深信服下一代防火墙支持LDAP、POP3、radius等做账号验证,在实际使用中,建立的freeradius服务器,在深信服的GUI中,我测试过用21cn和qq的POP3服务器做账号验证登陆上网都比较好用,但用radius做服务器验证的时候,需要5-6秒以上才显示验证成功!理论上应该是1秒就验证成功。
问题分析:
深信服防火墙内填写的radius服务器如下:
服务器名称(可以乱填的):fool
radius 的IP:192.168.1.10
rdius 的共享密钥: key
只有这三个信息,radius服务器启动方式改为radiusd -X .
对应到freeradius内,服务器名称居然会变成账号名字,可是哪有个账号叫fool呢?因此该验证失败并reject,可是深信服居然显示验证成功,不过时间上则需要5秒以上的验证,感觉好远好远很寒冷!于是我将fool增加到radcheck内作为radius的一个账户,重新加载radiusd -X,深信服则1秒就提示验证成功。
根据radius的debug信息,深信服的验证数据中,深信服发送了一个核心信息就是Service-Type = Authenticate-Only
在freeradius内修改radius的配置文件(/usr/local/etc/raddb/users)
vi users 增加下一行可以让深信服通过验证。
DEFAULT Service-Type = Authenticate-Only,Auth-Type := Accept
终于做到了深信服的radius验证测试只要1秒就成功。