费上的互通。 2.前言 FreeRadius是一款OpenSource软件,基于Radius协议,实现RadiusAAA(Authentication,Authorization,Accounting)功能。 3.Radius服务器搭建 3.1Radius服务器端安装 解压安装包,双击 2.点击Next3. 3.点击I Agree 4.选择安装路径安装完成。 5.配置用户,Radius服务器参数,Radius客户端信息。..
strongswan + freeradius 配置 for windows
sonflower123的博客
03-28 5220
一.Strongswan 安装 1.centos 安装依赖:yum  install  -y  gmp-devel  2.下载编译   wget http://download.strongswan.org/strongswan.tar.gz   tar xzf strongswan.tar.gz   cd strongswan-*    ./configure  --
freeradius for win软件实现设备AAA管理
Anthony的专栏
10-10 5130
免费 radius软件实现 设备 AAA管理 1、在网上下载一个freeradius for win,并安装完毕 2、在freeradius上配置 C:\freeradius\etc\raddb下先改动clients.conf,users.c
freeradius-3.0.22-For Windows x64
01-03
freeradius-3.0.22 Windows版,64位
Docker部署Freeradius认证服务
最新发布
qq_41373372的博客
05-31 896
Freeradius的配置文件位置是在容器中下面客户端配置文件(/etc/freeradius/clients.conf)用户配置文件(/etc/freeradius/users)证书目录(/etc/freeradius/certs)
FreeRADIUS for windows
03-25
FreeRADIUS-server for windows
FreeRadius配置
Lassewang的成长历程
06-14 2809
FreeRadius的官方网站: http://www.freeradius.org 还有一个很奇怪的http://www.freeradius.net ,提供Windows版本的下载(木马???)。 下面分别介绍FreeRadius在Linux和Windows上的安装过程,以及与MySQL的集成。 phpmyprepaid http://sourceforge.net/proj
H3C_端口802.1X认证基础配置案例
04-26
802.1X端口认证是一种基于端口的网络访问控制技术,它允许网络管理员在设备连接到网络之前对其进行身份验证。这种技术主要用于企业级网络,以增强网络安全性和访问控制。在本案例中,我们将深入理解如何在H3C设备上...
802.1X 基于 Windows server 2008 AD RADIUS 认证
09-16
802.1X 基于 Windows Server 2008 Active Directory (AD) 和 Radius 认证是一种网络接入控制技术,用于强化网络安全。它允许网络管理员对连接到网络的设备进行身份验证和授权,确保只有经过身份验证的用户才能访问...
用户采用Windows客户端通过RADIUS和AD服务器进行802.1X认证示例
12-25
Windows 客户端通过 RADIUS 和 AD 服务器进行 802.1X 认证示例 本篇文章旨在阐述用户采用 Windows 客户端通过 RADIUS 和 AD 服务器进行 802.1X 认证的示例配置。该配置示例旨在帮助用户理解如何使用 RADIUS 和 AD ...
思科AC对接windows2008 radius实现802.1x认证
04-25
本篇主要讲解如何将思科无线控制器(AC)与Windows Server 2008上的网络策略服务器(NPS)集成,以实现802.1x认证。这个过程涉及到网络服务器、身份验证协议以及多个配置步骤。 **PEAP(Protected Extensible ...
FreeRADIUS for Windows:freeRADIUS 服务器的 Windows 本机端口-开源
05-30
freeRADIUS 服务器的第一个也是唯一一个 Windows 本地端口。 它支持许多功能,例如: * EAP 方法 * MySQL、PostgreSQL、MSSQL 加 ODBC * LDAP、Kerberos、Redis * NTLM * Python、Perl 请访问 http://www.winradius.eu/ 了解更多信息。
freeradius windows
01-15
FreeRADIUS for windows-1.1.5-r0.0.3
windows radius server搭建(freeradius.net)
Yy
12-19 7667
下载http://freeradius.net/Downloads.html 官方下载地址配置设置用户启动FreeRadius.net后,在图标上点击右键,弹出下面的窗口: 点击Edit Users,添加用户 设置client点击Edit Radius Client.config 添加client信息 总结配置完成后,点击Restart FreeRADIUS.net Service,新的配置
windows域控身份认证原理
arlaichin的专栏
10-20 3579
ldapkeberospkinit
Freeradius】使用Freeradius、LDAP和Google Authenticator实现双因素身份验证
u012153104的博客
10-08 1805
随着网络安全威胁的增加,传统的用户名和密码已经变得不再安全。为了加强网络访问的安全性,双因素身份验证成为了一种流行且有效的解决方案。在本文中,我们将介绍如何在已有的Windows AD环境下,在Ubuntu 22.04上安装和配置Freeradius和Google Authenticator来实现双因素身份验证,来提供网络访问服务器认证、授权和帐户信息。
FreeRadiusAD 集成搭一套认证环境
david_zhang228的博客
10-18 4860
FreeRadiusAD 集成搭一套认证环境 由于项目需要Radius 认证,所以用freeRadius + AD 搭了一套认证环境,对于AD我搭的是Window server 2019,这里不会描述它,下面主要讲述怎么安装freeRadius ,已经验证认证环境。 环境准备 Window server 2019 (192.168.63.10) (添加域名 mydemo.local) Ce...
FreeRadius+Cisco交换机+Windows AD实现802.1X认证
weixin_34007886的博客
07-31 1348
(一)概述本文档描述了如何设置FreeRadius服务器,以便对windows客户端网络用户透明的对ActiveDirectory进行身份验证。 1.1、原理:FrReRADIUS通过基于端口的访问控制提供身份验证。只有当认证服务器验证了证书时,用户才能连接到网络。用户证书通过使用802.1x标准的特殊认证协议来验证。(FreeRADIUS offers authentication via po...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值