mysql -uroot -prootpass radius
mysql -uroot -prootpass radius <
nas.sql
mysql -uroot -prootpass radius <
ippool.sql
mysql -uroot -prootpass radius <
wimax.sql
mysql -uroot -prootpass radius <
admin.sql
mysql -u root -p
GRANT SELECT ON radius.* TO 'root'@'localhost' IDENTIFIED BY
'rootpass';
mysql> GRANT SELECT ON radius.* TO 'radius'@'localhost'
IDENTIFIED BY 'radpass';
mysql> GRANT ALL on radius.radacct TO
'radius'@'localhost';
mysql> GRANT ALL on radius.radpostauth TO
'radius'@'localhost';
mysql> insert into radgroupreply
(groupname,attribute,op,value) values
('user','Auth-Type',':=','Local');
mysql> insert into radgroupreply
(groupname,attribute,op,value) values
('user','Service-Type','=','Framed-User');
mysql> insert into radgroupreply
(groupname,attribute,op,value) values
('user','Framed-IP-Netmask','=','255.255.255.255');
mysql> insert into radgroupreply
(groupname,attribute,op,value) values
('user','Framed-IP-Netmask',':=','255.255.255.0');
---添加用户---
mysql> INSERT INTO radcheck (UserName, Attribute, Value)
VALUES ('zhangsan', 'Password', 'zhangsanpwd');
mysql> insert into radusergroup(username,groupname)
values('sqltest','user');
3、编辑/etc/raddb/radiusd.conf
取消 $INCLUDE sql.conf
前的注释
4、编辑/etc/raddb/sql.conf
mysql用户名,是否填写正确
取消readclients = yes
前的注释
5、编辑/etc/raddb/sites-enabled/default 实现相关模块对数据库的支持
authorize(认证),accounting(审计),session(会话,用于监测同时连接),post_auth(记录)
子段取消sql 前的注释
6、编辑/etc/raddb/sites-enabled/inner-tunnel
取消sql前的注释
7、编辑/etc/raddb/eap.conf
default_eap_type = md5改为default_eap_type = peap
测试:
radtest zhangsan zhangsanpwd localhost 1812
testing123;
有success字样即为数据库和freeradius配置正确
8、无线路由器连接(tp-link tl-wr845N做实验)
设置wlan 静态IP (与client.conf中设置相同如:192.168.6.15)
设置lan
ip 、dhcp
设置 ssid 及
wpa2 AES radius-IP 1812
radius密码(与client.conf中设置相同如:testing123)
编辑
/etc/raddb/clients.conf,添加无线路由器IP机radius密码
client 192.168.6.15 {
secret = testing123
shortname = spb
}
编辑/etc/raddb/eap.conf修改peap模块中
peap {
default_eap_type = mschapv2
win7下无线网络设置
安全类型-wpa2-企业
ASE
网络身份验证:
Microsoft:受保护的EAP(PEAP)
设置选项中,不选验证服务器证书复选框,身份验证方法选:安全密码(EAP-MSCHAP
V2)
配置选项中,去除自动使用windows登录名和密码
高级设置选项802.1x设置选项卡中,选择指定身份验证模式,用户和计算机身份验证
service radiusd restart
chkconfig mysqld on level 345
chkconfig radiusd on level 345
/etc/raddb/sites-enabled/default[177]: Failed to load module
"sql
到目录 /etc/raddb/radiusd.conf中,把$INCLUDE sql.conf前的#去掉
1
sed -i 's/localhost/192.168.8.129/g'
/usr/local/etc/radiusclient/radiusclient.conf
3.3、增加字典
这一步很重要!否则windows客户端无法连接服务器。
1
2
wget -c
http://small-script.googlecode.com/files/dictionary.microsoft
mv ./dictionary.microsoft /usr/local/etc/radiusclient/
cat
>>/usr/local/etc/radiusclient/dictionary<
INCLUDE /usr/local/etc/radiusclient/dictionary.sip
INCLUDE /usr/local/etc/radiusclient/dictionary.ascend
INCLUDE /usr/local/etc/radiusclient/dictionary.merit
INCLUDE /usr/local/etc/radiusclient/dictionary.compat
INCLUDE /usr/local/etc/radiusclient/dictionary.microsoft
EOF
针对FreeRadius2,数据表的设计和结构定义在下面的文件中:
/etc/raddb/sql/mysql/schema.sql 主数据库定义,7个表,包括
radcheck 用户检查信息表
radreply 用户回复信息表
radgroupcheck 用户组检查信息表
radgroupreply 用户组检查信息表
radusergroup 用户和组关系表
radacct 计费情况表
radpostauth 认证后处理信息,可以包括认证请求成功和拒绝的记录。
/etc/raddb/sql/mysql/nas.sql 网络设备定义,只有一个表
nas 网络设备表
下面的表用于一些扩展功能,可以按需导入。
ippool.sql ip池
wimax.sql wimax设备支持
cui.sql cui 支持
Freeradius生成证书
Freeradius2.0.5含有证书制作脚本,只要OpenSSL的路径正确,Freeradius可以自己制作证书,不过需要修改一下相关的信息,文件
在/usr/local/etc/raddb/certs目录下,需要修改的文件为 ca.cnf server.cnf
client.cnf
#more ca.cnf default_days = 3650
default_crl_days = 3650
[certificate_authority] countryName
= JP
stateOrProvinceName = Tokyo
localityName = Shibuya
organizationName = Yepn Inc.
emailAddress = [email]zhou@yepn.net[/email]
commonName = "yepn Certificate Authority" 其中比
较重要的是这几部分,days问题你也希望你的证书只能用一个月,或是一年的时间,相信网管都不喜欢这样,所以我把时间设的长一点改成了
10年。下面的
certificate_authority是你证书的相关信息这个是方便查询证书的出处,不清楚的地方请找OpenSSL的资料看一下,另外在cert文件夹中有Makefile文件,我也小修改了一下,
不知道为什么前面对于ca.cnf日期的修改在cn.cnf中不生效,所以我只好把命令行那边加上一个-days 3650
修改后如下 #more Makefile openssl req -new -x509 -days
3650
-keyout ca.key -out ca.pem -config ./ca.cnf 因为OpenSSL自己也不是特别明白,所以没办法讲的更细了,希望明白的朋友指点一下。 这样生成后的ca.der证书可以导
入到Winxp中。 到此为止Freeradius的配置就完成了,可以通过radiusd
–Xf
测试一下radius的配置是否正确。可以通过radtest命令来验证一下Freeradius能验证。
安装配置openssl
1、yum install openssl
2、/etc/ld.so.conf文件的最后面,添加如下内容:/usr/lib64/openssl
然后执行:ldconfig
3、ldd /usr/bin/openssl
which openssl
/usr/bin/openssl
version