文档章节

Freeradius+Cisco2500AC+OpenLdap认证

o
 osc_z1hvg4cu
发布于 2018/04/24 16:21
字数 974
阅读 0
收藏 0

「深度学习福利」大神带你进阶工程师,立即查看>>>

为了将公司内部认证统一化,启用了802.1x认证,认证流程如下:

UserClient->AC控制器->Freeradius->OpenLdap

其中:

Freeradius做认证使用

OpenLdap存储用户账户密码

现在开始配置:

环境:

Centos7

OpenLdap2.4.4

Freeradius 3.0.13

1.安装Freeradius

#yum -y install freeradius* //Free RADIUS Version 3.0.13

2.修改配置文件
vim/etc/raddb/users
最后一行添加

testuser Cleartext-Password := "test123"

说明:这一步仅仅是添加一个测试用户,测试Freeradius是否正常启动的,如果不想测试,可以不建这个用户

3.vim/etc/hosts如果设置host这里应该设置hostname的值。
[ip][hostname]

4.测试
再打开一个终端,执行
radtest testuser test123 127.0.0.1 0 testing123

其中 testuser 是用户  test123是密码 ,就是步骤2中新建的用户  testing123是共享密钥

如果看到

SendingAccess-Requestofid87to127.0.0.1port1812
User-Name="testuser"
User-Password="testpassword"
NAS-IP-Address=192.168.50.65
NAS-Port=1812
Message-Authenticator=0x00000000000000000000000000000000
rad_recv:Access-Acceptpacketfromhost127.0.0.1port1812,id=87,length=20
则表示radius服务器配置成功。 

5.编辑eap文件

配置文件如下

cat /etc/raddb/mods-enabled/eap|grep -v "#"|grep -v "^$"
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
cipher_server_preference = no
ecdh_curve = "prime256v1"
cache {
enable = no
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = peap
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}

6.启用ldap功能,因为账户密码存储在ldap上,所以freeradius需要配置ldap的连接信息

# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

7 编辑ldap配置文件

cat mods-enabled/ldap|grep -v "#"|grep -v "^$"
ldap {
server = '127.0.0.1'
port = 389
identity = 'cn=root,dc=domain,dc=com'
password = 'your_password'
base_dn = 'ou=OP,dc=domain,dc=com'
sasl {
}
update {
control:Password-With-Header	+= 'userPassword'
control:NT-Password	:= 'sambaNTPassword' //重要,一定要记得更改这一行,下面会说原因
control:	+= 'radiusControlAttribute'
request:	+= 'radiusRequestAttribute'
reply:	+= 'radiusReplyAttribute'
}

 如果Freeradius的eap配置中 default_eap_type = peap 如果配置成peap的话,OpenLdap中的用户密码存储的时候可以采用两种方式

1.)明文存储,Freeradius认证没问题,但是很不安全,因为能看到用户的明文密码

2.)使用NT-Password加密存储,他其实是xp系统中用的MD4加密,所以OpenLdap中就需要添加samba的支持,然后将sambaNTPassword存储的密码字段映射为Freeradius中的NT-Password字段

我采用的是方式2

这段配置可以参考资料 https://hub.packtpub.com/storing-passwords-using-freeradius-authentication/

 

8.vim sites-available/inner-tunnel 取消里面的所有的ldap注释

9 vim sites-available/default 取消里面的所有的ldap注释

 

至此,Freeradius的配置部分就完成了

启动radius可以使用 

radiusd -X  //带有debug模式启动,可以查看调试信息

 

第二部分 OpenLdap配置

1.安装不写了,参考我的文章 http://www.cnblogs.com/Kevin-1967/p/8931304.html

2.安装完成后,需要按照上述步骤7中说的那样,添加samba支持,方法如下:

#yum install -y samba-common samba samba-client
#cp /usr/share/doc/samba-4.6.2/LDAP/samba.schema /etc/openldap/schema/
#cp /usr/share/doc/samba-4.6.2/LDAP/samba.ldif /etc/openldap/schema/
#ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/samba.ldif
#systemctl restart slapd
重启完OpenLdap的进程后,添加用户entry的时候就可以使用sambaSamAccount 的objectclass了,我添加用户的ldif文件模板如下
dn: uid=testuser,ou=OP,dc=domain,dc=com
objectClass: top
objectClass: sambaSamAccount
objectClass: inetOrgPerson
cn: 测试用户1
sambaSID: testuser
sn: testuser
uid: testuser
mail: testuser@163.com
sambaNTPassword: C941B8F73337FAC694888A9AA7376678
telephoneNumber: 18812341234
userPassword: e1NTSEF914cxeVRDWdeuR2NZdjl0e991bWtzNn0kn3pVNQ==

 说明:

Freeradius认证拿的是SambaNTPassword字段的值,如果你还需要openldap完成其他认证,就需要同步修改userPassword字段

所以,你需要写个网页,用户自助修改密码的时候同时修改OpenLdap中的sambaNTPassword字段和userPassword字段

然后在cisco无线控制器上添加Freeradius即可,配置无线走802.1x认证,步骤略

配置完。。。

参考资料:
http://www.178pt.com/179.html
https://www.cnblogs.com/lemon-le/p/6207695.html
参考资料:
http://zgssheng.cn/2014/03/FreeRadius%20+%20802.1x:WPA%20+%20OpenLDAP%20wifi%E7%99%BB%E5%BD%95%E4%BD%BF%E7%94%A8%E4%B8%AA%E4%BA%BA%E5%B8%90%E5%8F%B7/
o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。

暂无文章

没有指定分支的“git push”的默认行为 - Default behavior of “git push” without a branch specified

问题: I use the following command to push to my remote branch: 我使用以下命令推送到我的远程分支: git push origin sandbox If I say 如果我说 git push origin does that push ch......

技术盛宴
36分钟前
11
0
为什么在允许某些Unicode字符的注释中执行Java代码?

问题: The following code produces the output "Hello World!" 以下代码生成输出“Hello World!” (no really, try it). (不,真的,试试吧)。 public static void main(String... args......

富含淀粉
今天
18
0
字符串格式:%与.format - String formatting: % vs. .format

问题: Python 2.6 introduced the str.format() method with a slightly different syntax from the existing % operator. Python 2.6引入了str.format()方法,其语法与现有的%运算符略有不......

javail
今天
22
0
什么是按位移位(位移)运算符以及它们如何工作? - What are bitwise shift (bit-shift) operators and how do they work?

问题: I've been attempting to learn C in my spare time, and other languages (C#, Java, etc.) have the same concept (and often the same operators) ... 我一直在尝试在业余时间学习......

法国红酒甜
今天
32
0
OSChina 周二乱弹 —— 卧槽 李荣浩的契约兽啊

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @薛定谔的兄弟 :分享洛神有语创建的歌单「我喜欢的音乐」: 《红色的回忆》- 痛仰乐队 手机党少年们想听歌,请使劲儿戳(这里) 动弹, 又好多...

小小编辑
今天
67
1

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部