CentOS 8 RADIUS服务搭建与高可用方案

原创 已于 2025-05-23 15:59:28 修改 · 668 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #centos8 #radius

于 2025-05-23 15:18:09 首次发布

一、RADIUS服务搭建

1. 系统准备

# 更新系统
dnf update -y

# 安装EPEL仓库
dnf install epel-release -y

# 安装必要工具
dnf install -y vim wget net-tools

2. 安装FreeRADIUS和MySQL

# 安装FreeRADIUS和MySQL相关包
dnf install -y freeradius freeradius-utils freeradius-mysql mariadb-server mariadb

# 启动MySQL服务并设置开机启动
systemctl enable --now mariadb

# 安全配置MySQL
mysql_secure_installation

3. 配置MySQL数据库

# 登录MySQL
mysql -u root -p

# 创建RADIUS数据库
CREATE DATABASE radius CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

# 创建RADIUS用户并授权
GRANT ALL ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'YourStrongPassword';
FLUSH PRIVILEGES;

# 切换到radius数据库
USE radius;

# 导入FreeRADIUS的MySQL schema
source /etc/raddb/mods-config/sql/main/mysql/schema.sql

# 退出MySQL
exit

4. 配置FreeRADIUS使用MySQL

# 启用SQL模块
ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/

# 配置SQL模块
vim /etc/raddb/mods-enabled/sql

修改以下内容:

driver = "rlm_sql_mysql"
dialect = "mysql"
server = "localhost"
port = 3306
login = "radius"
password = "YourStrongPassword"
read_clients = yes

5. 配置用户和管理员级别

# 创建用户组表
mysql -u radius -p radius

执行SQL:

CREATE TABLE radusergroup (
    id int(11) unsigned NOT NULL auto_increment,
    username varchar(64) NOT NULL default '',
    groupname varchar(64) NOT NULL default '',
    priority int(11) NOT NULL default '1',
    PRIMARY KEY (id),
    KEY username (username(32))
);

-- 创建管理员组和普通用户组
INSERT INTO radgroupreply (groupname, attribute, op, value) VALUES 
('admin', 'Service-Type', ':=', 'Administrative-User'),
('admin', 'Filter-Id', ':=', 'admin'),
('user', 'Service-Type', ':=', 'Framed-User'),
('user', 'Filter-Id', ':=', 'user');

-- 添加测试用户
INSERT INTO radcheck (username, attribute, op, value) VALUES 
('admin1', 'Cleartext-Password', ':=', 'admin123'),
('user1', 'Cleartext-Password', ':=', 'user123');

-- 分配用户组
INSERT INTO radusergroup (username, groupname, priority) VALUES 
('admin1', 'admin', 1),
('user1', 'user', 1);

6. 配置FreeRADIUS策略

# 编辑sites-available/default
vim /etc/raddb/sites-available/default

找到authorize部分,确保包含以下模块:

authorize {
    ...
    sql
    ...
}

7. 启动服务

# 设置FreeRADIUS开机启动并启动服务
systemctl enable --now radiusd

# 检查服务状态
systemctl status radiusd

# 测试配置
radiusd -X

二、网络设备配置

1. 华三设备配置

radius scheme radius1
 primary authentication 192.168.1.100
 primary accounting 192.168.1.100
 key authentication your_shared_secret
 key accounting your_shared_secret
 user-name-format without-domain
domain system
 authentication default radius-scheme radius1
 authorization default radius-scheme radius1
 accounting default radius-scheme radius1

2. 华为设备配置

radius-server template radius1
 radius-server shared-key cipher your_shared_secret
 radius-server authentication 192.168.1.100 1812
 radius-server accounting 192.168.1.100 1813
aaa
 authentication-scheme radius1
  authentication-mode radius
 accounting-scheme radius1
  accounting-mode radius
 domain default
  authentication-scheme radius1
  accounting-scheme radius1

3. 思科设备配置

aaa new-model
aaa group server radius radius1
 server 192.168.1.100 auth-port 1812 acct-port 1813
!
radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 key your_shared_secret
!
aaa authentication login default group radius1 local
aaa authorization network default group radius1 local 
aaa accounting network default start-stop group radius1

4. 锐捷设备配置

radius-server host 192.168.1.100 key your_shared_secret
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local 
aaa accounting exec default start-stop group radius

三、测试验证

# 使用radtest测试认证
radtest admin1 admin123 localhost 0 testing123

# 检查日志
tail -f /var/log/radius/radius.log

# 查看用户会话
radwho

# 查看用户详细信息
radlast

四、日常运维事项

1. 监控与日志管理

# 实时监控日志
tail -f /var/log/radius/radius.log

# 日志轮转配置
vim /etc/logrotate.d/radiusd

# 监控服务状态
systemctl status radiusd

2. 数据备份

# 创建备份脚本
vim /usr/local/bin/radius_backup.sh

内容:

#!/bin/bash
BACKUP_DIR="/backup/radius"
DATE=$(date +%Y%m%d)
MYSQL_USER="radius"
MYSQL_PASS="YourStrongPassword"

mkdir -p $BACKUP_DIR/$DATE
mysqldump -u$MYSQL_USER -p$MYSQL_PASS radius > $BACKUP_DIR/$DATE/radius_db.sql
cp -r /etc/raddb $BACKUP_DIR/$DATE/
tar -czvf $BACKUP_DIR/radius_$DATE.tar.gz $BACKUP_DIR/$DATE
find $BACKUP_DIR -type d -mtime +30 -exec rm -rf {} \;

设置定时任务:

chmod +x /usr/local/bin/radius_backup.sh
echo "0 2 * * * /usr/local/bin/radius_backup.sh" | crontab -

五、高可用方案实现

1. 架构设计

  • 两台RADIUS服务器:radius1(主)和radius2(备)

  • 数据库采用MySQL主从复制

  • 使用Keepalived提供VIP漂移

2. 数据库主从配置

在主服务器(radius1)上:

vim /etc/my.cnf

添加:

[mysqld]
server-id=1
log-bin=mysql-bin
binlog-format=ROW
binlog-do-db=radius

创建复制用户:

CREATE USER 'replicator'@'%' IDENTIFIED BY 'ReplicaPass123';
GRANT REPLICATION SLAVE ON *.* TO 'replicator'@'%';
FLUSH PRIVILEGES;

在从服务器(radius2)上:

vim /etc/my.cnf

添加:

[mysqld]
server-id=2
relay-log=mysql-relay-bin
read-only=1

配置复制:

CHANGE MASTER TO
MASTER_HOST='radius1',
MASTER_USER='replicator',
MASTER_PASSWORD='ReplicaPass123',
MASTER_LOG_FILE='mysql-bin.000001',
MASTER_LOG_POS=PositionNumber;

START SLAVE;

3. FreeRADIUS双机配置

在两台服务器上安装配置FreeRADIUS(同第一部分),但修改SQL连接配置为:

vim /etc/raddb/mods-enabled/sql

修改为:

server = "vip-address"  # 或使用主库IP,故障时手动切换

4. Keepalived配置

在两台服务器上安装Keepalived:

dnf install -y keepalived

主服务器配置(/etc/keepalived/keepalived.conf):

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass YourPass
    }
    virtual_ipaddress {
        192.168.1.200/24
    }
}

备服务器配置:

vrrp_instance VI_1 {
    state BACKUP
    interface eth0
    virtual_router_id 51
    priority 90
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass YourPass
    }
    virtual_ipaddress {
        192.168.1.200/24
    }
}

启动服务:

systemctl enable --now keepalived

5. 高可用测试

  1. 使用VIP(192.168.1.200)配置网络设备进行认证测试

  2. 手动停止主服务器上的radiusd服务,验证备机是否接管

  3. 断开主服务器网络,验证VIP是否漂移到备机

六、PostgreSQL替代方案

如需使用PostgreSQL替代MySQL:

# 安装PostgreSQL
dnf install -y postgresql-server freeradius-postgresql

# 初始化数据库
postgresql-setup --initdb

# 启动服务
systemctl enable --now postgresql

# 创建radius用户和数据库
sudo -u postgres psql
CREATE DATABASE radius;
CREATE USER radius WITH PASSWORD 'YourStrongPassword';
GRANT ALL PRIVILEGES ON DATABASE radius TO radius;

导入schema:

sudo -u postgres psql -d radius -f /etc/raddb/mods-config/sql/main/postgresql/schema.sql

修改FreeRADIUS SQL配置:

driver = "rlm_sql_postgresql"
server = "localhost"
port = 5432
login = "radius"
password = "YourStrongPassword"

PostgreSQL高可用可采用类似的主从复制或Patroni+etcd方案。

七、扩展建议

  1. 负载均衡:对于大型网络,可部署多台RADIUS服务器并使用负载均衡器分发请求

  2. 地理冗余:在不同数据中心部署RADIUS集群

  3. 监控系统:集成Prometheus+Grafana监控RADIUS性能指标

  4. 自动化运维:使用Ansible等工具实现配置管理和自动化部署

  5. 安全加固:定期审计,使用TLS加密RADIUS通信,限制数据库访问

以上方案可根据实际网络规模和需求进行调整,建议在测试环境验证后再部署到生产环境。

Centos RADIUS虚拟机搭建
qq_42437320的博客
09-17 1487
文章目录环境一、Centos RADIUS虚拟机搭建1、yum install freeradius2、安装完成后就修改配置文件。3、vi /etc/raddb/clients.conf //添加需要认证的AP的网段4、可执行文件为 /usr/sbin/radiusd环回接口测试失败二、过程校验命令排查:三、IPOS配置 环境 一、Centos RADIUS虚拟机搭建 1、yum install freeradius yum install freeradius-utils 默认freeradius.
CentOS7 搭建Radius认证服务
qq_61088105的博客
07-16 2316
本手册是实现如下功能:CentOS7上部署 freeradius 服务radius 简单使用、堡垒机实现radius用户认证。
快速搭建RADIUS认证服务器全攻略:从开源到企业级方案,解锁网络认证新维度
最新发布
安当加密
09-27 978
AI驱动的智能认证:基于用户行为分析的动态策略量子安全加密:应对后量子计算时代的认证挑战区块链集成:分布式身份认证体系构建。
搭建RADIUS服务
11-02
搭建RADIUS服务
CentoS下安装radius服务
weixin_33672109的博客
01-15 376
这是工作中的需要,主要实现的目标是用户必须通过radius服务器认证之后才能上网,涉及的产品包括防火墙和radius服务器,逻辑拓扑如下: RADIUS的配置步骤如下: 1.获得freeradius,http://freeradius.org/download.html 2.从官网活动freeradius的压...
CentOS搭建Radius服务
weixin_47686079的博客
03-07 2475
Radius认证是一种应用最广泛的AAA协议,即认证(Authentication)、授权(Authorization)和计费(Accounting),是网络安全中进行访问控制的一种安全管理机制。Radius是一种C/S结构的协议,该协议认证机制灵活,简单明确,可扩充,可以采用PAP、CHAP或者Unix登录认证等多种方式。协议定义了基于UDP的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
linux搭建radius服务器,CentOSRadius服务搭建
weixin_35949857的博客
04-29 3077
一、 实现环境:1.系统:CentOS release 6.6 (Final)2.需要软件包:1) freeradius-2.1.12-6.e16.x86_64freeradius-MySQL-2.1.12-6.e16.x86_642) ppp-2.4.5-5.e16.x86_643) rp-pppoe-3.10-11.e16.x86_644) mysql-5.1.73-3.e16_5.x8...
centos 7.9服务器 离线 搭建svn服务
10-02
centos 7.9服务器 离线 搭建svn服务器 ,该文章适用于 开发人员 实施人员 项目经理用于项目文档管理 代码管理,而不指定如何在centos7.9环境下离线搭建svn服务器,因为大多数的网站只是介绍yum install 的方式,但是...
Centos8 搭建日志服务器rsyslog+loganalyzer
08-12
CentOS8 搭建日志服务器 rsyslog+loganalyzer CentOS 8 是一个流行的 Linux 发行版...CentOS 8 搭建日志服务器 rsyslog+loganalyzer 是一个功能强大且灵活的日志解决方案,可以满足企业对日志收集、存储和分析的需求。
centos7ubuntu搭建k8s集群方案
01-31
centos7ubuntu搭建k8s集群方案,包含了在k8s中搭建的各种常用微服务存储。
[原创]CentOSRadius服务搭建
weixin_30875157的博客
06-19 530
一、 实现环境: 1.系统:CentOS release 6.6 (Final) 2.需要软件包: 1) freeradius-2.1.12-6.e16.x86_64 freeradius-mysql-2.1.12-6.e16.x86_64 2) ppp-2.4.5-5.e16.x86_64 3) rp-pppoe-3.10-11.e16.x86_64 4) mysql-...
Radius服务搭建
09-03
无线局域网Radius服务搭建指南,绝对好用
radius认证服务搭建详细过程
04-24
radius认证服务搭建及测试的具体过程,由于原文章发不了图片,又没兴趣一个一个截图保存上传,就直接上传文档了。
centos7搭建radius认证服务
qq_44338382的博客
08-01 7226
radius
Radius服务搭建、运行及测试
qq_32610227的博客
04-12 5449
freeradius可以对支持radius协议的网络设备进行账户认证、授权和记账管理,常见的开源路由器操作系统:如Openwrt,DD-wrt等,都支持radius协议,常见的电信运营商的宽带账户,上网账户管理,记账,也都是使用的radius服务器进行鉴权记账的。常见的radius服务器种类不多,比较强大的当属开源的freeradius,世界上大部分的radius服务器都是基于freeradius开发而来的。注意:若安装不成功,有可能是相对路径不对,请使用绝对路径安装(rpm安装需要使用绝对路径)
Radius搭建以及双因素认证
if_Echo_else的博客
05-14 5388
网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。搭建Radius服务器的方法:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;给 /usr/local/etc/raddb/mods-available/sql做个软连接。
一文轻松让你搭建一个RADIUS服务
热门推荐
1042484520@qq.com(邮箱)
07-17 1万+
WLAN RADIUS
【开源产品部署系列】一、RuoYi-Radius搭建流程
小嘉丶学长的博客
04-03 2968
本系列文章主要讲解开源产品如何在Linux上快速部署,我们的使用 vbox + vagrant 方案部署。RuoYi-Radius 是以 若依管理框架V4.6.0 作为基础框架,实现了 ToughRADIUS大部分功能,支持标准RADIUS协议(RFC2865, RFC2866),提供完整的AAA实现,可以用于酒店WIFI认证,公司局域网认证、商城WIFI认证等。
radius部署(实验)
purvispanwu的博客
04-13 1455
学习笔记 AAA本地验证 telnet_client配置: interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 telnet_server配置: [telnet_server]aaa telnet_server-aaa]local-user zhangshan password cipher 123456 [telnet_server-aaa]local-user zhangshan service-typ.
CentOS8环境下Elasticsearch搜索引擎服务搭建教程
在本知识点讲解中,我们将会详细介绍如何在CentOS 8.x环境下安装、配置以及搭建Elasticsearch全文搜索引擎服务。Elasticsearch是一个基于Lucene构建的开源搜索引擎,它提供了一个分布式、多用户能力的全文搜索引擎,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值