python客户端调用freeradius实现认证授权功能

已于 2022-04-12 20:41:04 修改
阅读量2.7k 收藏 6
点赞数 1
分类专栏: linux系统 文章标签: linux
于 2022-04-12 20:38:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41033254/article/details/124132718
版权

一、ubuntu系统安装freeradius作为radius服务器

apt install freeradius

二、radius服务器配置信息

1、允许访问的radius客户端信息
cat /etc/freeradius/3.0/clients.conf

# ipaddr是客户端ip地址
# secret是口令,客户端与服务器保持一致
client private {
       ipaddr          = 127.0.0.1
       secret          = testing123
}
client 172.18.4.210 {
       ipaddr          = 172.18.4.210
       secret          = testing123
       require_message_authenticator = no
       nastype         = other

}
client 172.18.4.211 {
       ipaddr          = 172.18.4.211
       secret          = testing123
       require_message_authenticator = no
       nastype         = other

}

2、保存用户登录信息的配置文件格式
cat /etc/freeradius/3.0/mods-config/files/authorize

# 自定义Reply-Message字段,回应客户端的请求消息
# user-admin1是使用admin权限的用户
user-admin1  Cleartext-Password := "123456"
       Service-Type = "Login-User",
       Reply-Message = "WY-MimicMr-admin"
# user-viewer1是使用viewer权限的用户
user-viewer1  Cleartext-Password := "123456"
        Service-Type = "Login-User",
        Reply-Message = "WY-MimicMr-viewer"

三、客户端example

需要安装pyrad模块调用radius客户端python接口

# pip install pyrad
from pyrad.client import Client
from pyrad.dictionary import Dictionary
import pyrad.packet
'''
dictionary is file
cat dictionary
#       Following are the proper new names. Use these.
#
ATTRIBUTE       User-Name               1       string
ATTRIBUTE       User-Password           2       string
ATTRIBUTE       CHAP-Password           3       octets
ATTRIBUTE       NAS-IP-Address          4       ipaddr
ATTRIBUTE       NAS-Port                5       integer
ATTRIBUTE       Service-Type            6       integer
ATTRIBUTE       Framed-Protocol         7       integer
ATTRIBUTE       Framed-IP-Address       8       ipaddr
ATTRIBUTE       Framed-IP-Netmask       9       ipaddr
ATTRIBUTE       Framed-Routing          10      integer
ATTRIBUTE       Filter-Id               11      string
ATTRIBUTE       Framed-MTU              12      integer
ATTRIBUTE       Framed-Compression      13      integer
ATTRIBUTE       Login-IP-Host           14      ipaddr
ATTRIBUTE       Login-Service           15      integer
ATTRIBUTE       Login-TCP-Port          16      integer
ATTRIBUTE       Reply-Message           18      string
ATTRIBUTE       Callback-Number         19      string
ATTRIBUTE       Callback-Id             20      string
ATTRIBUTE       Framed-Route            22      string
ATTRIBUTE       Framed-IPX-Network      23      ipaddr
ATTRIBUTE       State                   24      octets
ATTRIBUTE       Class                   25      octets
ATTRIBUTE       Vendor-Specific         26      octets
ATTRIBUTE       Session-Timeout         27      integer
ATTRIBUTE       Idle-Timeout            28      integer
ATTRIBUTE       Termination-Action      29      integer
ATTRIBUTE       Called-Station-Id       30      string
ATTRIBUTE       Calling-Station-Id      31      string
ATTRIBUTE       NAS-Identifier          32      string
'''
def radius_auth(UserName,passwd):
    try:
        srv = Client(server="172.18.4.211",authport=1812,secret=b"testing12",
             dict=Dictionary("/opt/mr/sshmgr/dictionary"),timeout=7)
        req = srv.CreateAuthPacket(code=pyrad.packet.AccessRequest,
            User_Name=UserName)
        req["User-Password"] = req.PwCrypt(passwd)
        reply = srv.SendPacket(req)
    except Exception as e:
        print('111111111111m',e)
        return None
    if reply.code == pyrad.packet.AccessAccept:
        print("radius auth success.")
    else:
        return None

    if 'Reply-Message' not in reply.keys():
        return None
    if 'WY-MimicMr' not in reply['Reply-Message'][0]:
        return None
    return reply['Reply-Message'][0].split('-')[-1]
print(radius_auth('radius_user1','123456'))
print(radius_auth('radius_user2','123456'))
print(radius_auth('user-admin1','123456'))
print(radius_auth('user-viewer1','123456'))
'''
root@MR-HEU:/opt/mr/sshmgr# python3 rad_test.py
None
None
radius auth success.
admin
radius auth success.
viewer
root@MR-HEU:/opt/mr/sshmgr#
'''

读配置文件的方式,支持多服务器认证

# radius auth by wsq 20220401
'''
cat /etc/sysctl.d/pam_radius_auth.conf
# radius config file template by wsq 20220401
# server[:port] shared_secret      timeout (s)
172.18.4.211:1812   testing123    7
172.18.4.212:1812   testing    7
'''
def radius_auth(UserName,passwd):
        conf_list = []
        try:
            with open('/etc/sysctl.d/pam_radius_auth.conf') as f:
                for config in f.readlines():
                    if config[0] == '#':
                        continue
                    conf = [i.strip() for i in config.split(' ') if i]
                    ip = conf[0].split(':')[0]
                    port = int(conf[0].split(':')[1])
                    secret = bytes(conf[1],encoding="utf8")
                    timeout = int(conf[2])
                    temp = [ip,port,secret,timeout]
                    conf_list.append(temp)
        except Exception as e:
            logging.warning("open pam_radius_auth.conf fail. %s" % e)
            return None
        for conf in conf_list:
            try:
                srv = Client(server=conf[0],authport=conf[1], secret=conf[2],
                         dict=Dictionary("/opt/mr/sshmgr/dictionary"),timeout=conf[3])
                req = srv.CreateAuthPacket(code=pyrad.packet.AccessRequest,
                    User_Name=UserName)
                req["User-Password"] = req.PwCrypt(passwd)
                reply = srv.SendPacket(req)
            except Exception as e:
                logging.warning("radius server %s auth user %s fail." % (conf[0],UserName))
                continue
            else:
                if reply.code == pyrad.packet.AccessAccept:
                    logging.info("radius auth user %s success." % UserName)
                else:
                    return None
                if 'Reply-Message' not in reply.keys():
                    return None
                if 'WY-MimicMr' not in reply['Reply-Message'][0]:
                    return None
                return reply['Reply-Message'][0].split('-')[-1]
print(radius_auth('user-admin1','123456'))

四、Ubuntu14.04配置pam_radius_auth实现ssh和telnet登录认证

首先 安装libpam-radius-auth

apt-get install libpam-dev
apt-get install libpam-radius-auth
# 源码安装
# wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.4.0.tar.gz
# tar -xzvf pam_radius-1.4.0.tar.gz
# cd pam_radius-release_1_4_0/
# ./configure
# make

安装完成后,编译生成的pam_radius_auth.so,pam_radius_auth.conf分别放在
/lib/security/pam_radius_auth.so 和 /etc/pam_radius_auth.conf

在64位Ubuntu14.04以上版本下,
拷贝pam_radius_auth.so 到PAM模块库路径 /lib/x86_64-linux-gnu/security/

cp pam_radius_auth.so /lib/x86_64-linux-gnu/security/

拷贝pam_radius_auth.conf 到系统配置文件路径/etc/sysctl.d/

cp pam_radius_auth.conf /etc/sysctl.d/

设置pam_radius_auth.conf 权限为0600

cd /etc/sysctl.d/;chmod 0600 pam_radius_auth.conf

在pam_radius_auth.conf中配置radius客户端pam_radius和radius服务器用于交互的初始化信息,包括:
①radius 服务器IP(必须配置)
②radius 服务器PORT(可以省略,默认是1812<认证、授权>或1813<计费>)
③shared_secret(必须配置)
④timeout(必须配置)

注意:其中共享秘钥shared_secret 域与radius服务器上客户端配置文件/etc/raddb/clients.conf 中的secret域必须严格一致

vim pam_radius_auth.conf

在这里插入图片描述

⑴ 配置telnet远程登录身份验证使用radius验证
注意:Ubuntu14.04没有关于telnet的PAM配置文件/etc/pam.d/remote,只能配置在/etc/pam.d/login内,如下图所示。

vim /etc/pam.d/login

在这里插入图片描述

增加黄色框里的部分,位置保持固定,不要随意改变。

⑵ 配置ssh远程登录身份验证使用radius验证

vim /etc/pam.d/sshd

在这里插入图片描述在这里插入图片描述
增加黄色框里的两个部分,位置保持固定,不要随意改变。

小神龙q
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最全面的Python重点知识汇总,建议码住
m0_68435176的博客
04-26 392
这是一份来自于 SegmentFault 上的开发者 @二十一 总结的 Python 重点。由于总结了太多的东西,所以篇幅有点长,这也是博主"缝缝补补"总结了好久的东西。 Py2 VS Py3 print成为了函数,python2是关键字 不再有unicode对象,默认str就是unicode python3除号返回浮点数 没有了long类型 xrange不存在,range替代了xrange 可以使用中文定义函数名变量名 高级解...
FreeRadius windos 认证服务器
09-12
FreeRadius是一款广泛应用于网络认证授权和计费(AAA)的开源软件,尤其在无线网络、802.1X认证、PPP拨号等方面有着重要应用。它支持多种认证协议,如PAP、CHAP、EAP等,适用于Windows和各种Unix/Linux系统。在...
openwisp-radius:Django和python中用于freeradius 3的管理Web界面和REST API。支持强制门户认证,WPA Enerprise(802.1x),freeradius rlm_rest,社交登录,Hotspot 2.0 802.11u,从CSV导入用户,新用户注册等
03-21
开放半径 OpenWISP RADIUS提供了一个通往数据库的Web界面,一个丰富的并具有, ,, ,等功能。 它可以用作独立的应用程序,也可以与其他集成。它也可以用作此。
出入freeRadius 之日志配置,认证配置,白名单配置
xinglinglove的博客
11-13 1753
Radius配置 radius.conf配置文件 radius.conf配置文件为主配置,可以引入其他一些模块信息,和配置信息,也可以配置一些日志和软件目录信息 1.1认证日志配置: log{ file = ${logdir}/radius.log auth = yes auth_badpass = yes...
python代码转成php代码的工具 或者go转成php的代码,想把odoo改成成php swoole当成web服务+go的架构
07-16 1010
python代码转成php代码的工具 或者go转成php的代码,想把odoo改成成php swoole当成web服务+go的架构
python_study
flowerqt的博客
02-24 3594
python 基础学习
Freeradius Mode Unlang
weixin_34314962的博客
07-17 337
FreeRADIUS Processing un-language unlang - FreeRADIUS Processing un-languageDESCRIPTION FreeRADIUS supports a simple processing language in its configuration files. We call it...
Python学习笔记
qq_40586164的博客
12-08 1422
函数 参数 1、定义默认参数要牢记一点:默认参数必须指向不变对象! 2、可变参数 在Python函数中,还可以定义可变参数。顾名思义,可变参数就是传入的参数个数是可变的 def calc(*numbers): sum = 0 for n in numbers: sum = sum + n * n return sum 定义可变参数和定义一个list或tuple参数相比,仅仅在参数前面加了一个*号。在函数内部,参数numbers接收到的是一个tuple,因此,函数代码
Python笔记_78_购物车实现_配置_后端API_前端提交数据_vuex组件_购物车列表页
OldBoy Python学习笔记
08-23 617
- 购物车实现_配置 - 后端API - 前端提交数据 - vuex组件 - 购物车列表页
人脸识别客户端应用程序_如何在应用程序中使用功能识别设置人脸检测
cumian8165的博客
07-26 1104
人脸识别客户端应用程序by Rohit Ramname 由Rohit Ramname 如何在应用程序中使用功能识别设置人脸检测 (How you can set up face detection with feature identification in your app) 使用Microsoft Cognitive Services,Azure和JavaScript查找面Kong (F...
FreeRadius客户端和服务器配置
06-24
FreeRadius 客户端和服务器配置是实现网络认证授权的关键步骤。本文将详细介绍 FreeRadius 客户端和服务器的配置过程。 FreeRadius 客户端配置 FreeRadius 客户端配置文件位于 `/usr/local/etc/radiusclient` ...
radiustest:用Python编写的Radius客户端-开源
05-07
它由两个python类组成:-RadiusExt:支持AVP,身份验证,数据包处理的Radius类(源自Scapy Packet类)-RadiusAttr:AVP的类(源自Scapy Packet类)我使用此客户端执行以下操作:-测试基本的PAP身份验证-发送不同的...
jradius+freeRadius 搭建AAA认证服务
01-22
因为freeradius是c写的,而需求是需要java搭建radius服务器,jradius正好是java写的,在freeradius3.0以下把jradius的模块映射出去,这样就可以用java代码来操作java端的服务器。 本资源好几个人搭建1个周,过程很...
python 构建简单窗口_用Python构建聊天窗口小部件
culiu9261的博客
07-23 1528
python 构建简单窗口Building quality digital products is a requirement toward acquiring long-term customers, but inefficient communication is an efficient way to lose them just as quickly as you gain them. T...
linux磁盘可视化分析工具
吻等离子的博客
08-02 1050
Baobab 是 GNOME 桌面环境中的一款图形化磁盘使用分析工具。它能够扫描文件系统并显示各个文件和目录的磁盘使用情况,以易于理解的树形图或圆环图展示。这种可视化方式使得用户能够快速找到占用空间较大的文件和目录。Baobab 是一款非常实用的磁盘使用可视化工具,特别适合用来分析和管理 Linux 系统中的磁盘空间。通过它的直观界面和强大的功能,用户可以轻松找到占用磁盘空间最多的文件和目录,从而采取相应的措施进行清理或优化。
LeetCode 572.另一棵树的子树 C写法
m0_63816268的博客
08-02 231
可以用上的方法,,如果有一轮比较成功就表示root包含subroot。
Linux地址空间详解
m0_74830524的博客
08-02 831
本篇通过对物理内存和页表详细的讲解,对 Linux 系统下的地址空间做了深度的剖析。
Linux手动编译方式安装httpd及配置系统服务(含不同安装方式简介)
最新发布
shyuu的博客
08-04 744
Linux手动编译方式安装httpd及配置系统服务。包括几种软件安装方式的优缺点。手动编译安装方式相较其他方式有灵活性高、版本控制自由、依赖管理可控的优点等。
Freeradius 2.0.5结合LDAP实现LAN接入认证
1. **Freeradius** - Freeradius是一个强大的、可扩展的RADIUS(远程认证拨入用户服务)服务器,常用于无线和有线网络的认证授权和计费。在本案例中,它被用来作为LAN接入的认证系统,用户必须先通过认证才能通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值