【逗老师带你学IT】AD域控和freeradius集成认证环境,PAP,MSCHAPV2

最新推荐文章于 2022-11-18 21:08:33 发布
最新推荐文章于 2022-11-18 21:08:33 发布
阅读量5.5k 收藏 23
点赞数 4
分类专栏: 网络攻城狮的世界 微软相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytlzq0228/article/details/104757395
版权

目录


本文主要针对使用freeradius如何搭建集成AD域控的集成认证环境。支持PAP和MSCHAPV2认证方式。

一、必要环境安装

yum install samba.x86_64 -y
yum install krb5-server.x86_64 -y
yum install freeradius freeradius-utils samba-winbind krb5-server krb5-workstation -y
yum install samba-winbind-clients.x86_64 -y

二、配置HOST文件

由于本案例需要通过Linux加入AD域实现,因此需要提前将RADIUS主机名添加HOST解析
本例中我们假设企业域名为csdn.com

编辑/etc/hosts ,追加添加RADIUS认证服务器HOST解析

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.0.20.27 radius02.csdn.com radius02

三、配置SAMBA

1、编辑/etc/samba/smb.conf

[global]
        workgroup = CSDN
        security = ads
        realm = CSDN.COM
        #passdb backend = tdbsam
        password server = csdn.com
        encrypt passwords = yes 
        log file = /var/log/samba.log
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
        winbind usedefaultdomain =yes
        winbindenumusers =yes
        winbindenumgroups =yes

2、编辑/etc/krb5.conf

[libdefaults]
 	dns_lookup_realm = false
 	ticket_lifetime = 24h
 	renew_lifetime = 7d
 	forwardable = true
 	rdns = false
 	pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 	default_realm = CSDN.COM
 	default_ccache_name = KEYRING:persistent:%{uid}
[realms]
	CSDN.COM = {
 		kdc = al.csdn.com
 		admin_server = al.csdn.com
	}

[domain_realm]
 	.csdn.com = CSDN.COM
 	csdn.com = CSDN.COM

[kdc]
	profile = /var/kerberos/krb5kdc/kdc.conf

3、编辑/var/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
	 kdc_ports = 88
	 kdc_tcp_ports = 88

[realms]
	 CSDN.COM = {
		  #master_key_type = aes256-cts
		  acl_file = /var/kerberos/krb5kdc/kadm5.acl
		  dict_file = /usr/share/dict/words
		  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
		  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }

四、配置freeradius 和winbind

1、配置 /etc/nsswitch.conf

修改以下三项,在后面添加winbind认证方式

passwd:     files sss winbind
shadow:     files sss winbind
group:      files sss winbind

2、复制、创建相关服务

将/usr/lib/systemd/system 下的service copy 到 /etc/systemd/system/, smb.service, krb5kdc.service winbind.service

cp /usr/lib/systemd/system/smb.service  /etc/systemd/system/
cp /usr/lib/systemd/system/krb5kdc.service  /etc/systemd/system/
cp /usr/lib/systemd/system/winbind.service  /etc/systemd/system/

3、测试Winbind认证是否正常

[root@radius01 ~]$ kinit Administrator@CSDN.COM
Password for Administrator@CSDN.COM: *******

输入正确的密码后,预期无任何回显,表示验证通过
提示:kinit: Password incorrect while getting initial credentials表示密码错误

五、Linux加域

1、将centos 加入我们的域CSDN.COM中

先输入以下命令

net -s /dev/null groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

再通过net ads join命令配置Linux加域

[root@radius01 ~]$ net ads join -U Administrator
Enter Administrator's password:
Using short domain name -- CSDN
Joined 'RADIUS01' to dns domain 'CSDN.COM'

2、测试ntml身份认证

[root@radius01 ~]$ systemctl  start winbind
[root@radius01 ~]$ ntlm_auth --request-nt-key --domain=CSDN.COM --username=adradius --password=*****

六、配置RADIUS

1、编辑 /etc/raddb/mods-enabled/ntlm_auth

exec ntlm_auth {
        wait = yes
        program = "/usr/bin/ntlm_auth --request-nt-key --domain=CSDN.COM --sername=%{mschap:User-Name} --password=%{User-Password}"
}

2、编辑/etc/raddb/sites-available/default 和/etc/raddb/sites-enabled/inner-tunnel

在/etc/raddb/sites-available/default 和 /etc/raddb/sites-enabled/inner-tunnel两个文件中均添加以下字段
authorize 中加入 ntdomain
authenticate 中 加入 ntlm_auth

authorize {
      
        filter_username
        preprocess
        chap
        mschap
        digest  
        suffix
        ntdomain
        eap {
                ok = return
        }
        files
        -sql
        -ldap
        expiration
        logintime
        pap
}

authenticate {
        ntlm_auth
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        eap
}

3、编辑/etc/raddb/mods-config/files/authorize

添加DEFAULT Auth-Type = ntlm_auth

4、修改 /etc/raddb/clients.conf

此文件哦诶之客户端认证的网段和密钥。
修改服务器端记录客户端的配置文件 /etc/raddb/clients.conf 文件,该文件默认值提供了本机测试的 local 配置,即:安装完后默认只允许本机的client客户端访问radius服务器

client "10inside" {
        ipaddr = 10.0.0.0/8
        ##允许整个10段内网访问
        proto = udp
        secret = 'RadiusShareKey@'
        #RADIUS共享秘钥
        require_message_authenticator = no
        nas_type = other
        ### login = !root ###
        ### password = someadminpass ###
        limit {
                max_connections = 16
                lifetime = 0
                idle_timeout = 30
        }
}

七、启用MSCHAPv2支持

1、修改/etc/raddb/mods-enabled/mschap

authtype = MS-CHAP
#添加此配置
use_mppe = yes
#去掉注释,修改为yes
require_encryption = yes
#去掉注释
require_strong = yes
#去掉注释
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"
#添加此配置

执行以下命令

usermod -a -G wbpriv radiusd
chown root:wbpriv /var/lib/samba/winbindd_privileged

八、日志和测试

1、日志

日志目录如下
cat /var/log/radius/radius.log

2、RADIUS认证测试

[root@sz_radius_10 ~]# radtest -t mschap Administrator P@ssw0rd 10.0.20.27 0 RadiusShareKey@
Sent Access-Request Id 122 from 0.0.0.0:40917 to 10.0.20.27:1812 length 139
        User-Name = "Administrator"
        MS-CHAP-Password = "P@ssw0rd"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Message-Authenticator = 0x00
        Cleartext-Password = "P@ssw0rd"
        MS-CHAP-Challenge = 0xc2253beb6b76a687
        MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000012167e9f6b290e53887ccdcc842beb9d29176e8583fee506
Received Access-Accept Id 122 from 10.0.20.27:1812 to 0.0.0.0:0 length 84
        MS-CHAP-MPPE-Keys = 0x0000000000000000727b1f3c77773ae3200fa32a4353796e
        MS-MPPE-Encryption-Policy = Encryption-Required
        MS-MPPE-Encryption-Types = 4

可以看到使用MS-CHAP认证方式,并且认证结果为Received Access-Accept

搞定!

逗老师
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
FreeRadius windos 认证服务器
09-12
FreeRadius windos 认证服务器
AD 域 实现 MSCHAPV2 认证
tsh185的专栏
03-12 3419
在做无线的 wpa(2) 企业认证,eap-peap(mschapv2) 认证, 用户信息保存在 AD域中 终结模式 wac + AD认证实现 : wpa(2) 认证eap-peap(mschapv2) wac 为 linux 要求AD认证 最简单的办法就是 将 wac (linux )加入到 AD 域 (在这里使用 samba 套件) samba 依赖k
FreeRadius+Cisco交换机+Windows AD实现802.1X认证
weixin_34007886的博客
07-31 1307
(一)概述本文档描述了如何设置FreeRadius服务器,以便对windows客户端网络用户透明的对ActiveDirectory进行身份验证。 1.1、原理:FrReRADIUS通过基于端口的访问控制提供身份验证。只有当认证服务器验证了证书时,用户才能连接到网络。用户证书通过使用802.1x标准的特殊认证协议来验证。(FreeRADIUS offers authentication via po...
jradius+freeRadius 搭建AAA认证服务
01-22
因为freeradius是c写的,而需求是需要java搭建radius服务器,jradius正好是java写的,在freeradius3.0以下把jradius的模块映射出去,这样就可以用java代码来操作java端的服务器。 本资源好几个人搭建1个周,过程很艰难,全网就两篇文章可参考,其他都是雷同;当前资源包含 freeradius服务端,jradius服务端,一份详细的安装文档,各种安装过程中遇到的问题都会说到,当前项目已经是项目当中使用的,放心下载。
freeradius-server-3.0.11.tar.gz_freeradius 源码
09-23
greeRadius 源代码 很有价值的源码可以好好看看 理解其内涵
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
FreeRadius 服务器环境搭建(PAP 版)
weixin_39651041的博客
11-16 2140
FreeRADIUS 是一个高性能和高可配置的多协议策略服务器,支持RADIUS,DHCPv4 DHCPv6、TACACS+ 和 VMPS。源码: FreeRADIUS/freeradius-server:FreeRADIUS - 一个多协议策略服务器。2.1. 修改 /etc/raddb/mods-config/files/authorize 文件,添加认证用户信息。安装配置测试文档:Getting Started (freeradius.org)4.2. Java client 测试代码。
FreeRadiusAD 集成搭一套认证环境
david_zhang228的博客
10-18 4655
FreeRadiusAD 集成搭一套认证环境 由于项目需要Radius 认证,所以用freeRadius + AD 搭了一套认证环境,对于AD我搭的是Window server 2019,这里不会描述它,下面主要讲述怎么安装freeRadius ,已经验证认证环境环境准备 Window server 2019 (192.168.63.10) (添加域名 mydemo.local) Ce...
使用 freeradius 搭建 EAP PEAP MS-CHAPv2 验证环境
洪伟的专栏
12-16 9947
企业级 Wi-Fi 搭建起来有点小复杂,我们知道自己家使用的 Wi-Fi 非常简单,几乎只需要配置一下热点的 SSID 和密码就可以了,实际上这是两种 Wi-Fi 认证类型。想要快速部署企业级 Wi-Fi 验证环境,首先要理解企业级 Wi-Fi 部署的一些核心组件以及相应的协议。 一、Wi-Fi 认识 Wi-Fi(发音:/ˈwaɪfaɪ/,法语发音:/wifi/),在中文里又称作“行动热点”,是 Wi-Fi 联盟制造商的商标做为产品的品牌认证,是一个创建于 IEEE 802.11 标准的无线局域网技术。基于
FreeRadius+Windows AD实现802.1X认证(20220405记录)
qq_18729059的博客
04-06 8274
FreeRadius+Windows AD实现802.1X认证(20220405记录) 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录FreeRadius+Windows AD实现802.1X认证(20220405记录)前言一、实验环境二、级标题2.1 Linux服务器的配置2.2 freeradius安装2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 想搭建开源的radius对接AD域,无线wifi的AC控制器对接radius,实现用户通过AD账号密码验
Ubuntu16.0.4安装FreeRADIUS和Daloradius.pdf
07-16
Radius服务器,用于实现AAA认证
Linuxfreeradius-server和freeradius-client的安装和验证
热门推荐
ZMyths的博客
08-21 1万+
LinuxfreeRadius server和radius client的安装.从 http://freeradius.org 下载freeradius-server-3.0.15.tar.gz 安装包 一般缺少libtalloc 库,需要安装talloc-2.1.7.tar.gz 先从 https://www.samba.org/ftp/talloc/talloc-2.17.tar.gz 下载 talloc-2.1.7.tar.gz 解压安装如下: $
FreeRadius + Daloradius + Ubuntu Server 实现的无线802.1x的radius验证
weixin_33735077的博客
07-06 388
介绍FreeRadius 是目前开源应用中使用最广泛的软件。它支持目前普遍使用的各种验证协议,服务器是运行在PHP为基础的web平台上提供一种叫dialupadmin的用户管理工具。它为近500家企业提供了AAA访问需求提供了免费的解决方案。daloRADIUS是高级的RADIUS页面管理应用目的是对于hotspots和ISP的部署进行管理。同时还提供了用户管理,图形化的报告...
freeradius整合AD域作anyconncet认证服务器
weixin_34129145的博客
12-15 746
一、服务器要求 Radius服务器:centos6.6、hostname、selinux disabled、stop iptables AD服务器:Windows Server 2008 R2 Enterprise、AD-host.example.com(提前搭建好的AD域) freeradius版本大小:2.2.6 目的:只做用户名密码的认证 域名先解析:#vim /etc...
FreeRadius: MS-CHAP v2
Huntinux
12-28 3556
https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handshake Authentication Protocol, CHAP. The protocol exists in two versions, MS-CHAPv1 (defined in RFC 2433
×××身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)
weixin_34184158的博客
02-24 3675
×××身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) 分类:系统运维 1、PAP:密码认证协议 客户端直接发送包 含用户名/口令的认证请求,服务器端处理并作回应。 优点:简单。 缺点:明文传送,极容易被窃听。 2、SPAP:Shiva密码验证协议 Shiva公司 开发,是一种受Shiva远程访问服务器...
freeradius pap mysql_[转载]RedHat as4常用应用之mysql+freeradius+cisco路由器
weixin_39634052的博客
02-01 250
RedHat as4常用应用之freeradius一、概述RADIUS(Remote Access Dial In User Service)Protocol主要用来提供认证(Authentication)机制,用来辨认使用者的身份与密码,确认通过之后,经由授权(Authorization)使用者登入网域使用相关资源,并可提供计费(Accounting)机制,保存使用者的网络使用记录。Radius...
FreeRadius 服务器环境搭建(CHAP 版)
weixin_39651041的博客
11-18 1267
FreeRADIUS 是一个高性能和高可配置的多协议策略服务器,支持RADIUS,DHCPv4 DHCPv6、TACACS+ 和 VMPS。它是根据 GNU GPLv2 的条款提供的。使用 RADIUS 允许对网络进行身份验证和授权 集中化,并最大限度地减少必须 在向网络添加或删除新用户时完成。CHAP:Challenge Handshake Authentication Protocol,挑战握手认证协议。
Freeradius认证
HerSpoon的博客
11-21 3827
//freeradius 相关工具 yum install -y freeradius freeradius-mysql freeradius-utils //启动 radiusd -X //配置文件地址: /etc/raddb //客户端配置 /etc/raddb/clients.conf //默认文件配置位置 /etc/raddb/sites-available/default ...
freeradius sim卡认证
最新发布
05-12
Freeradius是一款开源的协议认证软件,可以用来进行服务器认证和用户认证。其中,sim卡认证是一种基于移动通信网的用户认证方式,通过对移动网络用户的sim卡进行鉴别和验证,从而实现身份验证和访问控制。 Freeradius支持在其认证框架中添加sim卡验证模块,为运营商提供快速、高效和准确的身份认证服务。SIM卡验证模块主要包括几个步骤:首先,设备从客户端请求认证模块的认证认证模块接收到请求后,请求访问LDAP(轻型目录访问协议)服务器,查询SIM卡信息。 接着,认证模块获取SIM卡信息,并进行验证。如果验证通过,认证模块就会向Freeradius服务器返回认证请求,服务器会根据验证结果进行策略判断,从而执行相应的认证和授权操作。 最后,认证模块会将结果返回给客户端,并向SIM卡的所有者发出认证成功的信号。此时,用户就可以根据自己的身份访问网络资源。 总的来说,freeradius的SIM卡认证基于移动通信网的用户身份验证方式,可以提供快速、高效和准确的身份认证服务,实现安全访问控制。它适合各种移动通信网,能够满足不同场景下移动用户身份认证的需求,是企业及个人安全管理的一种有效解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逗老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值