Radius Manager 3.9.0 Free v0.2 全自动安装ISO 安装说明修正版

Radius Manager 3.9.0 Free v0.2 全自动安装ISO RouterClub论坛免费提供。

补丁更新至radiusmanager-3.9.0-rel-patch4

基于CentOS 5.6构建,AMP均是目前最新稳定版本，从源码编译经过适当优化。

各程序安装目录均统一到/wlancn ，方便备份和移植。

mysql/ 5.5.11

Apache/ 2.2.17

PHP/ 5.3.6

FreeRADIUS/ 2.1.8

安装后默认IP:192.168.9.222 netmask:255.255.255.0 gateway:192.168.9.1

http：//192.168.9.222/admin.php 后台账户: admin 密码:2911911

http：//192.168.9.222:8080 为phpmyadmin管理工具

默认ROOT密码随机生成，控制台登陆位置第二排ID: 后内容含字母tcp字段为密码mysql root密码与此相同，虽然密码随机生成，也请及时修改。

修改myql数据库密码需要修改3处内容

1:/etc/radiusmanager.cfg

2:/wlancn/web/radiusmanager/config/system_cfg.php

3:/wlancn/freeradius/etc/raddb/sql.conf

ISO文件MD5:1669a52e69e2d7c01da92ef7cc52ff30 ram390freev2.iso 425M

整套文件免费提供，禁止任何形式的销售。自由传播，转载请注明出处，违者就自家死大半吧。

CS授权来至官方，仅供学习交流，请支持正版。有任何问题请发帖到论坛交流，私人消息就免了。

---------------------

20110510 修正无法得到root 密码问题，修正修改IP后mac地址修改无效导致的授权错误问题。

radius认证服务器配置

基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。 认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器：如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功

RADIUS服务器进行MAC验证

RADIUS服务器进行MAC验证,配置nat，使无线接入端连接外网 一、实验目的：通过Radius服务器的mac验证和路由器上的 nat配置，使得在局域网内的无线设备可以上网。 二、实验拓扑图： 三、使用的设备列表： S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置：

步骤一：在AC上设置用户和做mac地址绑定，以及设计无线网 sys [h3c]sysname AC( 注意，AC为WA2620-AGN，本AC改名字的时候不能只打sys+名字，需要的是完整才能打出来sysname+名字) [AC]int vlan 1 [AC-vlan-interfacel]undo ip add [AC-vlan-interfacel]vlan 2 [AC-vlan2]vlan 4 [AC-vlan4]int vlan 4 [AC-vlan-interface4]ip add 192.168.4.1 24 [AC-vlan-interface4]quit [AC]radius scheme yu [AC-radius-yu]server-type extended [AC-radius-yu]primary authentication 192.168.5.1 [AC-radius-yu]primary accounting 192.168.5.1 [AC-radius-yu]key authentication h3c(radius上默认的密钥为h3c，可以重设，所以在配置上需要一致，所以这里配置h3c) [AC-radius-yu]key accounting h3c [AC-radius-yu]user-name-format without-domain(注意：这条指令的意思是，不用域名，让你在radius添加账户时可以不带域名)

Windows2003 Radius服务器搭建

Windows2003 Radius服务器搭建 1 目的 为测试提供指导，加快测试效率，并为WLAN产品积累相应的测试案例。 2 范围 1）适用于802.1x Radius测试。 4 术语和定义 AP Access Point，接入点 AC Access Controller，接入控制器 WLAN Wireless Local Access Network，无线局域网 VLAN Virtual Local Area Network，虚拟局域网

5 windows2003 Radius服务器安装步骤 5.1 IIS安装 在【控制面板->添加或删除程序->添加/删除Windows组件->应用程序服务器】中勾选“https://www.sodocs.net/doc/059001314.html,”，“Internet信息服务(IIS)”，“启用网络COM+访问”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IIS安装。 图5-1 IIS安装选项 5.2 IAS(Internet验证服务)安装 在【控制面板->添加或删除程序->添加/删除Windows组件->网络服务】中勾选“Internet 验证服务”，“域名系统(DNS)”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IAS安装。 图5-2 IAS安装选项 5.3 Active Directory安装 1、在运行栏输入“dcpromo”，进入AD安装向导。 图5-3 输入运行命令

2、在安装向导页面点击<下一步>。 图5-4 开始安装向导3、点击<下一步>，继续安装。 图5-5 操作系统兼容性信息4、选择<新域的域控制器>，点击<下一步>。 图5-6 域控制类型 5、选择<在新林中的域>，点击<下一步>。

搭建radius服务器(全)

802.1X认证完整配置过程说明 802.1x认证的网络拓布结构如下图： 认证架构 1、当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。 2、无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制

通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。 3、RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY加密并解密他们之间的无线流量。 4、经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。 我们的认证客户端采用无线客户端，无线接入点是用TP-LINK，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。 配置如下： 配置RADIUS server步骤： 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构； 在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装； 一：安装AD，IIS 安装见附件《AD安装图文教程》 二：安装IAS 1、添加删除程序—》添加删除windows组件

RADIUS(Remote Authentication Dial In User Service)简介及Lunix平台下构建RADIUS服务器设置步骤

RADIUS(Remote Authentication Dial In User Service)简介及Lunix平台下构建RADIUS服务器设置步骤 RADIUS:Remote Authentication Dial In User Service，远程用户拨号认证系统，由RFC2865，RFC2866定义，是目前应用最广泛的AAA(AAA=authentication、Authorization、Accounting，即认证、授权、计费)协议。 RADIUS协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。创立于1966年Merit Network, Inc.是密执安大学的一家非营利公司，其业务是运行维护该校的网络互联MichNet。1987年，Merit在美国NSF（国家科学基金会）的招标中胜出，赢得了NSFnet （即Internet前身）的运营合同。因为NSFnet是基于IP的网络，而MichNet却基于专有网络协议，Merit面对着如何将MichNet的专有网络协议演变为IP协议，同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年，Merit决定招标拨号服务器供应商，几个月后，一家叫Livingston的公司提出了建议，冠名为RADIUS，并为此获得了合同。 1992年秋天，IETF的NASREQ工作组成立,随之提交了RADIUS 作为草案。很快，RADIUS成为事实上的网络接入标准，几乎所有的

网络接入服务器厂商均实现了该协议。 1997年，RADIUS RFC2039发表，随后是RFC2138，最新的RADIUS RFC2865发表于2000年6月。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 RADIUS的基本工作原理:用户接入NAS（Network Access Server），NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS 服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

配置采用RADIUS协议进行认证

配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示，用户通过RouterA访问网络，用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络，然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下： ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，认证端口号缺省为1812，计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例，需要准备如下数据： ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明： 以下配置均在RouterB上进行。 操作步骤

1.配置接口的IP地址和路由，使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。 system-view [Huawei] radius-server template shiva # 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。 [Huawei-radius-shiva] radius-server authentication 129.7.66.66 1812 [Huawei-radius-shiva] radius-server accounting 129.7.66.66 1813 # 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。 [Huawei-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary [Huawei-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary # 配置RADIUS服务器密钥、重传次数。 [Huawei-radius-shiva] radius-server shared-key cipher hello [Huawei-radius-shiva] radius-server retransmit 2 [Huawei-radius-shiva] quit 3.配置认证方案、计费方案 # 配置认证方案1，认证模式为RADIUS。 [Huawei] aaa [Huawei-aaa] authentication-scheme 1 [Huawei-aaa-authen-1] authentication-mode radius [Huawei-aaa-authen-1] quit # 配置计费方案1，计费模式为RADIUS。 [Huawei-aaa] accounting-scheme 1 [Huawei-aaa-accounting-1] accounting-mode radius [Huawei-aaa-accounting-1] quit 4.配置huawei域，在域下应用认证方案1、计费方案1、RADIUS模板shiva 5. [Huawei-aaa] domain huawei 6. [Huawei-aaa-domain-huawei] authentication-scheme 1 7. [Huawei-aaa-domain-huawei] accounting-scheme 1 [Huawei-aaa-domain-huawei] radius-server shiva 8.检查配置结果 在RouterB上执行命令display radius-server configuration template，可以观察到该RADIUS服务器模板的配置与要求一致。 display radius-server configuration template shiva -------------------------------------------------------------------- Server-template-name : shiva Protocol-version : standard Traffic-unit : B Shared-secret-key : 3MQ*TZ,O3KCQ=^Q`MAF4<1!! Timeout-interval(in second) : 5 Primary-authentication-server : 129.7.66.66;1812; LoopBack:NULL Primary-accounting-server : 129.7.66.66;1813; LoopBack:NULL

测试RADIUS服务器

测试RADIUS服务器 作者：david来源：cnw https://www.sodocs.net/doc/059001314.html, 2004-08-27 11:09:09 过去RADIUS更多地用在远程拨号接入这样的领域，但是在未来的企业网络中，RADIUS将更多被使用在以太网接入、无线局域网接入等领域。选择好的RADIUS将变得更重要。 美国的一家实验室决定评估企业RADIUS服务器，要求参评的产品不仅支持Microsoft Active Directory和RSA Security SecureID，而且还可以连接多种客户机，即NAS（网络接入服务器）设备，如拨号服务器、VPN集中器、WLAN接入点和防火墙。Cisco、Funk Software、IEA Software、Interlink Networks和Lucent的产品参加了这个测试。 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时，遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。从测试的情况看，所有的产品都符合RADIUS规范和EAP（扩展认证协议）定义。不过，为了发现所支持的认证机制和后端认证存储的种类，测试者进行了更深入的研究。在互操作性方面，他们测试了这些服务器与多种RADIUS 客户机（包括接入点、VPN和拨号服务器）一起工作时的情况。他们根据创建用户和工作组配置文件的难易程度以及配置用户专有属性的灵活性，对参评产品的配置管理评分。安全性也是关注的重点。测

试者希望了解服务器在和NAS设备通信的过程中是如何保证安全和完整性的。 另外RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。为此测试者评估了能够通过RADIUS服务器执行的不同规则，特别将重点放在按用户、用户组或角色实施的时段限制上。测试者还留意了产品是否支持强制时间配额。这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。 大多数参测的RADIUS服务器都通过ODBC或JDBC，利用SQL Server 数据库保存和访问用户配置文件。数据库集成对于处理大量为账户和事件日志采集的数据至关重要。假如网络管理员不能分析和报告数据的话，这些数据没有任何意义，为此他们测试了用于显示信息、显示信息的动态性以及利用信息可执行什么任务的工具。 除了上述基本特性外，测试者还对RADIUS服务器的功能进行了测试。他们测评了服务器主动与网络管理系统合作的情况。例如，他们评估了实现电子邮件报警的复杂性。实现电子邮件报警在Cisco和IEA Software的服务器中十分流畅，但在一些其他设备上就没有那么轻松。测试者还评估了证书请求工具。请求工具可将签名的证书授予发出请求的RADIUS服务器。具有VoIP账户功能的产品很少，只有Cisco和IEA Software的产品才提供。

如何在Windows2003_Radius服务器搭建详解

如何Windows2003 Radius服务器搭建 1 目的 为测试提供指导，加快测试效率，并为WLAN产品积累相应的测试案例。 2 范围 1）适用于802.1x Radius测试。 4 术语和定义 AP Access Point，接入点 AC Access Controller，接入控制器 WLAN Wireless Local Access Network，无线局域网 VLANVirtual Local Area Network，虚拟局域网

5 windows2003 Radius服务器安装步骤 5.1 IIS安装 在【控制面板->添加或删除程序->添加/删除Windows组件->应用程序服务器】中勾选“https://www.sodocs.net/doc/059001314.html,”，“Internet信息服务(IIS)”，“启用网络COM+访问”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IIS安装。 图5-1 IIS安装选项 5.2 IAS(Internet验证服务)安装 在【控制面板->添加或删除程序->添加/删除Windows组件->网络服务】中勾选“Internet 验证服务”，“域名系统(DNS)”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IAS安装。 图5-2 IAS安装选项 5.3 Active Directory安装 1、在运行栏输入“dcpromo”，进入AD安装向导。 图5-3 输入运行命令

2、在安装向导页面点击<下一步>。 图5-4 开始安装向导3、点击<下一步>，继续安装。 图5-5 操作系统兼容性信息4、选择<新域的域控制器>，点击<下一步>。 图5-6 域控制类型 5、选择<在新林中的域>，点击<下一步>。

Radius工作原理与Radius认证服务

Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理：用户接入NAS，NAS向RADIUS服务器使用Access-Require 数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的，客户端/服务器系统，实现安全网络，反对未经验证的访问。在cisco 实施中，RADIUS客户端运行在cisco路由 器上上，发送认证请求到中心RADIUS服务器，服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议，分布源码格式，这样，任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用，如TACACS+，Kerberos，以及本地用户名查找。CISCO所有的平台都支持RADIUS，但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。

华为思科设备RADIUS配置教程

1.RADIUS配置 RADIUS客户端配置： 思科设备例子： 交换机和路由器的配置： aaa new-model aaa authentication login auth group radius local //配置登陆认证的优先级radius-server host 139.123.252.245 auth-port 1812 acct-port 1813 //配置RADIUS服务器IP地址和端口。 radius-server host 139.123.252.244 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key ZDBF%51 //配置密码 line vty 0 4 login authentication auth 防火墙PIX的配置： aaa-server radius-authport 1812 aaa-server radius-acctport 1813 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server rsa_radius protocol radius aaa-server auth protocol radius aaa-server auth (inside) host 192.168.41.226 ZDBF%51 timeout 10 aaa-server LOCAL protocol tacacs+ aaa-server radius protocol radius aaa authentication telnet console auth 华为设备例子： VRP3.X版本的配置： radius scheme auth primary authentication 192.168.41.226 1812 //配置主用服务器IP地址和端口primary accounting 192.168.41.226 1813 secondary authentication 192.168.41.227 1812 //配置备用服务器IP地址和端口secondary accounting 192.168.41.227 1813 key authentication ZDBF%51 //配置密码 key accounting ZDBF%51

架设Radius服务器 802.1x

架设Radius服务器802.1X口令服务器1. 安装mysql 本人用的是光盘上的RPM包 rpm -ivh mysql-3.23.41.1.i386.rpm rpm -ivh mysql-devel-3.23.41.1.i386.rpm rpm -ivh mysql-server-3.23.41.1.i386.rpm rpm -ivh mysqlclient9-3.23.22-6.i386.rpm 启动mysql服务 service mysqld start 更改mysql的root密码（注意：mysql的root 和系统的root是2个不用的概念）mysql -uroot -p 创建radius数据库 creat database radius; use mysql; update 允许远程机器连接 update user set host='%' where user='root'; 退出及重新启动mysql quit service mysqld restart 2. 安装openSSL

本人也是用的光盘上的RPM包 rpm -ivh openssl095a-0.9.5a-11.i386.rpm rpm -ivh openssl096-0.9.6-6.i386.rpm 3. 安装freeradius 从https://www.sodocs.net/doc/059001314.html,上下载freeraidus,本文版本是0.8.1 编译和安装 tar xvfz freeradius.tar.gz cd xvfz freeradius-0.8.1 注：如果mysql不是安装在/usr/local/目录下需要做个连接：ln -s /PATH/mysql/ /usr/local/mysql ./configure make make install 建立mysql的数据库radius的表 cd src/modules/rlm_sql/drivers/rlm_sql_mysql mysql -uroot -p密码radius

手把手教您建立免费的RADIUS认证服务器

https://www.sodocs.net/doc/059001314.html, 2007年08月13日 11:07 ChinaByte RADIUS认证服务器(Remote Authentication Dial In User Service，远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting，即认证、授权、计费)。AAA协议的典型操作是验证用户名和密码是否合法(认证)，分配IP 地址(授权)，登记上线/下线时间(计费)，电信业窄带/宽带拨号都使用大型RADIUS认证服务器。而随着网络安全需求提高，中小企业的局域网集中用户认证，特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。这些用户不需要使用昂贵的专业系统，采用PC服务器和Linux系统的Freeradius+MySQL可靠地实现。本文着重介绍RADIUS 系统在VPDN拨号二次认证中的应用。 Freeradius的安装 笔者采用FC4 for x86_64系统上的freeradius-1.1.2，在中档PC服务器上运行，系统运行稳定可靠。Linux FC4自带Freeradius和MySQL，不过实测不理想。FC4 MySQL对中文支持不好，而freeradius则仅支持其自带MySQL。所以，在编译MySQL时要加入选项“--with-charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“—with-snmp=no”，因为与库文件snmp相关的库对64位支持有问题，最新的FC7也许没有这些问题。Freeradius提供了MySQL建库脚本——db-MySQL.sql，不过建nas库有1个语法错误，将“id int(10) DEFAULT ‘0’;” 中的“DEFAULT ‘0’”去掉即可正常建立Radius库。 Freeradius的设置 简单少数用户可使用Freeradius缺省的users文件配置用户，根据文件制定的规则和用户工作。安装完毕后启动Radius服务：/usr/loca l/sbin/radiusd –X。本机运行radtest test test localhost 0 testing123发认证 请求，得到回应表示Radius服务器工作正常。 Radius服务器缺省使用/usr/local/etc/raddb/users文件工件认证，简单易行，但仅适用于少数用户。如果管理几十个或更多用户，应使用数据库，对于少于一万用户而言，MySQL 是合适选择。 MySQL认证的设置 在配置文件radiusd.conf中，在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置MySQL的连接信息，用户/密码和地址，本机用localhost即可。还需要在users中对DEFAULT用户做如下设置：Auth-Type = Local，Fall-Through = 1。这 样，才可正确使用MySQL进行认证。

H3C AAA认证配置

A A A典型配置举例用户的RADIUS认证和授权配置 1.组网需求 如所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 由一台iMC服务器（IP地址为）担当认证/授权RADIUS服务器的职责； Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813； Router向RADIUS服务器发送的用户名携带域名； SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。 2.组网图 图1-12SSH用户RADIUS认证/授权配置组网图 3.配置步骤 (1)配置RADIUS服务器（iMC PLAT ） 下面以iMC为例（使用iMC版本为：iMC PLAT (E0101)、iMC UAM (E0101)），说明RADIUS 服务器的基本配置。 #增加接入设备。 登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。 设置与Router交互报文时使用的认证、计费共享密钥为“expert”； 设置认证及计费的端口号分别为“1812”和“1813”； 选择业务类型为“设备管理业务”； 选择接入设备类型为“H3C”； 选择或手工增加接入设备，添加IP地址为的接入设备； 其它参数采用缺省值，并单击<确定>按钮完成操作。 添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。 若设备使用缺省的发送RADIUS报文的源地址，例如，本例中为接口 GigabitEthernet1/0/2的IP地址，则此处接入设备IP地址就选择。 图1-13增加接入设备 #增加设备管理用户。 选择“用户”页签，单击导航树中的[接入用户视图/设备管理用户]菜单项，进入设备管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理用户页面。 输入用户名“hello@bbb”和密码； 选择服务类型为“SSH”； 添加所管理设备的IP地址，IP地址范围为“～”； 单击<确定>按钮完成操作。

浅谈Radius服务器的功能原理及交互过程

浅谈Radius服务器的功能原理及交互过程 RADIUS是一个英文缩写，其具体含义是Remote Authentication Dial In User Service，中文意思是“远端用户拨入验证服务”，是一个AAA协议，即集authentication（认证）、authorization（授权）、accounting（计费）三种服务于一体的一种网络传输协议。文章将从Radius服务器的功能原理及交互过程对其进行介绍。 标签：协议；UDP；NAS；客户端 Radius是一种C/S结构的可扩展协议，它是以Attribute-Length-Value向量进行工作的，其协议认证机制也非常灵活，当用户提供用户名和原始密码时，Radius 可支持点对点协议PPP、密码认证协议PAP、提问握手认证协议CHAP及其他认证机制。NAS设备可以是它的客户端，任何运行该软件的计算机都可以成为Radius的客户端。目前，该服务器应用于各类宽带上网业务。 1 Radius服务器的功能原理 （1）宽带用户拨号上网时接入NAS，NAS设备使用“访问请求”数据包向Radius服务器提交用户的请求信息，该信息包括用户名、密码等。用户的密码会经过MD5加密，双方会使用不会通过网络进行传播的“共享密钥”。同时，Radius 服务器会对用户名和密码的合法性进行检验，提出质疑时，就会要求进一步对用户、对NAS设备进行验证。如果验证不通过，就会返回“拒绝访问”的数据包，以此来拒绝用户的访问；验证合法，就会给NAS设备返回“接受访问”的数据包，即用户通过了认证。允许访问时，NAS设备会向Radius服务器提出“计费请求”，Radius服务器响应“接受计费”的请求，开始对用户计费，用户从此刻开始了上网。 （2）“重传机制”是Radius协议的特色功能之一。一般情况下，Radius服务器分为主备用设备，这项功能是为NAS设备向主用Radius服务器提交请求却没有收到返回信息时而准备的，备用的Radius服务器会进行重传，如果备用Radius 服务器的密钥和主用Radius服务器的密钥不相同时，是需要重新进行认证的。NAS设备进行重传的时候，对于有多个备用Radius服务器的网络，一般采用轮询的方法。 （3）NAS设备和Radius服务器之间的通信协议是“UDP协议”，Radius服务器有1812和1813端口，其中1812端口是认证端口，1813端口是计费端口。因为NAS设备和Radius服务器大多数是在同一个局域网中，采用UDP协议进行通信则更加快捷方便，而且无连接的UDP协议会减轻Radius服务器的压力，增加安全性。 （4）漫游和代理也是Radius服务器的功能之一。“漫游”功能是代理的一个具体实现，作为Radius服务器的代理，负责转发Radius认证和计费的数据包，这样用户可以通过本来和其无关的Radius服务器进行认证，即用户可以在非归

Radius认证服务器的配置与应用讲解

IEEE 802.1x协议 IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。IEEE 802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。 IEEE 802. 1x协议采用现有的可扩展认证协议（Extensible Authentication Protocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持IEEE 802.1x协议。 RADIUS服务器 RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了 3A功能。其中审计也称为“记账”或“计费”。 RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。 基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。 认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认

802.1x服务器认证

实验十一 802.1x+Radius服务器认证配置 1. 组网图 2. 配置步骤 IP地址分配表： 路由器RTA RTB S0 E0 10.2.1.1/24 4. 实验步骤： 1.在系统视图下开启80 2.1X功能，默认为基于MAC的方式 [SwitchA]dot1x 2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x inter fac e后面不加具体的端口，就是指所有 的端口都开启802.1X [SwitchA]dot1x interface eth 0/1 to eth 0/10(另一台服务器网线插在10端口范围以外) PC PCA PCB IP地址10.2.1.88/24 10.2.1..89/24 网关

3.设置认证方式为r adius，r adius认证不成功取本地认证 [SwitchA]radius scheme radius1 4.设置主认证服务器 [SwitchA-radius-radius1]primary authentication 10.2.1.89 [SwitchA-radius-radius1]primary authorization 10.2.1.89 5.设置主计费服务器 [SwitchA-radius-radius1]primary accounting 10.2.1.89 6.设置交换机与认证服务器的密钥，二者应保持一致 [SwitchA-radius-radius1]key authentication expert [SwitchA-radius-radius1] key authorization expert 7.设置交换机与计费服务器的密钥，二者应保持一致 [SwitchA-radius-radius1]key accounting expert 8.交换机送给radius的报文不带域名 [SwitchA-radius-radius1]user-name-format without-domain 9.这里用户认证采用自建域huawei [SwitchA]domain ccitsoft 10.在域中引用认证方案radius1 [SwitchA-isp-ccitsofti]radius-scheme radius1 配置vlan [SwitchA] vlan 2 [Switch-vlan2]port e1/0/1 to 1/0/20(port e1/0/1 to 1/0/24) [SwitchA]interface vlan2 Ip address 10.2.1.1 255.255.255.0