建立 认证服务器|腾讯云服务器
不需要使用昂贵的专业系统采用PC服务器和L i nux系统的Freeradius+MySQL就能可靠地实现RADIUS认证服务器。 RADIUS认证服务器Remote Authentication Dial In User Service远程用户拨号认证系统是目前应用最广泛的AAA协议AAA=authenticat ion、 Authori zat ion、 Account ing 即认证、授权、计费。随着网络安全需求提高 中小企业的局域网集中用户认证特别是使用V PDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。但这些用户不需要使用昂贵的专业系统采用PC服务器和Linux系统的Freeradius+MySQL就能可靠地实现。 ●Freeradius的安装 笔者采用FC4 f or x86_64系统上的freeradius-1. 1.2在中档PC服务器上运行系统运行稳定可靠。 Linux FC4自带Freeradius和MySQL不过实测不理想。 FC4 MySQL对中文支持不好而freeradius则仅支持其自带MySQL。所以在编译MySQL时要加入选项“--with-chars et=gb2312”以支持中文字符编码。编译Freeradi us时可使用缺省选项。在64位Li nux系统上编译前配置时需要加入选项“―with-snmp=no” 因为与库文件snmp相关的库对64位支持有问题最新的FC7也许没有这些问题。 Freerad ius提供了MySQL建库脚本――db-MySQL. sql不过建nas库有1个语法错误将“i d in t(10) DEFAULT ‘0’ ; ”中的“DEFAULT ‘0’ ”去掉即可正常建立Rad ius库。 ●Freeradius的设置 用户数量较少的情况下可使用Freeradius缺省的users文件配置用户根据文件制定的规则工作。安装完毕后启动Radius服务: /usr/local/sbin/radiusd-X。本机运行radtest test test localhost 0 testing123发认证请求得到回应表示Radius服务器工作正常。 Radius服务器缺省使用/usr/local/etc/raddb/users文件认证简单易行。但如果管理几十个或更多用户则应使用数据库对于用户数少于一万的情况而言 MySQL是合适的选择。 ●MySQL认证的设置 在配置文件radiusd.conf中在authorize{}和account ingt{}设置中去掉sql前注释符。在s ql. conf中设置MySQL的连接信息、用户密码和地址、本机用l ocalhost即可。还需要在users中对DEFAULT用户做如下设置:Auth-Type=LocalFall-Through = 1。这样才可正确使用MySQL进行认证。 在MySQL中设置用户的规则与users文件用户设置有对应关系。 Radius认证是以Attribute =Value的形式提供认证和应答消息。在users文件中与用户名位于同一行以“ ”分隔的各个属性是认证请求必须提供而且需要验证的属性。实际使用时往往使用username@domain形式用户进行认证。用文件方式时可以通过设置剥离域名 只建立username认证即可。需要在radiusd.conf 中加入一项realm domain { format=suff ix„}域说明并在proxy.conf中realm DEFAULT使用LOCAL认证。用MySQL认证时缺省的sql.conf中使用带域名的全名进行认证。 最后打开防火墙是必要的。缺省Radi us认证服务器使用UDP 1812端口认证 UDP 1813端口计费应该开放UDP包的进出。 ●C I SCO路由器的设置 C I SCO路由器是经典的RADI US客户端在VPDN拨号系统中LNS作为二次认证客户端。在clients.conf中定义客户端IP地址和共享密钥。对单网口的低级路由器来说客户端的IP地址就是网口IP。对于中高级路由器来说路由器缺省使用第一个网口IP作为客户端源IP如果是不可路由的内网地址则客户端无法收到认证应答包。要指定IP使用如下语句: ip radius source-interface FastEthernet0/1 其中FastEthernet0/1的IP指定作为认证客户端的源地址。一般做法是在VPDN-GROUP定义中使用so urc e-i p语句指定IP不过重启路由器后必须重新设置RADIUS服务器才能生效。 另一个关于CISCO的设置是使用多个认证服务器。 中高档路由器通常可支持不同的拨号接入。不同拨号接入使用不同的认证服务器。CISCO中使用不同的server-group实现。 aaa authorization network aaa-radius1start-stop group radius1 aaa authorization network aaa-radius2 start-stop group radius2 也可根据需要定义authent ication/accounting使用的server-group。 ●用户物理绑定的实现 实现用户物理绑定特定用户只能在特定的电话号码或端口号上发起连
接才能认证成功可以大大提高认证安全性。在窄带系统中 LAC在拨入接入服务器L AC进行一次认证时就向RAD IUS服务器提供主叫号码二次认证时该属性就被提交给RADI US服务器。如电话号码为1234567用户拨号请求中包含属性Call ing-Station-Id = “1234567” 。为了实现主叫号码绑定首先在radiusd.conf配置文件中起用对主叫号码的检查 即checkval {}中的内容。在使用users文件认证时在用户名定义的同一行内加入Calling-Station-Id =
“1234567” 即 可 。 使 用 MySQL 认证 时 在 radcheck 表 中 加 入“Calling-Station-Id ” +=” , ” 1234567” ”这条记录即可。 对于ADSL宽带来说不能使用电话号码绑定。不同宽带设备可提供不同的绑定方式。其实现要点也是必须在发出认证请求中包含其物理端口或其他物理信息 Radius服务器在字典定义该属性在users文件或MySQL中加入约束值即可。
中秋节快到了,spinservers针对中国用户准备了几款圣何塞机房特别独立服务器,大家知道这家服务器都是高配,这次推出的机器除了配置高以外,默认1Gbps不限制流量,解除了常规机器10TB/月的流量限制,价格每月179美元起,机器自动化上架,一般30分钟内,有基本自助管理功能,带IPMI,支持安装Windows或者Linux操作系统。配置一 $179/月CPU:Dual Intel Xeon E...
活动方案:美国洛杉矶 E5 2696V2 2核4G20M带宽100G流量20元/月美国洛杉矶E5 2696V2 2核4G100M带宽1000G流量99元/季香港CN2 E5 2660V2 2核2G30M CN2500G流量119元/季日本CN2E5 2660 2核2G30M CN2 500G流量119元/季美国300G高防 真实防御E5 2696V2 2核2G30M...
一、麻花云官网点击直达麻花云官方网站二、活动方案优惠码:专属优惠码:F1B07B 享受85折优惠。点击访问活动链接最新活动 :五一狂欢 惠战到底 香港云主机 1.9折起香港特价体验云主机CN2 云服务器最新上线KVM架构,,默认40G SSD,+10G自带一个IPv4,免费10Gbps防御,CPU内存带宽价格购买1核1G1M19元首月链接2核2G 2M92元/3个月链接2核4G3M112元/3个月...