【FreeRADIUS】使用FreeRADIUS进行SSH身份验证

已于 2023-10-09 16:37:18 修改
阅读量525 收藏
点赞数
分类专栏: Ubuntu Linux 文章标签: ssh 运维 ubuntu gitlab
于 2023-10-09 16:30:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153104/article/details/133702598
版权
Linux 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
Ubuntu
28 篇文章 4 订阅
订阅专栏

在数据中心中,可能有许多Linux机器,由管理员团队进行管理。这些管理员通过SSH访问这些服务器。如果希望使用一个集中的位置来管理这些管理员的身份验证。那么为了实现这一点,可以使用FreeRADIUS服务器。FreeRADIUS是一个功能强大的开源工具,可支持多种身份验证协议,提供更灵活的身份验证管理选项。通过配置FreeRADIUS服务器,您可以集中管理管理员的身份验证,提高数据中心的安全性和效率。

接下来将向你展示如何使用FreeRADIUS进行SSH身份验证。

拓扑图

在这里插入图片描述

前提条件:

  1. 一台提供RADIUS服务的FreeRADIUS服务器,如何配置可参考FreeRADIUS+LDAP+Google Auth的双重验证
  2. 一台客户端【Ubuntu 22.04】,sudo权限的用户
  3. 两台设备之间可以互通

实施:

1. 安装必要的软件包,以便客户端可以通过以下命令与FreeRADIUS进行交互

apt-get install libpam-radius-auth freeradius-utils -y
root@ud-Virtual-Machine:/home/ud# apt-get install libpam-radius-auth freeradius-utils -y
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
freeradius-utils is already the newest version (3.0.26~dfsg~git20220223.1.00ed0241fa-0ubuntu3.1).
The following NEW packages will be installed:
  libpam-radius-auth
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 25.4 kB of archives.
After this operation, 84.0 kB of additional disk space will be used.
Get:1 http://mirrors.tuna.tsinghua.edu.cn/ubuntu jammy/universe amd64 libpam-radius-auth amd64 2.0.0-1 [25.4 kB]
Fetched 25.4 kB in 8s (3,342 B/s)
Selecting previously unselected package libpam-radius-auth.
(Reading database ... 182939 files and directories currently installed.)
Preparing to unpack .../libpam-radius-auth_2.0.0-1_amd64.deb ...
Unpacking libpam-radius-auth (2.0.0-1) ...
Setting up libpam-radius-auth (2.0.0-1) ...

2. 修改配置文件

i. 编辑/etc/pam_radius_auth.conf文件,并注释掉默认的4行。然后添加一行,指定RADIUS服务器的IP地址和共享密钥。

root@ud-Virtual-Machine:/home/ud# cat /etc/pam_radius_auth.conf
#  pam_radius_auth configuration file.  Copy to: /etc/raddb/server
#
......
#  Note: specifying a source_ip field is mandatory due to config parsing,
#  but if not needed it can be just set to 0.
#
# server[:port]             shared_secret      timeout (s)  source_ip            vrf
#127.0.0.1                   secret             3
#other-server                other-secret       5            192.168.1.10         vrf-blue
#[2001:0db8:85a3::4]:1812    other6-secret      3            [2001:0db8:85a3::3]  vrf-red
#other-other-server          other-other-secret 5            0                    vrf-blue
10.2.112.4:1812              testing123         30
#
# having localhost in your radius configuration is a Good Thing.
#
# See the INSTALL file for pam.conf hints.

ii. 编辑/etc/ssh/sshd_config文件,启用ssh服务中的PAM认证。

root@ud-Virtual-Machine:/home/ud# cat /etc/ssh/sshd_config

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
......
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication yes
......
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes
......

iii. 编辑/etc/pam.d/sshd文件,启用带有Radius的PAM模块。

root@ud-Virtual-Machine:/home/ud# cat /etc/pam.d/sshd
# PAM configuration for the Secure Shell service

#Radius authentication
auth sufficient pam_radius_auth.so
......
root@ud-Virtual-Machine:/home/ud#

3. 重启SSHD服务

service ssh restart

4. 添加本地账户

root@ud-Virtual-Machine:/home/ud# adduser knightyang --disabled-password --quiet --gecos ""

sudo同时也需要使用FreeRADIUS认证的话需要修改以下:

1. 编辑/etc/pam.d/sudo文件,启用带有Radius的PAM模块

root@ud-Virtual-Machine:/home/ud# cat /etc/pam.d/sudo
#%PAM-1.0

auth sufficient pam_radius_auth.so

# Set up user limits from /etc/security/limits.conf.
session    required   pam_limits.so

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0

@include common-auth
@include common-account
@include common-session-noninteractive
root@ud-Virtual-Machine:/home/ud#

2. 给用户添加sudo权限

root@ud-Virtual-Machine:sudo usermod -aG sudo knightyang
KnightYangHJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建FreeRadius认证服务器
たかなし りっか
01-09 3738
1.yum源安装 shell>yum install freeradius 2.编辑认证用户信息 shell>vi /etc/raddb/mods-config/files/authorize 最上方加入如下两行,testing用户名,密码123456,认证成功则返回“Hello,testing,认证成功!” testing Cleartext-Password := "1234...
freeradius-utils-3.0.20-3.module_el8.3.0+476+0982bc20.x86_64.rpm
12-25
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
探索FreeRADIUS服务器:强大的身份验证解决方案
最新发布
gitblog_00086的博客
03-24 628
探索FreeRADIUS服务器:强大的身份验证解决方案 项目地址:https://gitcode.com/FreeRADIUS/freeradius-server FreeRADIUS服务器是一个开源的身份验证和授权服务,为各种网络协议提供支持,包括无线局域网(WLAN)、虚拟私人网络(VPN)和远程访问拨入用户服务(RADIUS)。该项目以其强大、灵活和高度可定制的特点,成为企业级身份验证解决方...
freeradius-utils-3.0.13-15.el7.x86_64(1) (1).rpm
12-03
离线安装包,测试可用
无线WIFI接入FreeRadius进行认证——筑梦之路
筑梦之路
10-27 1233
ASUS RT-AC88U路由器。
配置freeradius,解决使用User-Password认证失败问题
热门推荐
boy198332的专栏
06-20 1万+
第一次使用freeradius进行认证,记录使用的一些pei
[一] FreeRADIUS 新手指南
小易
09-23 8271
接下来的博客将把《FreeRADIUS beginner’s Guide》这本书翻译成中文,这本书的原作者是 Dirk van der Walt。 Learn by doing: less theory, more results. –Dirk van der Walt 关于作者作者 Dirk van der Walt 是来自南非的一个开源软件专家。他坚信开源软件的潜力,成为 Linux
Freeradius和cisco ssh身份验证
08-28
FreeRADIUS+cisco 交换机ssh aaa认证。网上介绍FreeRADIUS安装配置的资料都比较旧,大部分是基于2.x版本的。本文档中涉及到的软件,都是比较新的版本,如FreeRADIUS是3.0版的,操作系统是Debian10.0.2,希望能对你有...
h3c freeradius comware7 教程
04-05
最后,需要配置交换机,以便使用 Freeradius 服务器进行身份验证。配置 VLAN 接口、GigabitEthernet 接口、VTY 线路等,并指定身份验证模式为 scheme,用户角色为 network-operator。 本教程指导用户使用 H3C ...
FreeRadius windos 认证服务器
09-12
FreeRadius windos 认证服务器
freeradius-3.0.22-For Windows x64
01-03
freeradius-3.0.22 Windows版,64位
freeradius源码
01-11
比较好的freeradius源码.自己用过了,感觉不错
freeRadius安装配置说明书 完全文档
08-30
通过测试安装,讲述了在linux环境下安装freeRadius的准备条件以及安装步骤。
freeradius-google-auth:Ubuntu 12.04.2 LTS + FreeRADIUS + Google身份验证
05-23
Ubuntu 12.04.2 LTS + FreeRADIUS + Google身份验证器+ SSH证书颁发机构 1.安全模式 此设置适用于极度偏执的系统管理员,他不信任任何一台计算机,并希望使用SSH密钥和Google Authenticator保护两层安全性背后的服务器SSH密钥和Google Authenticator都有其安全性问题,但是结合起来,与任何单个密钥相比,它都可以实现更高的安全级别。 我们将在单独的服务器上安装Google Authenticator + FreeRADIUS,以避免每台服务器都带有一个Google Authenticator密钥的麻烦,所有服务器将通过网络针对FreeRADIUS服务器验证凭据。 使用两台物理上分开的计算机来保护整个内部结构: SSH证书颁发机构: 未连接到网络的独立计算机,完全隔离。 负责签署发布SSH证书的用户公钥。
Freeradius配置wifi认证
07-12
使用开源软件Freeradius配置Wifi认证的说明文档
Free RADIUS 初学者指南
04-20
Free RADIUS 初学者指南.pdf 英文版 详尽描述了radius服务器如何配置使用
freeradius-server-3.0.11.tar.gz_freeradius 源码
09-23
greeRadius 源代码 很有价值的源码可以好好看看 理解其内涵
FreeRadius介绍使用和Java调用
智的博客
09-15 787
介绍FreeRADIUS 安装使用Java代码简单使用FreeRADIUS是一个开源的RADIUS(Remote Authentication Dial-In User Service)服务器,用于提供网络认证和授权服务。它是一个高度可定制和可扩展的服务器,广泛用于企业、服务提供商和运营商等环境中。认证和授权:FreeRADIUS支持多种身份验证方法,包括EAP-TLS、EAP-TTLS、PEAP等。它可以与各种网络设备(如交换机、路由器、无线访问点等)集成,为用户提供安全的网络访问。灵活的配置。
freeradius 1.1.5 安装配置使用详细笔记(1)
radiuser的专栏
03-08 3606
RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。具体关于RADIUS的介绍文章可以参考该兄的blog: http://blog.csdn.net/kingliujian/archive/2006/04
centos7使用docker安装freeradius和daloradiu
05-17
以下是在 CentOS 7 上使用 Docker 安装 FreeRADIUS 和 Daloradius 的步骤: 1. 安装 Docker 在 CentOS 7 上安装 Docker 的方法可以参考官方文档:https://docs.docker.com/engine/install/centos/ 2. 下载 FreeRADIUS 镜像 执行以下命令: ``` docker pull freeradius/freeradius-server ``` 3. 运行 FreeRADIUS 容器 执行以下命令: ``` docker run --name freeradius -d -p 1812-1813:1812-1813/udp freeradius/freeradius-server ``` 这个命令会运行一个名为 freeradius 的容器,并将容器的 1812 和 1813 端口映射到主机上的相应端口。 4. 下载 Daloradius 镜像 执行以下命令: ``` docker pull daloradius/daloradius ``` 5. 运行 Daloradius 容器 执行以下命令: ``` docker run --name daloradius -d --link freeradius:freeradius -p 80:80 daloradius/daloradius ``` 这个命令会运行一个名为 daloradius 的容器,并将容器的 80 端口映射到主机上的相应端口。--link 参数将 freeradius 容器链接到 daloradius 容器中。 6. 访问 Daloradius 在浏览器中访问 http://your_server_ip/daloradius,即可进入 Daloradius 的登录页面。 默认的用户名和密码为: ``` Username: administrator Password: radius ``` 注意:如果您使用的是防火墙,请确保已经打开了相应的端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值