Freeradius认证

最新推荐文章于 2024-05-31 11:11:34 发布
最新推荐文章于 2024-05-31 11:11:34 发布
阅读量4k 收藏 11
点赞数 1
分类专栏: Radius认证 文章标签: Radius认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wt461290528/article/details/103188391
版权 
//freeradius 相关工具
yum install -y freeradius freeradius-mysql freeradius-utils

 
//启动
radiusd -X

//配置文件地址:
/etc/raddb

//客户端配置
/etc/raddb/clients.conf

//默认文件配置位置
/etc/raddb/sites-available/default

//eap位置【freeradius 版本不同,存放位置不同,此版本为 freeradius 3.0】
/etc/raddb/mods-available/eap

//参考文章
Ubuntu下freeradius的EAP-MD5,PEAPv0/EAP-MSCHAPv2,EAP-TTLS/MD5,EAP-TTLS/MSCHAPv2方式认证(基于mysql)
freeradius3.0安装配置mysql

 

一、    Radius协议认证预演情况

本文就PAP(密码认证协议)、CHAP(挑战握手认证协议)、Radius与Mysql连接、[EAP-MD5,PEAPv0/EAP-MSCHAPv2,EAP-TTLS/MD5,EAP-TTLS/MSCHAPv2方式认证(基于mysql)]做介绍:
 

1.1    Radius协议        [freeradius 3.0; mysql 8.0]

        预先安装mysql数据库,然后安装freeradius,以及freeradius的数据库扩展插件freeradius-mysql:

  yum install -y freeradius freeradius-mysql freeradius-utils


        1、具体使用方式如下:
        
        1)用户可分为配置文件users、数据库mysql等;先以配置文件users例;其余方式做备注; 修改users,添加用户信息(格式如下,testing为用户名;Cleartext-Password为明文密码)。

 #vi /etc/raddb/users
  testing Cleartext-Password := "123456"
          Reply-Message := "Hello, %{User-Name}"

        2)修改clients,将访问ip写入。

 #vi /etc/raddb/clients.conf
  client xx.xx.xx.xx.0/24{
        secret   = testing123
  }


        3)启动radius服务器;

radiusd –X

        4)服务器本身验证:(需另开窗口,echo 的内容是请求内容,127.0.0.0:1812是radius认证端口, auth 是请求类型 , testing123 是cleint和radius的密钥, -x 表明查看详细过程。)

 echo "User-Name=testing,User-Password=123456" | radclient 127.0.0.1:1812 auth testing123 -x

      返回信息为:(Access-Accept即为成功,具体展示如下)

Sent Access-Request Id 210 from 0.0.0.0:38271 to 127.0.0.1:1812 length 47
	User-Name = "testing"
	User-Password = "123456"
	Cleartext-Password = "123456"
Received Access-Accept Id 210 from 127.0.0.1:1812 to 0.0.0.0:0 length 36
	Reply-Message = "Hello, testing"

 


1.2    Radius与Mysql连接


    1、    建议直接使用数据库工具连接数据库做处理;(注意数据库版本[不同版本sql不一致],本版本以mysql8.0为例)

//Linux登录数据库
mysql -uroot -p
        
//查看mysql版本;
select version();


       1)创建Mysql系统用户radius:

 CREATE USER 'radius'@'localhost' IDENTIFIED BY 'goldencis';
 //创建用户失败:ERROR 1819 (HY000): Your password does not satisfy the current policy requirements。

     //1)、查看密码策略
     SHOW VARIABLES LIKE 'validate_password%';

     //2)、设置密码策略:
     set global validate_password.policy=LOW;

     //3)、修改系统账户密码
     ALTER USER 'radius'@'localhost' IDENTIFIED WITH mysql_native_password BY '123456';


        2)授权系统用户

 grant all on radius.* to 'radius'@'localhost';

 ALTER USER 'radius'@'localhost' IDENTIFIED WITH mysql_native_password BY 'goldencis';

   2、    建立数据库表(建议直接下载sql文件,用工具导入)

 #mysql -u root radius < /etc/raddb/mods-config/sql/main/mysql/schema.sql;


   3、    建立测试用户组及数据
    
        1)建立用户组

insert into radgroupreply (groupname,attribute,op,value) values ('group1','Auth-Type',':=','Local');
insert into radgroupreply (groupname,attribute,op,value) values ('group1','Service-Type',':=','Framed-User');
insert into radgroupreply (groupname,attribute,op,value) values ('group1','Framed-IP-Address',':=','192.168.49.0');
insert into radgroupreply (groupname,attribute,op,value) values ('group1','Framed-IP-Netmask',':=','255.255.255.0');


        2)创建测试用户

insert into radcheck (username,attribute,op,value) values ('test','Cleartext-Password',':=','test123');

        3)将用户加入组

insert into radusergroup (username,groupname) values ('test','group1');

 4、设置freeradius使用mysql数据库
   

#vi  /etc/raddb/mods-available/sql
        sql {
            driver = "rlm_sql_mysql"
                dialect = "mysql"
                server = "localhost"
                port = 3306
                login = "root"
                password = "123"
                radius_db = "radius"
            ...
         }

        建立软连接:

ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/


   5、#vi  /etc/raddb/sites-available/default
       分别将authorize {}、accounting{}里面的sql去掉注释,并且将file注释掉。
 
   6、 运行测试

#radiusd -X

    
   7、测试(Access-Accept 为成功; Access-Reject为失败)

#radtest test test123 localhost 1812 testing123

         返回结果:

        Sent Access-Request Id 64 from 0.0.0.0:53508 to 127.0.0.1:1812 length 74
            User-Name = "test"
            User-Password = "test123"
            NAS-IP-Address = 127.0.0.1
            NAS-Port = 1812
            Message-Authenticator = 0x00
            Cleartext-Password = "test123"
        Received Access-Accept Id 64 from 127.0.0.1:1812 to 0.0.0.0:0 length 38
            Service-Type = Framed-User
            Framed-IP-Address = 192.168.49.0
            Framed-IP-Netmask = 255.255.255.0


            


         
1.3   Radius协议EAP-MD5【验证失败】

        1.(1) /etc/raddb/sites-available/default

               去掉eap前面的#

         (2)/etc/raddb/mods-available/eap

               确认default_eap_type=md5

        2.在数据库中加入Auth-Type为EAP的测试账号
        

insert into radgroupreply (groupname,attribute,op,value) values ('eap','Auth-Type',':=','EAP');
insert into radgroupreply (groupname,attribute,op,value) values ('eap','Service-Type',':=','Framed-User');
insert into radgroupreply (groupname,attribute,op,value) values ('eap','Framed-IP-Address',':=','255.255.255.255');
insert into radgroupreply (groupname,attribute,op,value) values ('eap','Framed-IP-Netmask',':=','255.255.255.0');
insert into radcheck (username,attribute,op,value) values ('eap','User-Password',':=','eap');
insert into radusergroup (username,groupname) values ('eap','eap');
insert into radreply (username,attribute,op,value) values ('eap','Reply-Message',':=','eap OK!');


        3.验证方式:

#( echo "User-Name = \"eap""; echo "Cleartext-Password = \"eap\""; echo "EAP-Code = \"Response\""; echo "EAP-Id = 210"; echo "EAP-Type-Identity = \"eap\""; echo "Message-Authenticator = 0x00";) | radeapclient -x localhost auth testing123

 

 

 


1.4、PEAPv0/EAP-MSCHAPv2方式认证  【验证通过】

        1.安装测试工具eapol_test

           手动安装wpa_supplicant-2.0.tar.gz文件,wpa_supplicant官网地址暂时打不开,先下载再打包。

#cd /usr/local/src/
#wget http://hostap.epitest.fi/releases/wpa_supplicant-0.6.4.tar.gz
#tar –xzvf wpa_supplicant-0.6.9.tar.gz
#cd wpa_supplicant-0.6.9/wpa_supplicant/
#cp defconfig .config
#make eapol_test
#cp eapol_test /usr/local/bin/


            ps:
            1)make: cc: Command not found 问题
            yum -y install gcc automake autoconf libtool make
            
            2)/src/crypto/tls_openssl.c:17:25: fatal error: openssl/ssl.h: No such file or directory
            yum install openssl-devel

           3)make时可能会有各种坑,注意安装相互依赖包。


        2.修改配置文件

            (1)/etc/raddb/sites-available/default
                 去掉eap前面的#
            
            (2)/etc/raddb/mods-available/eap
                  确认default_eap_type=peap

        3.查看证书是否存在

#ls /etc/raddb/certs/*.pem


            正常 列表中含有ca.pem。若没有ca.pem文件,则执行以下命令:

#/etc/raddb/certs/bootstrap

        4.创建测试配置文件 ~/peap.test
         //注意:"="前后无空格

network={
            eap=TTLS
            ssid="test"
            key_mgmt=WPA-EAP
            identity="eap"
            password="eap"
            ca_cert="/etc/raddb/certs/ca.pem"
            phase2="auth=MD5"
            anonymous_identity="anonymous"
}


        5.开始测试

    启动服务:

#radiusd -X

   测试命令:

#eapol_test -c peap.test -s testing123

   //peap.test在~/目录下,所以该命令也要在~/目录下进行。需保持一致。

EAPOL: Successfully fetched key (len=32)
PMK from EAPOL - hexdump(len=32): f5 46 21 85 38 9f d2 a3 49 6e f0 a0 a3 89 85 3b 3a e1 fd 1e 61 ab 49 13 b5 4d 5c d8 f0 62 af a8
EAP: deinitialize previously used EAP method (25, PEAP) at EAP deinit
ENGINE: engine deinit
MPPE keys OK: 1  mismatch: 0
SUCCESS

       


 

 


 
1.5、EAP-TTLS/MD5方式认证 【验证通过】

        1.修改配置文件

            (1)/etc/raddb/sites-available/default

                 去掉eap前面的#

            (2)/etc/raddb/mods-available/eap

                 确认default_eap_type=ttls

        2.创建测试配置文件 ~/ttlsmd5.test

            ~/ttlsmd5.test

network={
         eap=TTLS
         ssid="test"
         key_mgmt=WPA-EAP
         identity="eap"
         password="eap"
         ca_cert="/etc/raddb/certs/ca.pem"
         phase2="auth=MD5"
         anonymous_identity="anonymous"
}

        3.开始测试
          

#radiusd -X

#eapol_test -c ttlsmd5.test -s testing123

EAPOL: Successfully fetched key (len=32)
PMK from EAPOL - hexdump(len=32): ae 1d c5 12 2c 2b 52 81 39 cf 14 4b b2 3d 6e 64 d0 0b de fb 99 a8 e1 5e 73 ba d2 89 fb 59 8e 33
EAP: deinitialize previously used EAP method (21, TTLS) at EAP deinit
ENGINE: engine deinit
MPPE keys OK: 1  mismatch: 0
SUCCESS

 


 

 

 

1.6、EAP-TTLS/MSCHAPv2方式认证 【验证通过】

        1.修改配置文件

            (1)/etc/raddb/sites-available/default

                   去掉eap前面的#

            (2)/etc/raddb/mods-available/eap

                   确认default_eap_type=ttls

        2.创建测试配置文件 ~/ttlsmschapv2.test

            ~/ttlsmschapv2.test

network={
      eap=TTLS
      ssid="test"
      key_mgmt=WPA-EAP
      identity="eap"
      password="eap"
      ca_cert="/etc/raddb/certs/ca.pem"
      phase2="auth=MSCHAPV2"
      anonymous_identity="anonymous"
}

        3.开始测试

#radiusd -X

#eapol_test -c ttlsmschapv2.test -s testing123

EAPOL: Successfully fetched key (len=32)
PMK from EAPOL - hexdump(len=32): 17 29 45 99 53 2d 7d 5a 48 84 1e 79 30 59 f1 7b 15 84 b3 0e fc 2e 3c c0 b1 43 53 78 50 97 0d 8a
EAP: deinitialize previously used EAP method (21, TTLS) at EAP deinit
ENGINE: engine deinit
MPPE keys OK: 1  mismatch: 0
SUCCESS

 

 

 

 

 

 

 

 

HerSpoon
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[转载]Freeradius证书认证模式配置
BLOCKGOLD.E的博客
06-27 3738
https://blog.csdn.net/lassewang/article/details/9159543系统环境:1)  Ubuntu所需环境为Openssl + Freeradius2)  Windows所需环境为WpdPack + Openssl + wpa_supplicant Ubuntu环境配置步骤:1)  下载Openssl +Freeradius并安装sudo apt-get ...
freeradius802.1x证书认证账户WEB管理
10-14
自己做的PHPWEB管理FreeRadius_802.1x证书认证帐户程序,本人不是程序员,只是工程上要用到的,软件做的不好!!有不足之处请多多指教! 用户名:admin 密码:Sony900mz 区分大小写!
Docker部署Freeradius认证服务
最新发布
qq_41373372的博客
05-31 896
Freeradius的配置文件位置是在容器中下面客户端配置文件(/etc/freeradius/clients.conf)用户配置文件(/etc/freeradius/users)证书目录(/etc/freeradius/certs)
Freeradius配置wifi认证
07-12
使用开源软件Freeradius配置Wifi认证的说明文档
freeRADIUS证书链配置(certificate chain)
先做个码农
01-18 1189
本文转自http://www.ibm.com/developerworks/cn/java/j-certgen/ 有一些创建证书的工具。可以使用在 Java SDK 中自带的一个命令行工具 keytool 创建自签名的证书。但是证书链需要更复杂的软件,如 OpenSSL。 可以免费下载 OpenSSL (请参阅参考资料 )。如果使用 UNIX,那么很可能在操作系统中已经安...
Freeradius证书认证模式配置
热门推荐
Lassewang的成长历程
06-24 1万+
操作系统:Ubuntu 10.04.3 LTS + Windows 7 64bit   系统环境: 1)  Ubuntu所需环境为Openssl + Freeradius 2)  Windows所需环境为WpdPack + Openssl + wpa_supplicant   Ubuntu环境配置步骤: 1)  下载Openssl +Freeradius并安装 sudo
FreeRadius windos 认证服务器
09-12
FreeRadius是一款广泛应用于网络认证、授权和计费(AAA)的开源软件,尤其在无线网络、802.1X认证、PPP拨号等方面有着重要应用。它支持多种认证协议,如PAP、CHAP、EAP等,适用于Windows和各种Unix/Linux系统。在...
h3c freeradius comware7 教程
04-05
本教程旨在指导用户使用 H3C COMWARE 7 和 Freeradius 实现远程 AAA 认证,使用 HCL(Hewlett Packard Enterprise Community Linux) 模拟真实网络环境中的网络拓扑结构。下面是教程的详细内容: 一、HCL 配置 首先...
jradius+freeRadius 搭建AAA认证服务
01-22
因为freeradius是c写的,而需求是需要java搭建radius服务器,jradius正好是java写的,在freeradius3.0以下把jradius的模块映射出去,这样就可以用java代码来操作java端的服务器。 本资源好几个人搭建1个周,过程很...
freeradius-server-3.0.11.tar.gz_freeradius 源码
09-23
FreeRADIUS是一个强大的远程认证协议服务器,广泛应用于网络访问控制,如无线网络、有线网络、虚拟私人网络(VPNs)以及拨号网络等场景。它支持多种认证协议,包括RADIUS(Remote Authentication Dial-In User ...
CentOS+FreeRadius认证实现
yiyu89的专栏
03-22 1617
准备工作搭建CentOS7,地址为:192.168.51.104 1.关闭防火墙 # 192.168.51.104 systemctl stop firewalld //关闭防火墙 systemctl disable firewalld //关闭防火墙自启 sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/c
FreeRadius+Windows AD实现802.1X认证(20220405记录)
qq_18729059的博客
04-06 8634
FreeRadius+Windows AD实现802.1X认证(20220405记录) 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录FreeRadius+Windows AD实现802.1X认证(20220405记录)前言一、实验环境二、级标题2.1 Linux服务器的配置2.2 freeradius安装2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 想搭建开源的radius对接AD域,无线wifi的AC控制器对接radius,实现用户通过AD账号密码验
CentOS7+ FreeRadius+mariadb+深信服的上网行为管理实现上网实名认证
qq1299674780的博客
03-11 2356
LVM 逻辑卷的创建及使用 注意:对于创建物理卷、创建卷组以及创建逻辑卷是有严格顺序的 1 rpm -qa|grep lvm #查询linux是否安装LVM工具 2 fdisk -l #查询硬盘信息 3 pvcreate /dev/sdb /dev/sdc #将新硬盘格式化成PV 4 vgcreate Misem_VG /dev/sdb #将PV加入...
【无线AP企业级认证之搭建FreeRadius服务器(一)】
不emo的博客
03-18 2104
TLS、TTLS、EAP等证书加密
CentOS 5.5下使用freeradius+mysql为SMC无线AP做用户MAC地址认证
endlesspretty的博客
01-23 1284
整了一上午,总算把无线AP的radius验证MAC地址搞定了;整理记录如下,以备日后之需。 AP型号:SMC2552W-G2 freeradius、mysql 均为CentOS 5.5 自带 一、配置freeradius 1、修改clients.conf client 10.0.0.0/8 {//增加AP连接radius的接口地址 secret = 123456//AP连接radius的密码 ...
radius mysql md5_在Free Radius的PAP认证过程中使用MD5密码
weixin_36071064的博客
01-30 825
前一段时间,有个朋友过来问我关于802.1x的认证问题。具体的问题是这样的:在802.1x的认证过程中,使用Free Radius加LDAP实现认证服务器,使用LDAP的原因是对方要实现集中管理帐户,而为了保密原因,LDAP中存储的全部是MD5加密过后的密码,而且LDAP不能做任何修改。现在可供选择的认证方式有2种:pap和mschap。pap认证方式中,freeradius收到客户端发来的认证密...
FreeRadius 服务器环境搭建(CHAP 版)
weixin_39651041的博客
11-18 1445
FreeRADIUS 是一个高性能和高可配置的多协议策略服务器,支持RADIUS,DHCPv4 DHCPv6、TACACS+ 和 VMPS。它是根据 GNU GPLv2 的条款提供的。使用 RADIUS 允许对网络进行身份验证和授权 集中化,并最大限度地减少必须 在向网络添加或删除新用户时完成。CHAP:Challenge Handshake Authentication Protocol,挑战握手认证协议。
freeradius sim卡认证
05-12
Freeradius是一款开源的协议认证软件,可以用来进行服务器认证和用户认证。其中,sim卡认证是一种基于移动通信网的用户认证方式,通过对移动网络用户的sim卡进行鉴别和验证,从而实现身份验证和访问控制。 Freeradius支持在其认证框架中添加sim卡验证模块,为运营商提供快速、高效和准确的身份认证服务。SIM卡验证模块主要包括几个步骤:首先,设备从客户端请求认证模块的认证认证模块接收到请求后,请求访问LDAP(轻型目录访问协议)服务器,查询SIM卡信息。 接着,认证模块获取SIM卡信息,并进行验证。如果验证通过,认证模块就会向Freeradius服务器返回认证请求,服务器会根据验证结果进行策略判断,从而执行相应的认证和授权操作。 最后,认证模块会将结果返回给客户端,并向SIM卡的所有者发出认证成功的信号。此时,用户就可以根据自己的身份访问网络资源。 总的来说,freeradius的SIM卡认证基于移动通信网的用户身份验证方式,可以提供快速、高效和准确的身份认证服务,实现安全访问控制。它适合各种移动通信网,能够满足不同场景下移动用户身份认证的需求,是企业及个人安全管理的一种有效解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值