案例:配置和部署IAS RADIUS
配置和部署IAS RADIUS
在Windows Server 2003中,附带了一款稳定,安全和强健的RADIUS(也被称作AAA)服务器。如果你在互联网上搜索有关Microsoft IAS的漏洞,你会发现根本找不到。IAS服务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003主机已经设置成只允许IAS请求,同时防火墙也封闭了其它的端口,并且Windows Server 2003系统上没有运行其它服务,那么你可以确保这个IAS RADIUS服务器可以无故障的持续运行数年而不需要重新启动。
安装IAS
插入Windows Server 2003的安装光盘,在控制面板区域打开“添加和删除程序”,并选择“安装和卸载Windows组件”即可。之后你会看到如图一所示的窗口,通过下拉滚动条,找到“网络服务”。由于我们不需要安装全部网络服务,因此应该高亮该项目,并选择“详细信息”按钮。
(图1.1)网络服务
接下来你会看到如图 1.2所示的窗口,向下滚动,找到"Internet验证服务" (Internet Authentication Service)IAS 并选中。
(图1.2)选择IAS
安装IAS后,你就可以通过管理工具或者开始菜单来启动IAS 了。
(图1.3)
设置日志策略
我们首先要做的是检查并设置日志策(图1.4)。右键点击“Internet验证服务(本地)”,然后
选择属性。
(图1.4)IAS 属性
接下来会看到如图五所示的窗口。如果选择了窗口下方的两个复选框,那么就可以通过Windows的事件查看器看到成功和失败的IAS验证请求了。如果你喜欢使用文本或基于
SQL的日志,就不需要选择这两项了,除非你希望通过各种途径都能查看到IAS的日志。
(图1.5)本地属性
如果选择了“端口”标签,你会看到如(图1.6)所示的窗口。其中显示了默认的RADIUS 端口,一般来说,我们都采用这些端口作为标准的RADIUS通信端口。Microsoft IAS实际上会监听两套端口。较低的端口号是比较传统的端口号码,而微软的应用程序偏向使用较高
的端口号码。我们保持这些端口号码不变即可。
(图1.6)端口
接下来是设置Microsoft IAS的独立文本日志和SQL日志。右键点击“远程访问记录”页面
下的“本地文件”部分,然后选择属性。如图1.7 所示。
在"设置"标签中,我们可以选择需要记录哪些事件。如图1.8所示。
在"日志文件" 标签中,我们可以设置日志文件的格式和文件的体积限制。如图1.9所示。
(图1.9)日志文件
由于需要额外配置一个SQL数据库才能正常工作,因此在这里我不选择使用SQL日志格式。如果你需要采用基于SQL数据库的日志,那么需要手动创建一个SQL帐号和数据表。另外,如果日志不能正常工作,那么Windows Server 2003的RADIUS服务就会停止。因此如果用户采用了SQL日志方式,而SQL服务器又没有正常工作,那么RADIUS服务器也会随之停止工作。而且,根据微软的说法,之所以没有提供绕过SQL服务器单独启动RADIUS 服务器的方式,是因为用户觉得这样做更加安全。
添加RADIUS 客户
RADIUS的“客户”并不是我们所想象的“用户”。RADIUS的客户实际上是指无线接入点、路由器、交换机、网络防火墙或者一个VPN集线器。任何可以提供网络接入功能,并需要AAA(接入、认证和审计)的设备,对于RADIUS服务器来说都是RADIUS客户。在本文中,我们只建立一个接入点作为一个RADIUS客户。
要建立RADIUS客户,我们需要右键点击“RADIUS客户端”,然后选择“新建RADIUS客户端”,
如图2.1所示。
图2.1 建立Radius客户
接下来我们会看到如图2.2所示的窗口,在该窗口中,我们需要命名该接入设备,然后设置该接入设备的IP地址。在本文中,这个接入设备是一个无线接入点。需要注意的是,如果接入设备是路由器或防火墙,因为这类设备都具有多个接口,因此会包含多个IP地址。此时你应该在这里输入距离RADIUS服务器最近的一个端口的IP地址。这是由于RADIUS请求会来自多端口设备中距离RADIUS服务器最近的端口,如果设置错误,那么RADIUS服务器将无法与该设备进行通信。
图2.2 命名新RADIUS客户并输入IP
接下去我们要设置RADIUS类型和RADIUS密码。一般来说,RADIUS类型部分总是设置为“RADIUS Standard”。而Cisco的设备是一个例外,如果你所要连接的设备是来自Cisco的,那么在“客户端-供应商”区域必须选择“Cisco”。不过Cisco的无线交换机并不在此例外中,因为Cisco 的无线交换机其实是2005年收购Airespace后来自Airespace的产品。Airespace的无线交换机可以使用“RADIUS Standard”方式,就和其他厂商的产品一样。“shared secret”是RADIUS服务器与其他接入设备共享的密码(如图2.3所示)。我们应该使用字母和数字混合密码,并且长度应该大于十位。另外不要使用空格和特殊符号作为密码,因为这些字符可能与某些设备或软件产生兼容性问题,而要找到此类问题的根源却相当麻烦。
图2.3 设置共享密码
点击完成此设置。如果你有多个接入设备,则需要重复这一过程。
添加远程访问策略
现在我们需要建立一个远程访问策略,对试图访问接入设备的用户进行验证和授权。首先我们右键点击“远程访问策略”项,然后选择“新建远程访问策略”。如图3.1所示。
图3.1 新建远程访问策略点击"下一步"转到下一窗口。如图3.2所示。
图3.2 策略向导
为策略命名,并选择通过向导建立策略。然后点击"下一步"。如图3.3所示。
图3.3 命名策略选择"无线" 然后点击"下一步",如图3.4所示。
图3.4 选择无线接入对用户和计算机进行接入授权。点击"添加"。如图3.5所示。
图3.5 按组进行授权
这里我们需要对需要授权的域的位置进行定位。点击"位置"。如图3.6所示。
图3.6 选择组
选择需要授权的域,并点击“确定”。需要注意的是,IAS服务器必须加入到该域,或者必须为于该域的信任域中。如图3.7所示。
图3.7 选择位置
输入“Domain Users”和“Domain Computers”,并用分号分隔。如图3.8所示。然后点击“检查名称”强制对输入内容进行校验。由于该选项是允许任何域用户和域计算机访问无线局域网,因此你可能还需要对一小部分用户或计算机进行限制。接着点击确定。
图3.8 输入域名
需要注意的是,“Domain Computers”是用来验证你的计算机的“机器验证”,也就是说,不论用户是否登录,都会先验证用户所使用的计算机是否具有接入资格。这种方式模拟了无线局域网环境中所出现的情况,因此是一种非常有效的验证手段。
如果“机器验证”没有进行,那么组策略以及登录脚本将不会执行。另外,只有已经存在于无线接入计算机中的用户才能够正常登录,因为如果用户之前从未使用过该计算机登录无线网络,将无法对其进行域验证。正因如此,我总是建议Windows用户使用Windows无线网络客户端,并且建议管理员采用自动部署方式完成对客户端的无线网络配置。
在图3.9中,我们会看到我们所允许访问的用户组和计算机组。需要注意的是,这两个组之间的关系是“或”,即符合其中任何一项,都可以成功接入。下面我们点击“下一步”
radius认证服务器配置
基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器:如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功
RADIUS服务器进行MAC验证
RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网 一、实验目的:通过Radius服务器的mac验证和路由器上的 nat配置,使得在局域网内的无线设备可以上网。 二、实验拓扑图: 三、使用的设备列表: S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置:
步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网
搭建radius服务器(全)
802.1X认证完整配置过程说明 802.1x认证的网络拓布结构如下图: 认证架构 1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。 2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制
通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。 3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。 4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。 我们的认证客户端采用无线客户端,无线接入点是用TP-LINK,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。 配置如下: 配置RADIUS server步骤: 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构; 在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序反了,证书服务中的企业根证书服务则不能选择安装; 一:安装AD,IIS 安装见附件《AD安装图文教程》 二:安装IAS 1、添加删除程序—》添加删除windows组件
配置采用RADIUS协议进行认证
配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下: ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例,需要准备如下数据: ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明: 以下配置均在RouterB上进行。 操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。
Radius工作原理与Radius认证服务
Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco 实施中,RADIUS客户端运行在cisco路由 器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
华为思科设备RADIUS配置教程
1.RADIUS配置 RADIUS客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group radius local //配置登陆认证的优先级radius-server host 139.123.252.245 auth-port 1812 acct-port 1813 //配置RADIUS服务器IP地址和端口。 radius-server host 139.123.252.244 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key ZDBF%51 //配置密码 line vty 0 4 login authentication auth 防火墙PIX的配置: aaa-server radius-authport 1812 aaa-server radius-acctport 1813 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server rsa_radius protocol radius aaa-server auth protocol radius aaa-server auth (inside) host 192.168.41.226 ZDBF%51 timeout 10 aaa-server LOCAL protocol tacacs+ aaa-server radius protocol radius aaa authentication telnet console auth 华为设备例子: VRP3.X版本的配置: radius scheme auth primary authentication 192.168.41.226 1812 //配置主用服务器IP地址和端口primary accounting 192.168.41.226 1813 secondary authentication 192.168.41.227 1812 //配置备用服务器IP地址和端口secondary accounting 192.168.41.227 1813 key authentication ZDBF%51 //配置密码 key accounting ZDBF%51
手把手教您建立免费的RADIUS认证服务器
https://www.wendangku.net/doc/4416034651.html, 2007年08月13日 11:07 ChinaByte RADIUS认证服务器(Remote Authentication Dial In User Service,远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting,即认证、授权、计费)。AAA协议的典型操作是验证用户名和密码是否合法(认证),分配IP 地址(授权),登记上线/下线时间(计费),电信业窄带/宽带拨号都使用大型RADIUS认证服务器。而随着网络安全需求提高,中小企业的局域网集中用户认证,特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。这些用户不需要使用昂贵的专业系统,采用PC服务器和Linux系统的Freeradius+MySQL可靠地实现。本文着重介绍RADIUS 系统在VPDN拨号二次认证中的应用。 Freeradius的安装 笔者采用FC4 for x86_64系统上的freeradius-1.1.2,在中档PC服务器上运行,系统运行稳定可靠。Linux FC4自带Freeradius和MySQL,不过实测不理想。FC4 MySQL对中文支持不好,而freeradius则仅支持其自带MySQL。所以,在编译MySQL时要加入选项“--with-charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“—with-snmp=no”,因为与库文件snmp相关的库对64位支持有问题,最新的FC7也许没有这些问题。Freeradius提供了MySQL建库脚本——db-MySQL.sql,不过建nas库有1个语法错误,将“id int(10) DEFAULT ‘0’;” 中的“DEFAULT ‘0’”去掉即可正常建立Radius库。 Freeradius的设置 简单少数用户可使用Freeradius缺省的users文件配置用户,根据文件制定的规则和用户工作。安装完毕后启动Radius服务:/usr/loca l/sbin/radiusd –X。本机运行radtest test test localhost 0 testing123发认证 请求,得到回应表示Radius服务器工作正常。 Radius服务器缺省使用/usr/local/etc/raddb/users文件工件认证,简单易行,但仅适用于少数用户。如果管理几十个或更多用户,应使用数据库,对于少于一万用户而言,MySQL 是合适选择。 MySQL认证的设置 在配置文件radiusd.conf中,在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置MySQL的连接信息,用户/密码和地址,本机用localhost即可。还需要在users中对DEFAULT用户做如下设置:Auth-Type = Local,Fall-Through = 1。这 样,才可正确使用MySQL进行认证。
H3C AAA认证配置
A A A典型配置举例用户的RADIUS认证和授权配置 1.组网需求 如所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 由一台iMC服务器(IP地址为)担当认证/授权RADIUS服务器的职责; Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813; Router向RADIUS服务器发送的用户名携带域名; SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。 2.组网图 图1-12SSH用户RADIUS认证/授权配置组网图 3.配置步骤 (1)配置RADIUS服务器(iMC PLAT ) 下面以iMC为例(使用iMC版本为:iMC PLAT (E0101)、iMC UAM (E0101)),说明RADIUS 服务器的基本配置。 #增加接入设备。 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 设置与Router交互报文时使用的认证、计费共享密钥为“expert”; 设置认证及计费的端口号分别为“1812”和“1813”; 选择业务类型为“设备管理业务”; 选择接入设备类型为“H3C”; 选择或手工增加接入设备,添加IP地址为的接入设备; 其它参数采用缺省值,并单击<确定>按钮完成操作。 添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口 GigabitEthernet1/0/2的IP地址,则此处接入设备IP地址就选择。 图1-13增加接入设备 #增加设备管理用户。 选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。 输入用户名“hello@bbb”和密码; 选择服务类型为“SSH”; 添加所管理设备的IP地址,IP地址范围为“~”; 单击<确定>按钮完成操作。
Radius认证服务器的配置与应用讲解
IEEE 802.1x协议 IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。 IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。其中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。 RADIUS服务器 RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了 3A功能。其中审计也称为“记账”或“计费”。 RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。 基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认
802.1x服务器认证
实验十一 802.1x+Radius服务器认证配置 1. 组网图 2. 配置步骤 IP地址分配表: 路由器RTA RTB S0 E0 10.2.1.1/24 4. 实验步骤: 1.在系统视图下开启80 2.1X功能,默认为基于MAC的方式 [SwitchA]dot1x 2.在E0/1-E0/10端口上开启802.1X功能,如果dot1x inter fac e后面不加具体的端口,就是指所有 的端口都开启802.1X [SwitchA]dot1x interface eth 0/1 to eth 0/10(另一台服务器网线插在10端口范围以外) PC PCA PCB IP地址10.2.1.88/24 10.2.1..89/24 网关
3.设置认证方式为r adius,r adius认证不成功取本地认证 [SwitchA]radius scheme radius1 4.设置主认证服务器 [SwitchA-radius-radius1]primary authentication 10.2.1.89 [SwitchA-radius-radius1]primary authorization 10.2.1.89 5.设置主计费服务器 [SwitchA-radius-radius1]primary accounting 10.2.1.89 6.设置交换机与认证服务器的密钥,二者应保持一致 [SwitchA-radius-radius1]key authentication expert [SwitchA-radius-radius1] key authorization expert 7.设置交换机与计费服务器的密钥,二者应保持一致 [SwitchA-radius-radius1]key accounting expert 8.交换机送给radius的报文不带域名 [SwitchA-radius-radius1]user-name-format without-domain 9.这里用户认证采用自建域huawei [SwitchA]domain ccitsoft 10.在域中引用认证方案radius1 [SwitchA-isp-ccitsofti]radius-scheme radius1 配置vlan [SwitchA] vlan 2 [Switch-vlan2]port e1/0/1 to 1/0/20(port e1/0/1 to 1/0/24) [SwitchA]interface vlan2 Ip address 10.2.1.1 255.255.255.0
RADIUS服务器配置
什么是RADIUS 服务器 RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。 RADIUS 的关键功能部件为: 客户机/服务器体系结构网络访问服务器(NAS)作为RADIUS 客户机运行。客户机负责将订户信息传递至指定的RADIUS 服务器,然后根据返回的响应进行操作。 RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。 RADIUS 服务器可以担当其它RADIUS 服务器或者是其它种类的认证服务器的代理。 网络安全性: 通过使用加密的共享机密信息来认证客户机和RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和RADIUS 服务器间发送任何订户密码时,都要加密该密码。灵活认证机制: RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。 可扩展协议:所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
如何配置RADIUS 服务器 在“ISA 服务器管理”的控制台树中,单击“常规”:对于ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。对于ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。在详细信息窗格中,单击“定义RADIUS 服务器”。在“RADIUS 服务器”选项卡上,单击“添加”。在“服务器名”中,键入要用于身份验证的RADIUS 服务器的名称。单击“更改”,然后在“新机密”中,键入要用于ISA 服务器与RADIUS 服务器之间的安全通讯的共享机密。必须在ISA 服务器与RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。在“端口”中,键入RADIUS 服务器要对传入的RADIUS 身份验证请求使用的用户数据报协议(UDP)。默认值1812 基于RFC 2138。对于更早的RADIUS 服务器,请将端口值设置为1645。在“超时(秒)”中,键入ISA 服务器将尝试从RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台RADIUS 服务器。如果基于共享机密的消息验证程序与每个RADIUS 消息一起发送,请选择“总是使用消息验 证程序”。 注意: 要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。当为RADIUS 身份验证配置ISA 服务器时,RADIUS 服务器的配置会应用于使用RADIUS 身份验证的所有规则或网络对象。共享机密用于验证RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了RADIUS 的设备发送的。请务必更改RADISU 服务器上的默认预共享密钥。配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过22 个字符)的随机字母、数字和标点符号。如果选择“总是使用消息验证程序”,请确保RADIUS 服务器能够接收并配置为接收消息验证程序。对于VPN 客户端,可扩展的身份验证协议(EAP) 消息始终是随同消息验证程序一起发送的。对于Web 代理客户端,将仅使用密码身份验证协议(PAP)。如果RADIUS 服务器运行了Internet 身份验证服务(IAS),并且为此服务器配置的RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。
freeradius 配置信息详解
Radiusd.conf文件是freeradius的核心配置文件,其中设置了服务器的基本信息,配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息,与认证和计费所使用模块的配置. 配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变. 变量的格式参照variables.txt. 1.1 环境变量 此处定义其他配置文件以及目录的位置,也就是环境变量 prefix = /usr/local exec_prefix = ${prefix} sysconfdir = ${prefix}/etc localstatedir = ${prefix}/var sbindir = ${exec_prefix}/sbin logdir = ${localstatedir}/log/radius raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct 配置文件和日志文件的位置 confdir = ${raddbdir} run_dir = ${localstatedir}/run/radiusd 日志文件的信息,添加到如下配置文件的底部 log_file = ${logdir}/radius.log 1.2 全局配置 模块的位置由libdir来配置。 如果不能工作,那么你可以从新配置,从新Build源码,并且使用共享库。 pidfile: Where to place the PID of the RADIUS server. pidfile = ${run_dir}/radiusd.pid
802.1X认证完整配置过程RADIUS_server搭建
802.1X认证完整配置过程说明 发出来和大家分享我在新浪有微博第一无线 802.1x 的认证的网络拓布结构如下图: 我们的认证客户端采用无线客户端,无线接入点是用cisco2100 wireless controller,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。 配置如下: 配置RADIUS server步骤: 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构; 如果没有安装AD,在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”,然后按照提示安装就可以了; 如果没有安装证书颁发机构,就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装; 如果没有安装IAS和IIS,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除
windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装; 在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装; 在这四个管理部件都安装的条件下,可以配置RADIUS服务器了。 默认域安全设置 进入“开始”—〉“管理工具”—〉“域安全策略”,进入默认域安全设置,展开“安全设置”—〉“账户策略”—〉“密码策略”,在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”,
radius服务器与SQL连接配置
Steel-Belted Radius 是一款多功能的Radius服务器,可以实现认证、计费等功能;它也可以和多种数据库相连接,实现其功能。我们就来看一下Steel-Belted Radius 和SQL Server连接的配置: 说明:本文采用的Steel-Belted Radius版本为5.02.1335,SQL Server版本为SQL Server 2000 简体中文版。 一、建立系统DSN; 使用ODBC 数据源管理器建立连接SQL Server 的系统DSN,命名为LocalServer; 按以下八步建立一个系统DSN: (1) 打开“控制面板”中的“管理工具”,在数据源(ODBC)项目上双击。 (2) 系统弹出“ODBC数据源管理器”对话框,单击“系统DSN”标签打开“系统DSN”选项卡。 (3) 单击“添加”按钮,系统弹出“创建新数据源”对话框,选择“SQL Server”选项,然后单击“完成”按钮。 (4) 系统弹出“创建到SQL Server的新数据源”对话框,输入系统DSN的名称并指定SQL Server所在的服务器,然后单击“下一步”按钮。 (5) 系统进入数据库的安全设置步骤。在这里可选择SQL Server验证登录ID的方式。选中“使用用户输入登录ID和密码的SQL Server验证”单选按钮,然后选中“连接SQL Server以获得其它配置选项的默认设置”复选框,再在“登录ID”和“密码”文本框中输入对在上一操作步骤中指定数据库有存取权限的SQL Server帐号sa和密码sa,单击“下一步”按钮。 (6) 系统进入选择要连接的数据库步骤。选中“更改默认的数据库为”复选框,然后从下面的下拉列表中选择要连接数据库名称。 (7) 单击“下一步”按钮进入下一步骤,一般来说,不用更改其中的信息。然后单击“完成”按钮。系统将弹出“ODBC Microsoft SQL Server安装”对话框。 (8) 单击“测试数据源”按钮,如果系统提示测试成功,则表示DSN设置正确。单击“确定”按钮,可完成系统DSN的建立。 二、配置Sqlauth.aut 实现认证功能 Steel-Belted Radius 默认并不支持SQL Server 连接,需要我们进行相应的设置,大部分都是在Sqlauth.aut中完成。以下是一个已完成的Sqlauth.aut [Bootstrap] LibraryName=sqlauth.dll Enable=1 InitializationString=SQL Server [Settings] Connect=DSN=LocalServer;UID=sa;PWD=123456 SQL=SELECT Password,Profile FROM userlist WHERE UserName = %name and Enable = 1 ParameterMarker=?
Radius认证服务器的配置与应用
Radius认证服务器的配置与应用(802.1x) 2011年7月8日09:476,356 次阅读发表评论阅读评论 文章作者:姜南(Slyar) 文章来源:Slyar Home (https://www.wendangku.net/doc/4416034651.html,) 转载请注明,谢谢合作。 Radius认证服务器的配置与应用(802.1x) 作者:北京师范大学珠海分校- 信息技术学院- 姜南 环境:Windows 2003 Radius服务器+Cisco 2950交换机+Windows XP/2003客户端 IEEE 802.1x协议 IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。 IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。其中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。 RADIUS服务器 RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了 3A功能。其中审计也称为“记账”或“计费”。 RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。 基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口
- Windows server 2008 AD + RADIUS + 802.1X认证配置
- Radius认证服务器的配置与应用
- 802.1X认证完整配置过程RADIUS_server搭建
- FREERADIUS验证配置手册
- H3C-RADIUS配置
- 华为思科设备RADIUS配置教程
- freeradius 配置信息详解
- RADIUS服务器搭建
- 华为设备AAA和RADIUS协议配置
- 交换机配置Radius认证
- Radius认证服务器的配置与应用讲解
- radius服务器与SQL连接配置
- cisco 3550 radius配置
- radius认证服务器配置
- Radius认证服务器的配置与应用(802.1x)
- ssh登录使用radius服务器认证配置方法
- radius服务器配置
- Windows server 2008 AD + RADIUS + 802.1X认证配置
- 配置Radius认证服务器方法
- 搭建radius服务器(全)