centos下freeradius+go-ldap-admin环境搭建,思科和华为AAA配置

最新推荐文章于 2024-06-14 09:45:07 发布
最新推荐文章于 2024-06-14 09:45:07 发布
阅读量327 收藏 2
点赞数 3
文章标签: centos 华为 网络 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25860099/article/details/138910326
版权

centos下freeradius+go-ldap-admin环境搭建

radius配置

#radius配置
vi /etc/raddb/clients.conf
client 192.168.1.1 {
	ipaddr = 192.168.1.1
	secret = testing123
}
vi /etc/raddb/users
testing Cleartext-Password := "123456"
#配置LDAP关联
vi /etc/raddb/sites-enabled/default
#如果你的ldap是注释状态,你需要把注释去掉
-ldap
#freeradius集成LDAP
vi /etc/raddb/mods-available/ldap
ldap {
	server = '172.21.120.197'
	identity = 'cn=admin,dc=honghe,dc=com'
	password = 123456
	base_dn = 'ou=cash,dc=honghe,dc=com'
	port = 389
	#其它默认
}
vi /etc/raddb/sites-available/site_ldap 
#增加site_ldap文件
server site_ldap { 
    listen { 
         ipaddr = 0.0.0.0
         port = 1833
         type = auth
    } 
    authorize {
         update {
             control:Auth-Type := ldap
         }
    }
    authenticate {
        Auth-Type ldap {
            ldap
        }
    }
   
    post-auth {
        Post-Auth-Type Reject {
        }
    }
}

#此文件在site-enabled中建立软连接site_ldap
ln -s /etc/raddb/sites-available/site_ldap /etc/raddb/sites-enabled/
#修改/etc/raddb/sites-available/site_ldap文件权限和用户组与radius用户组一致
chmod 640 /etc/raddb/sites-available/site_ldap
chown root:radiusd /etc/raddb/sites-available/site_ldap

#重启radius
freeradius X
#用ldap中的用户作测试
radtest user1 123456 localhost 1812 testing123
radtest -t mschap user1 123456 localhost 1812 testing123
radtest -t pap user1 123456 localhost 1812 testing123

go-ldap-Admin

#安装
yum install docker-compose docker -y
systemctl start docker

#创建go-ldap-admin 目录
mkdir /go-ldap-admin
#创建docker-compose.yaml文件
vi /go-ldap-admin/docker-compose.yaml
version: '3'
networks:
  go-ldap-admin:
    driver: bridge
services:
  go-ldap-admin:
    image: registry.cn-hangzhou.aliyuncs.com/eryajf/go-ldap-admin
    container_name: go-ldap-admin
    hostname: go-ldap-admin
    restart: always
    environment:
      WAIT_HOSTS: openldap:389
      DB_DRIVER: sqlite3
    ports:
      - 8888:8888
    volumes:
      - ./data/go-ldap-admin:/app/data
    depends_on:
      - openldap
    links:
      - openldap:go-ldap-admin-openldap
    networks:
      - go-ldap-admin

  openldap:
    image: registry.cn-hangzhou.aliyuncs.com/eryajf/openldap:1.4.1
    container_name: go-ldap-admin-openldap
    hostname: go-ldap-admin-openldap
    restart: always
    environment:
      TZ: Asia/Shanghai
      LDAP_ORGANISATION: "eryajf.net"
      LDAP_DOMAIN: "eryajf.net"
      LDAP_ADMIN_PASSWORD: "123456"
    command: [ '--copy-service' ]
    volumes:
      - ./data/openldap/database:/var/lib/ldap
      - ./data/openldap/config:/etc/ldap/slapd.d
    ports:
      - 389:389
    networks:
      - go-ldap-admin

  phpldapadmin:
    image: registry.cn-hangzhou.aliyuncs.com/eryajf/phpldapadmin:0.9.0
    container_name: go-ldap-admin-phpldapadmin
    hostname: go-ldap-admin-phpldapadmin
    restart: always
    environment:
      TZ: Asia/Shanghai
      PHPLDAPADMIN_HTTPS: "false"
      PHPLDAPADMIN_LDAP_HOSTS: go-ldap-admin-openldap
    ports:
      - 8091:80
    volumes:
      - ./data/phpadmin:/var/www/phpldapadmin
    depends_on:
      - openldap
    links:
      - openldap:go-ldap-admin-openldap
    networks:
      - go-ldap-admin
:wq
#启动
docker-compose up -d
#进入go-ldap-admin 修改/app/config.yml文件中钉钉接口配置 同步后的用户默认密码
docker-compose exec  go-ldap-admin /bin/sh
vi config.yml

#重启go-ldap-admin
docker-compose restart go-ldap-admin

#登陆go-ldap-admin
http://IP:8888
admin
123456
#修改dingtalk_user字段属性映射关系,工号作为uid
人员管理---字段关系管理--dingtalk——user 编辑
用户名 改成job_number

#同步用户数据
人员管理---用户管理---点击同步钉钉用户信息

交换机配置命令

思科

##################################################################
#基于思科交换机
#
#配置思路:
#1.配置aaa方案, 认证方式和计费方式为radius
#2.配置启用 radius 计费开始停止报文发送
#3.配置radius-server模板
#4.配置radius报文中发送认证和计费报文
#5.让思科交换机上报交换机信息,保证交换机在ac上绑定
#6.配置对应端口开启802.1x
##################################################################

#step1:配置aaa认证方案
switch#config t   													#进入全局配置模式
switch(config)#aaa new-model  										#启用aaa认证
switch(config)#aaa authentication dot1x default group radius  		#配置802.1x认证使用radius服务器数据库
switch(config)#aaa authorization network default group radius 		#配置802.1x网络授权使用radius服务器。
switch(config)#aaa accounting update newinfo 						#配置启用计费更新报文发送

#step2:配置启用 radius 计费开始停止报文发送
#让终端下线后,ac上能正常下线
switch(config)#aaa accounting dot1x default start-stop group radius  
switch(config)#aaa accounting network default start-stop group radius

#step3:配置radius-server模板
switch(config)#radius-server host 172.21.2.3 auth-port 1812 acct-port 1813 key testing123	#指定主Radius服务器地址、通信密钥和端口

#step4:配置radius报文中发送认证和计费报文
switch(config)#radius-server vsa send authentication
switch(config)#radius-server vsa send accounting
switch(config)#radius-server configure-nas
switch(config)#radius-server attribute 8 include-in-access-req 							#配置交换机携带终端 IP 地址

#step5:让思科交换机上报交换机信息,保证交换机在ac上绑定
switch(config)#radius-server attribute 32 include-in-access-req
switch(config)#radius-server attribute 32 include-in-accounting-req

switch(config)#dot1x system-auth-control  							#全局启用dot1x认证

#step6:配置端口
switch(config)#int g1/0/01 						#进入需要开启802.1x认证的端口,如果需要进入多个端口,可以用指令:int range g1/0/1 - 3,表示进入端口1-3
switch(config-if)#switchport mode access 					#设置端口模式为访问模式
switch(config-if)#authentication port-control auto 			#部分思科ios没有该命令,用dot1x  pae  authenticator代替
switch(config-if)#dot1x port-control auto 					#端口开启dot1x认证
switch(config-if)#authentication host-mode multi-auth	#设置端口接入模式为多认证模式,此时允许多个用户分别接入认证
exit

#step: 开启MAB认证
switch(config)#int g1/0/01
switch(config-if)#mab           #开启MAB认证
switch(config-if)#dot1x timeout tx-period 10         #配置超时进行mab认证的时间  注意: 这里如果配置10秒  则进行mab认证时间为 10 * 3
switch(config-if)#dot1x max-reauth-req 2
switch(config-if)#exit

#step: 开启逃生vlan
switch(config)#vlan 11
switch(config-vlan)#exit
switch(config)#int g1/0/01
switch(config-if)#authentication event server dead action reinitialize vlan 11
switch(config-if)#exit

#step: 开启guest-vlan
switch(config)# dot1x guest-vlan supplicant			#全局开启guest-vlan
switch(config)#vlan 64					#创建guest-vlan 如果使用已有的vlan,则不需要配置
switch(config-vlan)#exit

#端口下配置guest-vlan
switch(config)#int g1/0/01          
switch(config-if)#authentication event no-response action authorize vlan 64
switch(config-if)#exit

华为

##################################################################
#基于华为交换机 - 传统模式
#
#参考文档:
#https://support.huawei.com/enterprise/zh/category/switches-pid-1482605678974?submodel=21059820
#
#配置思路:
#1.创建aaa方案并配置认证方式和计费方式为radius
#2.创建并配置radius服务器模板的各项参数
#3.创建认证域并在其上绑定aaa认证方案和计费方案与radius服务器模板
#4.配置全局默认域
#5.配置接口开启802.1X认证
##################################################################

#step1: 配置aaa方案
<HUAWEI>system-view                                  				#进入系统视图
[HUAWEI]aaa                                     					#进入aaa视图
[HUAWEI-aaa]authentication-scheme sangfor_aaa               		#创建aaa方案“sangfor_aaa”
[HUAWEI-aaa-authen-abc]authentication-mode radius     				#配置当前认证方案使用的认证模式为“radius”
[HUAWEI-aaa-authen-abc]quit
[HUAWEI-aaa]accounting-scheme sangfor_aaa                  			#创建aaa计费方案“sangfor_aaa”
[HUAWEI-aaa-accounting-abc]accounting-mode radius     				#配置当前计费方案使用的计费模式为“radius”
[HUAWEI-aaa-accounting-abc]quit
[HUAWEI-aaa]quit

#step2:配置radius服务器模板
[HUAWEI]radius-server template sangfor_radius_tp                    						#创建radius服务器模板“test”
[HUAWEI-radius-test]radius-server authentication 192.168.1.1 1812       			#设置radius服务器的认证IP地址和端口号
[HUAWEI-radius-test]radius-server accounting 192.168.1.1 1813    				#设置radius服务器的计费IP地址和端口号
[HUAWEI-radius-test]radius-server shared-key cipher testing123    						#设置接入设备与radius认证服务器的共享密钥
[HUAWEI-radius-test]quit

#step3:创建AD域并绑定上述创建的aaa方案以及radius服务器模板
[HUAWEI]aaa                                            			#进入aaa视图
[HUAWEI-aaa]domain sangfor_AD                           		#创建认证域“sangfor_AD”
[HUAWEI-aaa-domain-nac]authentication-scheme sangfor_aaa        #在域下绑定aaa认证方案“sangfor_aaa”
[HUAWEI-aaa-domain-nac]accounting-scheme sangfor_aaa           	#在域下绑定aaa计费方案“sangfor_aaa”
[HUAWEI-aaa-domain-nac]radius-server sangfor_radius_tp        	#在认证域下绑定radius服务器模板“sangfor_radius_tp”
[HUAWEI-aaa-domain-nac]quit
[HUAWEI-aaa]quit

#指定全局默认域, 全局默认域只能配置一个多次配置会被覆盖,以最后一次配置为准
[HUAWEI]domain sangfor_AD                                  	 	#配置全局默认域为“sangfor_AD”

#step4:全局开启802.1x功能
[HUAWEI]dot1x enable

#step5:对应端口开启802.1x认证
[HUAWEI]interface GigabitEthernet 0/0/01                    		#进入用户接入的接口视图
[HUAWEI-GigabitEthernet0/0/01]dot1x enable                  		#开启802.1X认证
[HUAWEI-GigabitEthernet0/0/01]dot1x authentication-method eap	#认证方式EAP
[HUAWEI-GigabitEthernet0/0/01]dot1x port-method mac		#mac 支持多个终端接入, port 只支持单个终端
[HUAWEI-GigabitEthernet0/0/01]dot1x domain sangfor_AD	 #配置端口802.1x强制使用的认证域,如果不配则使用全局默认域
[HUAWEI-GigabitEthernet0/0/01]quit


#step:开启MAB认证
[HUAWEI] mac-authen username macaddress format with-hyphen normal  #设置mab认证时用户名为ef-ee-1e-23-ef-ee格式,全局设置,也可单独在端口下设置
[HUAWEI] dot1x timer mac-bypass-delay 30  #设置802.1x认证失败进行mab认证的时间
[HUAWEI]interface GigabitEthernet 0/0/01
[HUAWEI-GigabitEthernet0/0/01]dot1x mac-bypass             #启用MAC旁路认证,如果端口未开启802.1x,执行此命令会同步开启,undo此命令会同时关闭802.1x      
[HUAWEI-GigabitEthernet0/0/01]mac-authen domain sangfor_AD   #配置mac认证时强制使用的认证域,如果不配置则使用全局默认域
[HUAWEI-GigabitEthernet0/0/01]quit

#step:开启逃生Vlan
[HUAWEI]vlan 11
[HUAWEI-vlan11]quit
[HUAWEI]interface GigabitEthernet 0/0/01
[HUAWEI-GigabitEthernet0/0/01]authentication critical-vlan 11
[HUAWEI-GigabitEthernet0/0/01]quit

#step:开启Guest-Vlan
[HUAWEI]vlan 64
[HUAWEI-vlan64]quit
[HUAWEI]interface GigabitEthernet 0/0/01
[HUAWEI-GigabitEthernet0/0/01]authentication guest-vlan 64
[HUAWEI-GigabitEthernet0/0/01]quit
冬天来了——
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CentOS-7-aarch64-Minimal-1804.iso
02-02
centos 7.5 aarch64位,arm平台 源地址可以设定为华为
华为2288H V5服务器驱动 FusionServer iDriver-CentOS6.10-Driver-V105.zip
05-28
综上所述,这个压缩包为华为2288H V5服务器在CentOS 6.10环境下提供了全面的硬件驱动支持,包括网络适配器、RAID控制器以及可能的其他主板集成组件。正确安装这些驱动将有助于服务器硬件功能的正常发挥,提高系统...
Go-Ldap-Admin | openLDAP 同步钉钉、企业微信、飞书组织架构实践和部分小坑
Trollz的博客
09-27 4149
errcode“:41001,“errmsg“:“access_token missing rid:/record not found/LDAP Result Code 68 "Entry Already Exists"/This base cannot be created with PLA./
探索Go Ldap Admin:为您的企业级LDAP管理插上双翼
最新发布
gitblog_00069的博客
06-14 285
探索Go Ldap Admin:为您的企业级LDAP管理插上双翼 项目地址:https://gitcode.com/eryajf/go-ldap-admin-ui 项目介绍 在当今高度依赖身份验证和授权的企业环境中,有效的LDAP(轻量级目录访问协议)管理变得至关重要。正是在此背景下,Go Ldap Admin应运而生,它是一个基于Go和Vue构建的高性能、易于使用的LDAP后台管理系统。无论是对...
CentOS FreeRadius部署
zj_yzy的博客
03-27 2186
CentOS FreeRadius部署 安装FreeRadius服务器 yum -y install freeradius freeradius-utils freeradius-mysql freeradius-splite ![​​在这里插入图片描述](https://img-blog.csdnimg.cn/20200327142440875.png?x-oss-process=imag...
Go语言操作LDAP
rj2017211811的博客
12-04 688
1.下载Go语言操作LDAP的第三方库gopkg.in/ldap go get github.com/go-ldap/ldap/v3 2.连接LDAP //连接 l, err := ldap.DialURL("ldap://localhost:389") if err != nil { log.Fatal(err) } else { log.Printf("Connect LDAP Server succeeded") } def
安装go-ldap-admin
qq_39287495的博客
05-29 335
如果想要访问 PhpLdapAdmin,则可访问:http://localhost:8091,用户名 / 密码: cn=admin,dc=eryajf,dc=net / 123456。当看到容器都正常运行之后,可以在本地进行访问:http://localhost:8888,用户名 / 密码: admin / 123456。应用启动之后,默认会创建对应的初始化数据,通过日志可以查看数据是否正常初始化,如果没有正常初始化,则下边的登陆可能无法正常进行。jenkins配置ldap认证。根据自己的需要定义配置
LDAP Admin工具的使用
tangsiqi130的博客
10-20 1587
LDAP Admin
CentOS 7 全系Python环境初始化配置脚本,适用于Python环境
06-22
脚本使用了阿里云镜像、华为云镜像,如果部分内网环境下配置,可能需要配置白名单。 默认端口开放:80\3306\22,建议修改默认SSH端口。 selinux下需要执行: semanage port -a -t ssh_port_t -p tcp 新SSH端口号
Redash部署教程-CentOS7-去除访问凭据-20220526-JasonLee
09-30
首先,我们需要准备一台配置为16核CPU、32GB内存和1TB硬盘的华为云主机,操作系统为CentOS 7.6,确保其已具备GONE UI功能和互联网访问权限。 ### 1. 修改 YUM 源 为了提高软件下载速度和稳定性,我们将默认的YUM源...
openLdap_admin 介绍如何管理、配置、维护OpenLDAP
10-11
openLdap_admin 介绍如何管理、配置、维护OpenLDAP LDAP System Administration
go-ldap-client:简单的ldap客户端进行身份验证,检索用户的基本信息和组
05-23
go-ldap-client 简单的ldap客户端进行身份验证,检索用户的基本信息和组。 用法 参见。 唯一的外部依赖项是 。 package main import ( "log" "github.com/jtblin/go-ldap-client" ) func main () { client := & ldap. LDAPClient { Base : "dc=example,dc=com" , Host : "ldap.example.com" , Port : 389 , UseSSL : false , BindDN : "uid=readonlysuer,ou=People,dc=example,dc=com" , BindPassword : "readonlypa
Go-使用Golang编写基于LDAP的Web应用程序
08-14
使用Golang编写基于LDAP的Web应用程序
Go-Go的基本LDAP身份验证器
08-14
LDAP很复杂。 很多时候,您真正需要做的就是用它对用户进行身份验证或获取用户条目。 该软件包将LDAP功能归结为用户身份验证和条目检索。
goalie-url-shortener:带有LDAP支持的go vanity-urls的实现,可轻松访问公司网络上的内部Web资产
05-14
守门员-Go / Short-Link服务实施 这是go /链接的实现,可以轻松访问内部Web资产并在公司网络上共享它们。 守门员最初是由安东·弗里伯格(Anton Friberg)和奥斯卡·斯文森(Oscar Svensson)共同开发的,后者都是兼职学生员工。 后端使用称为的框架以编写,并将快捷方式存储在数据库中。 前端利用和使编辑快捷方式变得容易。 整个应用程序是使用部署的。 目录 多个模式的单一目标 匹配多种形式的拼写 捕获组插入目标 通配符 排行 设置 初始设置 开发环境 生产硬化 故障排除 贡献者和维护者 维护者 贡献者 背景 根据此博客文章和GitHub存储库, go / links是一项据信起源于Google的服务。 这个想法是,公司网络中的人可以通过将他们的浏览器定向到http:// go / service-name来轻松地在内部服务之间导航。 例如,如果我们想重
Centos7下搭建KVM虚拟机的方法
09-30
通过以上步骤,你已经在CentOS 7系统上成功搭建了KVM虚拟机环境,可以创建和管理多个虚拟机,满足测试、开发或部署不同应用的需求。KVM的强大之处在于其高效性能和灵活性,能够充分利用硬件资源,实现虚拟化环境的...
拯救 openLDAP 的上古管理界面,我写了一个现代化的 ldap 管理后台 go-ldap-admin
eryajf的博客
05-19 1041
Go-Ldap-Admin 基于Go+Vue实现的openLDAP后台管理项目。 目录 Go-Ldap-Admin 缘起 在线体验 项目地址 核心功能 快速开始 本地开发 生产部署 感谢 另外 缘起 我曾经经历的公司强依赖openLDAP来作为企业内部员工管理的平台,并通过openLDAP进行各平台的认证打通工作。 但成也萧何败也萧何,给运维省力的同时,ldap又是维护不够友好的。 在godap项目中,作者这样描述对ldap的感受: The short version of
一个基于 Go+Vue 实现的 openLDAP 后台管理项目
非著名程序员
07-04 277
【公众号回复 “1024”,免费领取程序员赚钱实操经验】大家好,我是章鱼猫。今天给大家推荐的这个开源你项目来自于读者的投稿。还挺不错的,分享给大家。这个开源项目是基 于Go+Vue 实现的 openLDAP 后台管理项目,名为:go-ldap-admin,旨在为 openLDAP 服务端提供一个简单易用,清晰美观的现代化管理后台。亮点是现代化 openLDAP 管理后台,...
centos7 vscode++
08-20
Centos7与VSCode的集成环境配置可以参考以下几个步骤: 1. 首先,确保你已经在Centos7上安装了VSCode。可以通过下载安装包或者使用命令行安装来完成这一步骤。 2. 打开VSCode后,点击左侧的扩展图标(四个方块)。在搜索框中输入"Centos7",找到并安装Centos7相关的插件。这些插件可以帮助你在VSCode中进行Centos7开发环境的配置和管理。 3. 接下来,你可以创建一个Centos7的工作区。在VSCode的顶部菜单中选择"文件",然后点击"添加文件夹到工作区"。选择你要添加的Centos7项目所在的文件夹,并点击"添加"。 4. 现在,在工作区中创建一个新的文件,在该文件中编写你的Centos7代码。你可以使用C或C++语言来编写代码。 5. 在VSCode的底部状态栏中,你可以选择编译和运行你的Centos7代码。点击"终端"图标,然后选择"新终端"。在终端中,你可以使用gcc或g++编译你的代码,并运行生成的可执行文件。 6. 如果你需要使用第三方库,比如muduo,你可以在项目的配置文件中添加相应的依赖项。具体的操作可以参考该库的官方文档或者示例代码。 7. 最后,你可以使用VSCode提供的调试功能来调试你的Centos7代码。点击左侧的调试图标(虫子),然后点击"创建一个启动配置"。根据你的项目类型和需求,选择相应的调试配置,并进行相应的设置。 通过以上步骤,你就可以在Centos7上使用VSCode进行开发和调试了。希望对你有帮助!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [linux+centos7 +vscode+C++11+muduo示例](https://download.csdn.net/download/huangdecai2/11975118)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Chapter000 GO语言环境搭建(附Windows10+Centos7+Vscode+Goland)](https://download.csdn.net/download/weixin_38710566/14041283)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [华为数据库openGauss2.0安装指南实操篇(CentOS、openEuler篇)](https://download.csdn.net/download/karlch/88226492)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冬天来了——

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值