radius服务器与SQL连接配置
Steel-Belted Radius 是一款多功能的Radius服务器,可以实现认证、计费等功能;它也可以和多种数据库相连接,实现其功能。我们就来看一下Steel-Belted Radius 和SQL Server连接的配置:
说明:本文采用的Steel-Belted Radius版本为5.02.1335,SQL Server版本为SQL Server 2000 简体中文版。
一、建立系统DSN;
使用ODBC 数据源管理器建立连接SQL Server 的系统DSN,命名为LocalServer;
按以下八步建立一个系统DSN:
(1) 打开“控制面板”中的“管理工具”,在数据源(ODBC)项目上双击。
(2) 系统弹出“ODBC数据源管理器”对话框,单击“系统DSN”标签打开“系统DSN”选项卡。
(3) 单击“添加”按钮,系统弹出“创建新数据源”对话框,选择“SQL Server”选项,然后单击“完成”按钮。
(4) 系统弹出“创建到SQL Server的新数据源”对话框,输入系统DSN的名称并指定SQL Server所在的服务器,然后单击“下一步”按钮。
(5) 系统进入数据库的安全设置步骤。在这里可选择SQL Server验证登录ID的方式。选中“使用用户输入登录ID和密码的SQL Server验证”单选按钮,然后选中“连接SQL Server以获得其它配置选项的默认设置”复选框,再在“登录ID”和“密码”文本框中输入对在上一操作步骤中指定数据库有存取权限的SQL Server帐号sa和密码sa,单击“下一步”按钮。
(6) 系统进入选择要连接的数据库步骤。选中“更改默认的数据库为”复选框,然后从下面的下拉列表中选择要连接数据库名称。
(7) 单击“下一步”按钮进入下一步骤,一般来说,不用更改其中的信息。然后单击“完成”按钮。系统将弹出“ODBC Microsoft SQL Server安装”对话框。
(8) 单击“测试数据源”按钮,如果系统提示测试成功,则表示DSN设置正确。单击“确定”按钮,可完成系统DSN的建立。
二、配置Sqlauth.aut 实现认证功能
Steel-Belted Radius 默认并不支持SQL Server 连接,需要我们进行相应的设置,大部分都是在Sqlauth.aut中完成。以下是一个已完成的Sqlauth.aut
[Bootstrap]
LibraryName=sqlauth.dll
Enable=1
InitializationString=SQL Server
[Settings]
Connect=DSN=LocalServer;UID=sa;PWD=123456
SQL=SELECT Password,Profile FROM userlist WHERE UserName = %name and Enable = 1 ParameterMarker=?
MaxConcurrent=30
ConcurrentTimeout=30
ConnectTimeout=25
QueryTimeout=25
WaitReconnect=2
MaxWaitReconnect=360
PasswordFormat = 0
DefaultResults = 0
[FailedSuccessResultAttributes]
at Reply-Message ='Please re-enter your password dot '
at Filter-Id ='3'
[Server]
;s1=2
;s2=2
;[Server/s1]
;Connect=DSN=
;[Server/s2]
;Connect=DSN=
[Results]
Password=1
Profile=2
;UserName=3/40s
;Alias=2/48
[Failure]
Accept=1
Profile=xyz
FullName=Remote User
各字段含义如下:
Enable :是否启用SQL Server ;1为是0为否;
InitializationString:SQL Server 连接的名称,值随意;
Connect:数据库连接设置DSN为我们为我们第一步建立的系统DSN名称;UID和PWD 为数据库连接的用户名和密码;
SQL:数据库查询语句,我们的用户认证就靠它了,其中%name为用户输入的用户名(用户输入的密码为%Password)。如果这条查询语句有值返回,则用户验证成功,否则验证失败,所以我们就可以构建查询语句来实现用户验证,例如我就增加了一个Enable字段来控制用户验证。
PasswordFormat:密码类型0为自适应;
配置好Sqlauth dot.aut,然后重启Steel-Belted Radius;启动好后,用admin 连接到服务器,如果你在server的status中看到SQL connection established ,恭喜你,你的Steel-Belted Radius 已经和SQL Server 连接成功了,如果有问题的话,可以在Steel-Belted Radius安装目录的Service文件夹中查看日志文件,其中记录了连接失败的原因,日志文件是以年月日命名的。
三、配置Sqlacct.acc 实现用户记帐
[Bootstrap]
LibraryName=sqlacct.dll
Enable=1
InitializationString=SQLAcc
[Settings]
Connect=DSN=LocalServer;UID=sa;PWD=123456
ParameterMarker=?
MaxConcurrent=20
ConcurrentTimeout=30
ConnectTimeout=25
QueryTimeout=25
WaitReconnect=2
MaxWaitReconnect=360
;LogLevel=2
;[Server]
;s1=2
;s2=2
;This achieves 50/50 duty
;[Server/s1]
;Connect=DSN=
;[Server/s2]
;Connect=DSN=
[Type]
1=User
2=User
3=User
;Packets of type 1,2, and 3 will be accounted as below
[Type/User]
SQL=INSERT INTO accounting (TransTime, FullName, Authenticator, NASName, NASAddress, Type, PacketsIn, PacketsOut) \
V ALUES
(%TransactionTime, %FullName/40s, %AuthType/40s, %NASName/40s, %NASAddress, %Type, at Acct-Input-Packets/n, @Acct-Output-Packets/n)
Sqlacct dot acc中大部分配置和前面的Sqlauth.aut 相同,记帐功能同样也是靠SQL语句完成的,其中各个变量及其含义可以查看account.ini和RFC2866 RADIUS 记帐协议。
通过对以上文件的配置,我们可以实现简单的用户认证记帐,各位网友也可以对其修改,实现其他各种功能
附:各字段的数据类型
/xs A text string of length x.
/s indicates a string with the default length of 256
/xb A binary data string of length x. A binary string is different from
an text string in that it is not NULL-terminated and is not
restricted to ASCII characters.
/b indicates a binary data string with the default length of 256.
/n 32-bit integer
/n8 8-bit integer
/n16 16-bit integer
/n32 32-bit integer (same as /n)
/t Timestamp[/size]
radius认证服务器配置
基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器:如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功
湖南广电7750SR-BRAS功能测试手册-xiaohe
1 测试环境 1.1 设备信息 上海贝尔7750SR 6.1R6 凌亚科技RADIUS Server V1.3 1.2 链路信息
2 测试案例 2.1 用户正常拨号 测试步骤: 1. 用户通过测试机器PPPOE拨号。 2.BAS向RADIUS Server发起认证请求,RADIUS Server响应认证请求报文。 3.BAS向用户授权,并向RADIUS Server 发起计费开始报文。(1)Local-DCHP配置 //配置router Interface router interface "dhcp" address 220.249.143.206/32 loopback local-dhcp-server "server-1" //配置dhcp 地址池 router dhcp local-dhcp-server "server-1" create use-gi-address pool "pool-2" create options dns-server 58.20.127.170 exit subnet 10.240.5.0/24 create address-range 10.240.5.10 10.240.5.100 exit exit no shutdown exit
exit exit (2)Radius配置 //配置router Interface interface "to-radius" address 192.168.0.34/30 port 1/2/2 exit //配置认证模板 subscriber-mgmt authentication-policy "knock-door" create description "RADIUS policy" //配置radius server属性,IP及Key radius-authentication-server source-address 192.168.0.34 server 1 address 172.16.1.2 secret "/ND.T9I/ID3lmtEMVxSCuE" hash2 exit exit exit //配置PPPoE报文属性,报文公共及扩展属性 user-name-format circuit-id accept-authorization-change pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id nas-identifier pppoe-service-name mac-address exit exit 报文属性可参考数据字典: //配置account server属性,IP及Key
RADIUS服务器进行MAC验证
RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网 一、实验目的:通过Radius服务器的mac验证和路由器上的 nat配置,使得在局域网内的无线设备可以上网。 二、实验拓扑图: 三、使用的设备列表: S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置:
步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网
无线测试方案
WLAN系统测试方案 深信服科技 2014年7月
目录 一、概述 (5) 二、测试环境 (5) 2.1设备信息 (5) 2.2测试要求 (5) 2.4测试组网 (5) 三、测试内容 (6) 3.1基础性能 (6) 3.2认证与加密 (6) 3.3授权管理 (7) 3.4终端漫游 (7) 3.5应用识别 (7) 测试用例 (7) 4.1基础性能测试 (7) 1、AP吞吐量测试 (7) 2、AP零配置 (8) 3、丢包率 (9)
4、并发用户接入 (10) 4.2身份认证 (10) 1、本地认证 (10) 2、外部服务器认证 (11) 3、短信认证 (12) 4、二维码认证 (13) 5、微信认证 (13) 6、内置CA证书认证 (14) 7、802.1X 认证自动配置 (14) 4.3授权管理 (14) 1、不同角色策略控制 (14) 2、不同用户的访问控制策略 (15) 4.4、漫游 (16) 漫游功能测试 (16) 4.5应用识别 (17) 应用识别测试 (17) 四、测试结果: (18)
一、概述 本方案规定了WLAN接入设备的测试项目、测试要求、测试范围和测试内容等,提出了WLAN接入设备的功能、安全、性能、管理和维护等的测试要求。 二、测试环境 2.1设备信息 2.2测试要求 1、所有产品必须在同一测试环境条件下进行,以实际环境为标准。 2、所测试主要产品WAC和AP必须是各厂商相近档次设备。 3、测试位置:仟吉办公大楼现场,WAC及AP的安装位置均相同。 2.4测试组网 1、要求 (1)AP测试时放置位置有较大空间(两个AP距离为15米或以上); (2)AC能接通模拟测试服务器(如AD域服务器)或其它模拟测试设备,并提供正常网络连接; (3)测试点时需经过玻璃墙、砖墙等环境,以实际环境为准。
Windows2003 Radius服务器搭建
Windows2003 Radius服务器搭建 1 目的 为测试提供指导,加快测试效率,并为WLAN产品积累相应的测试案例。 2 范围 1)适用于802.1x Radius测试。 4 术语和定义 AP Access Point,接入点 AC Access Controller,接入控制器 WLAN Wireless Local Access Network,无线局域网 VLAN Virtual Local Area Network,虚拟局域网
5 windows2003 Radius服务器安装步骤 5.1 IIS安装 在【控制面板->添加或删除程序->添加/删除Windows组件->应用程序服务器】中勾选“https://www.sodocs.net/doc/961610519.html,”,“Internet信息服务(IIS)”,“启用网络COM+访问”。点击<确定>,插入Windows2003安装盘,点击<下一步>,完成IIS安装。 图5-1 IIS安装选项 5.2 IAS(Internet验证服务)安装 在【控制面板->添加或删除程序->添加/删除Windows组件->网络服务】中勾选“Internet 验证服务”,“域名系统(DNS)”。点击<确定>,插入Windows2003安装盘,点击<下一步>,完成IAS安装。 图5-2 IAS安装选项 5.3 Active Directory安装 1、在运行栏输入“dcpromo”,进入AD安装向导。 图5-3 输入运行命令
2、在安装向导页面点击<下一步>。 图5-4 开始安装向导3、点击<下一步>,继续安装。 图5-5 操作系统兼容性信息4、选择<新域的域控制器>,点击<下一步>。 图5-6 域控制类型 5、选择<在新林中的域>,点击<下一步>。
搭建radius服务器(全)
802.1X认证完整配置过程说明 802.1x认证的网络拓布结构如下图: 认证架构 1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。 2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制
通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。 3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。 4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。 我们的认证客户端采用无线客户端,无线接入点是用TP-LINK,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。 配置如下: 配置RADIUS server步骤: 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构; 在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序反了,证书服务中的企业根证书服务则不能选择安装; 一:安装AD,IIS 安装见附件《AD安装图文教程》 二:安装IAS 1、添加删除程序—》添加删除windows组件
《网站编程技术》上机实验指导书
南阳理工学院 《网站编程技术》上机实验指导书 (2013版) 软件学院·网络工程教研室 2013.03
目录 实验1 PHP基础 (1) 实验2 PHP表达式 (3) 实验3 PHP流程控制 (5) 实验4 PHP数组 (9) 实验5 PHP数据采集 (11) 实验6 PHP函数 (15) 实验7基于Mysql的PHP管理系统数据库 (17) 实验8 PHP会话控制 (21) 实验9 字符串处理 (25) 实验10 PHP综合应用 (28)
实验1 PHP基础 实验实验目的和要求: 1.掌握WAMP或LAMP等PHP环境的部署; 2.掌握最基本的PHP程序的结构; 3.掌握基本的输出语句以及PHP代码和HTML代码的混合编写。 实验内容: 1、下载并安装WampServer,构建PHP运行环境; 2、构建PHP开发环境,编写并运行一个PHP程序,最终在屏幕上显示“hello world”以及服务器的系统时钟。要求,为程序的每一行都加上必要的注释说明。 3、编写register.html,此页面包含一个简单的表单,用户可以输入用户名、密码、确认密码等信息并可以提交表单。(选作) 4、编写register.php,用来处理register.html中用户提交的数据,把用户输入的信息输出到网页中。(选作) 实验预作记录: 1、下载并安装wampserver软件 2、配置php的时区,在php.ini文件中时区配置为date.timezone=Asia/ShangHai,然后重新启动所有的服务。 3、在WWW目录中新建一个目录1,在目录1中新建一个文件名为helloword.php 的php文件。注意PHP程序的输写方法,开头需要是<?php ,结束是?>。 4、在屏幕上输出hello world !,在helloworld文件中写的php语句,对这个语句进行注释。 #在浏览器上显示服务器的系统时钟 echo date("Y年m月d日H时i分s秒"); 5、在文件中写php语句将服务器的时钟显示在屏幕上,对这个语句进行注释。#在浏览器上显示服务器的系统时钟 echo date("Y年m月d日H时i分s秒"); 6、在浏览器中输入http://localhost进行测试,正常情况下网页中应该出现“helloworld”等内容。
配置采用RADIUS协议进行认证
配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下: ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例,需要准备如下数据: ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明: 以下配置均在RouterB上进行。 操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。
RADIUS(Remote Authentication Dial In User Service)简介及Lunix平台下构建RADIUS服务器设置步骤
RADIUS(Remote Authentication Dial In User Service)简介及Lunix平台下构建RADIUS服务器设置步骤 RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统,由RFC2865,RFC2866定义,是目前应用最广泛的AAA(AAA=authentication、Authorization、Accounting,即认证、授权、计费)协议。 RADIUS协议最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。创立于1966年Merit Network, Inc.是密执安大学的一家非营利公司,其业务是运行维护该校的网络互联MichNet。1987年,Merit在美国NSF(国家科学基金会)的招标中胜出,赢得了NSFnet (即Internet前身)的运营合同。因为NSFnet是基于IP的网络,而MichNet却基于专有网络协议,Merit面对着如何将MichNet的专有网络协议演变为IP协议,同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年,Merit决定招标拨号服务器供应商,几个月后,一家叫Livingston的公司提出了建议,冠名为RADIUS,并为此获得了合同。 1992年秋天,IETF的NASREQ工作组成立,随之提交了RADIUS 作为草案。很快,RADIUS成为事实上的网络接入标准,几乎所有的
网络接入服务器厂商均实现了该协议。 1997年,RADIUS RFC2039发表,随后是RFC2138,最新的RADIUS RFC2865发表于2000年6月。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 RADIUS的基本工作原理:用户接入NAS(Network Access Server),NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS 服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
华为交换机802.1X配置
1 功能需求及组网说明 『配置环境参数』 1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/24 2. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/24 3. 交换机vlan100包含端口G1/1接口地址192.168.0.1/24 4. RADIUS server地址为192.168.0.100/24 5. 本例中交换机为三层交换机 『组网需求』 1. PC1和PC2能够通过交换机本地认证上网 2. PC1和PC2能够通过RADIUS认证上网 2 数据配置步骤 『802.1X本地认证流程』 用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。 【SwitchA相关配置】 1. 创建(进入)vlan10 [SwitchA]vlan 10 2. 将E0/1-E0/10加入到vlan10 [SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10 3. 创建(进入)vlan10的虚接口 [SwitchA]interface Vlan-interface 10 4. 给vlan10的虚接口配置IP地址 [SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0 5. 创建(进入)vlan20 [SwitchA-vlan10]vlan 20 6. 将E0/11-E0/20加入到vlan20 [SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
Radius与IAS的运作流程
Radius与IAS的运作流程 Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行;或是转给Radius代理服务器,然后再由它转给另外一台Radius服务器。 您可以利用Windows Server 2003内的IAS,来架设Radius服务器或是Radius 代理服务器。 IAS可以让Windows Server 2003扮演Radius服务器,而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。 IAS服务器扮演Radius服务器的角色,它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。其运作流程如下: 1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自 客户端的连接请求。 2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记 帐的工作。 3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确,并且 利用用户的帐户设置与远程访问策略内的设置,来决定用户是否有 权限来连接。 4、若用户有权限来连接,它会通知存取服务器,再由存取服务器让客 户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将 此次的连接请求记录下来。 IAS RADIUS服务器在检查用户身份与帐户设置时,它可以从以下所列的用户帐户数据库中得到这些信息: IAS RADIUS服务器的本机安全性,也就是SAM Windows nt 4 的域用户帐户数据库 Active Directory数据库 后两者要求IAS RADIUS服务器必须是域的成员,此时它所读取的帐户可以是所属域内的帐户,或是有双向信任关系的其它域内的帐户。 若未将验证、授权与记帐的工作转给RADIUS服务器,则每一台远程访问服务器或VPN服务器必须自己运行这些工作,因此每一台远程访问服务器或VPN服务器都需要有自己的远程访问策略与远程访问记录文件,如此将增加维护这些信息的负担。 在将验证、授权与记帐的工作转给RADIUS服务器后,您只需要维护位于RADIUS服务器内的远程访问策略与远程访问记录文件即可,此时的远程访问服务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。 安装IAS服务器 控制面板---添加/删除windows组件---网络服务---Internet验证服务让IAS服务器读取Active Directory内的用户帐户 如果用户是利用Active Directory内的用户帐户来连接,则IAS服务器必须向DC 询问用户帐户的信息,才能够决定用户是否有权限连接,不过您必须事先将IAS 服务器注册到Active Directory内。请先到IAS服务器上,利用具有域系统管理员身份的帐户来登录,然后选择以下几种注册方法之一: 利用“Internet验证服务”主控制窗口
测试RADIUS服务器
测试RADIUS服务器 作者:david来源:cnw https://www.sodocs.net/doc/961610519.html, 2004-08-27 11:09:09 过去RADIUS更多地用在远程拨号接入这样的领域,但是在未来的企业网络中,RADIUS将更多被使用在以太网接入、无线局域网接入等领域。选择好的RADIUS将变得更重要。 美国的一家实验室决定评估企业RADIUS服务器,要求参评的产品不仅支持Microsoft Active Directory和RSA Security SecureID,而且还可以连接多种客户机,即NAS(网络接入服务器)设备,如拨号服务器、VPN集中器、WLAN接入点和防火墙。Cisco、Funk Software、IEA Software、Interlink Networks和Lucent的产品参加了这个测试。 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时,遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。从测试的情况看,所有的产品都符合RADIUS规范和EAP(扩展认证协议)定义。不过,为了发现所支持的认证机制和后端认证存储的种类,测试者进行了更深入的研究。在互操作性方面,他们测试了这些服务器与多种RADIUS 客户机(包括接入点、VPN和拨号服务器)一起工作时的情况。他们根据创建用户和工作组配置文件的难易程度以及配置用户专有属性的灵活性,对参评产品的配置管理评分。安全性也是关注的重点。测
试者希望了解服务器在和NAS设备通信的过程中是如何保证安全和完整性的。 另外RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。为此测试者评估了能够通过RADIUS服务器执行的不同规则,特别将重点放在按用户、用户组或角色实施的时段限制上。测试者还留意了产品是否支持强制时间配额。这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。 大多数参测的RADIUS服务器都通过ODBC或JDBC,利用SQL Server 数据库保存和访问用户配置文件。数据库集成对于处理大量为账户和事件日志采集的数据至关重要。假如网络管理员不能分析和报告数据的话,这些数据没有任何意义,为此他们测试了用于显示信息、显示信息的动态性以及利用信息可执行什么任务的工具。 除了上述基本特性外,测试者还对RADIUS服务器的功能进行了测试。他们测评了服务器主动与网络管理系统合作的情况。例如,他们评估了实现电子邮件报警的复杂性。实现电子邮件报警在Cisco和IEA Software的服务器中十分流畅,但在一些其他设备上就没有那么轻松。测试者还评估了证书请求工具。请求工具可将签名的证书授予发出请求的RADIUS服务器。具有VoIP账户功能的产品很少,只有Cisco和IEA Software的产品才提供。
实验一 熟悉Visual Studio开发环境
本科实验报告 课程名称:C++面向对象程序设计 实验项目: 实验地点:明向校区 专业班级:软件1419学号:2014006061 学生姓名:刘国鑫 指导教师:王丽娟 2015年5月10日
cout<<"请输入长方形的边长:"< cout<<"circle area="< RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco 路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。 cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。 CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。 在以下安全访问环境需要使用RADIUS: +当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多 个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。 +当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS 被用在Enigma安全卡来验证用户和准予网络资源使用权限。 +当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的 第一步。 +当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。 例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。 +当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS 认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使 用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。+当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。RADIUS不适合以下网络安全情形: ~多协议访问环境,Radius不支持以下协议: *AppleTalk Remote Access (ARA)苹果远程访问。 浅谈Radius服务器的功能原理及交互过程 RADIUS是一个英文缩写,其具体含义是Remote Authentication Dial In User Service,中文意思是“远端用户拨入验证服务”,是一个AAA协议,即集authentication(认证)、authorization(授权)、accounting(计费)三种服务于一体的一种网络传输协议。文章将从Radius服务器的功能原理及交互过程对其进行介绍。 标签:协议;UDP;NAS;客户端 Radius是一种C/S结构的可扩展协议,它是以Attribute-Length-Value向量进行工作的,其协议认证机制也非常灵活,当用户提供用户名和原始密码时,Radius 可支持点对点协议PPP、密码认证协议PAP、提问握手认证协议CHAP及其他认证机制。NAS设备可以是它的客户端,任何运行该软件的计算机都可以成为Radius的客户端。目前,该服务器应用于各类宽带上网业务。 1 Radius服务器的功能原理 (1)宽带用户拨号上网时接入NAS,NAS设备使用“访问请求”数据包向Radius服务器提交用户的请求信息,该信息包括用户名、密码等。用户的密码会经过MD5加密,双方会使用不会通过网络进行传播的“共享密钥”。同时,Radius 服务器会对用户名和密码的合法性进行检验,提出质疑时,就会要求进一步对用户、对NAS设备进行验证。如果验证不通过,就会返回“拒绝访问”的数据包,以此来拒绝用户的访问;验证合法,就会给NAS设备返回“接受访问”的数据包,即用户通过了认证。允许访问时,NAS设备会向Radius服务器提出“计费请求”,Radius服务器响应“接受计费”的请求,开始对用户计费,用户从此刻开始了上网。 (2)“重传机制”是Radius协议的特色功能之一。一般情况下,Radius服务器分为主备用设备,这项功能是为NAS设备向主用Radius服务器提交请求却没有收到返回信息时而准备的,备用的Radius服务器会进行重传,如果备用Radius 服务器的密钥和主用Radius服务器的密钥不相同时,是需要重新进行认证的。NAS设备进行重传的时候,对于有多个备用Radius服务器的网络,一般采用轮询的方法。 (3)NAS设备和Radius服务器之间的通信协议是“UDP协议”,Radius服务器有1812和1813端口,其中1812端口是认证端口,1813端口是计费端口。因为NAS设备和Radius服务器大多数是在同一个局域网中,采用UDP协议进行通信则更加快捷方便,而且无连接的UDP协议会减轻Radius服务器的压力,增加安全性。 (4)漫游和代理也是Radius服务器的功能之一。“漫游”功能是代理的一个具体实现,作为Radius服务器的代理,负责转发Radius认证和计费的数据包,这样用户可以通过本来和其无关的Radius服务器进行认证,即用户可以在非归 1.RADIUS配置 RADIUS客户端配置: 思科设备例子: 交换机和路由器的配置: aaa new-model aaa authentication login auth group radius local //配置登陆认证的优先级radius-server host 139.123.252.245 auth-port 1812 acct-port 1813 //配置RADIUS服务器IP地址和端口。 radius-server host 139.123.252.244 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key ZDBF%51 //配置密码 line vty 0 4 login authentication auth 防火墙PIX的配置: aaa-server radius-authport 1812 aaa-server radius-acctport 1813 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server rsa_radius protocol radius aaa-server auth protocol radius aaa-server auth (inside) host 192.168.41.226 ZDBF%51 timeout 10 aaa-server LOCAL protocol tacacs+ aaa-server radius protocol radius aaa authentication telnet console auth 华为设备例子: VRP3.X版本的配置: radius scheme auth primary authentication 192.168.41.226 1812 //配置主用服务器IP地址和端口primary accounting 192.168.41.226 1813 secondary authentication 192.168.41.227 1812 //配置备用服务器IP地址和端口secondary accounting 192.168.41.227 1813 key authentication ZDBF%51 //配置密码 key accounting ZDBF%51 Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco 实施中,RADIUS客户端运行在cisco路由 器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。Cisco RADIUS认证系统
浅谈Radius服务器的功能原理及交互过程
华为思科设备RADIUS配置教程
Radius工作原理与Radius认证服务
相关文档
- 搭建radius服务器(全)
- Windows server 2008 AD + RADIUS + 802.1X认证配置
- Windows server 2008 AD + RADIUS + 802.1X认证配置
- 配置Radius认证服务器方法
- CentOS下搭建radius服务器进行EAP认证
- H3C-RADIUS配置
- Radius工作原理与Radius认证服务
- RADIUS服务器配置
- Radius认证服务器交换机PC的配置与应用
- 通过RADIUS服务器和无线控制器配置基于用户的ACL
- 配置采用RADIUS协议进行认证
- Radius认证服务器的配置与应用讲解
- Radius认证服务器的配置与应用
- Windows 2008 Server搭建Radius服务器的方法
- Radius认证服务器的配置与应用(802.1x)
- ssh登录使用radius服务器认证配置方法
- 802.1x服务器认证
- TP-Link无线路由器+Radius认证服务器实现无线终端802.1X认证
- HCA认证配置
- radius认证服务器配置