站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

AAA Authentication with FreeRADIUS

前言

本篇實作為設定 Extreme Summit x450a-24T Switch 為 RADIUS Client 而 FreeBSD 安裝 FreeRADIUS 成為 RADIUS Server 來進行 AAA(Authentication, Authorization, Accounting) 協議。

實作環境

安裝及設定

RADIUS Server 設定 (FreeRADIUS)

步驟1.安裝 freeradius 套件

切換至 Ports Tree 路徑安裝 freeradius 套件

 #cd  /usr/ports/net/freeradius                //切換到安裝路徑
 #make install clean                           //安裝套件並清除安裝過程中產生不必要檔案

步驟2.設定認證客戶端設定檔 (clients.conf)

此設定檔內容為允許連接至此 RADIUS Server 的 RADIUS Client IP 網段,若未在此設定檔中設定允許的 IP 網段即視為非法客戶端 (RADIUS Client) 即使共用密碼 (Secret Key) 正確也不提供服務。

 #vi /usr/local/etc/raddb/clients.conf
 client 192.168.1.0/24 {                       //允許的 RADIUS Client IP 網段
        secret          = weithenn789          //共用密碼 (Secret Key)
        shortname       = extreme-x450         //識別名稱
 }

步驟3.設定帳號及處理方式設定檔 (users)

此設定檔內容為設定帳號的認證及處理方式,下列設定檔內容為認證方式採用 users 設定檔中的帳號設定此例帳號為 weithenn 密碼為 weithenn123,而 Service-Type == Administrative-User 為 telnet 至 Extreme Switch 後為 Privilege Level(#) 否則登入後為 User Level(>) 至於 Reply-Message 則是驗證成功後回傳的訊息。

 #vi /usr/local/etc/raddb/users
 "weithenn"            User-Password == "weithenn123"                 //密碼
                       Service-Type == Administrative-User,           //加上這行才會是 Privilege Level(#) 否則只會是 User Level(>)
                       Reply-Message = "Radius Login Success --- %u"  //驗證成功後回傳的訊息

步驟4.修改/etc/rc.conf

修改 /etc/rc.conf 中加入下列的設定以便在系統重新開機時時會啟動 FreeRADIUS 服務

 #vi /etc/rc.conf
 radiusd_enable="YES"

步驟5.啟動 FreeRADIUS 服務

鍵入下列指令來啟動 FreeRADIUS 服務

 #/usr/local/etc/rc.d/radiusd start
 Starting radiusd.
 Wed Apr 14 14:53:06 2010 : Info: Starting - reading configuration files ...

查看 FreeRADIUS 服務的 Listen Port 是否運作

 #sockstat |grep radius
 root     radiusd    96870 3  udp4   *:1812                *:*
 root     radiusd    96870 4  udp4   *:1813                *:*

查看 RADIUS Log 內容了解服務狀態

 #tail /var/log/radius.log
 Wed Apr 14 15:45:54 2010 : Info: Using deprecated naslist file.  Support for this will go away soon.
 Wed Apr 14 15:45:54 2010 : Info: Ready to process requests.

步驟6.測試 RADIUS 驗證

輸入下列指令來測試 RADIUS 驗證功能是否正常,下列測試帳號為 weithenn 密碼 weithenn123 而 RADIUS Server IP 為 192.168.1.20 共用密碼 (Secret Key) 為 weithenn789,當 RADIUS 驗證成功後會出現 Access-Accept 字眼及剛才設定的回應訊息,若出現 Access-Reject 則為驗證失敗。

 #radtest weithenn weithenn123 192.168.1.20 0 weithenn789
 Sending Access-Request of id 78 to 192.168.1.20 port 1812
         User-Name = "weithenn"
         User-Password = "weithenn123"
         NAS-IP-Address = 255.255.255.255
         NAS-Port = 0
 rad_recv: Access-Accept packet from host 192.168.1.20:1812, id=78, length=56
         Service-Type = Administrative-User
         Reply-Message = "Radius Login Success --- weithenn"

RADIUS Client 設定 (Extreme x450a)

登入 Extreme x450a 後鍵入下列指令指定 RADIUS Server IP Address 及設備本身 IP Address 及共用密碼 (Secret Key) 為 weithenn789,最後啟用 Extreme RADIUS 功能即可。

 X450a-24x.1 #configure radius primary server 192.168.1.20 client-ip 192.168.1.10      //指定 RADIUS Server 及 Client IP Address
 X450a-24x.2 #configure radius primary shared-secret weithenn789                       //指定共用密碼 (Secret Key)
 X450a-24x.3 #enable radius mgmt-access                                                //啟用 Extreme RADIUS 功能 

上述設定完成後可 telnet 登入 Extreme 後鍵入 show radius 指令可看到下列訊息

 X450a-24x.1 #sh radius
 Switch Management Radius: enabled
 Switch Management Radius server connect time out: 3 seconds
 Switch Management Radius Accounting: disabled
 Switch Management Radius Accounting server connect time out: 3 seconds
 Netlogin Radius: disabled
 Netlogin Radius server connect time out: 3 seconds
 Netlogin Radius Accounting: disabled
 Netlogin Radius Accounting server connect time out: 3 seconds
 Primary Switch Management Radius server:
    Server name   :
    IP address    :  192.168.1.20
    Server IP Port:  1812
    Client address:  192.168.1.10 (VR-Mgmt)
    Shared secret :  fjgei324:                   //extreme 將 weithenn789 加密後的結果
 Access Requests   :  24              Access Accepts    :  7
 Access Rejects    :  1               Access Challenges :  0
 Access Retransmits:  10              Client timeouts   :  6
 Bad authenticators:  0               Unknown types     :  0
 Round Trip Time   :  0

參考

[FreeRADIUS Wiki]

[FreeRADIUS Wiki - Cisco IOS and Radius]

[Problem authenticating to extreme switches in "enable" mode..]

[國家高速網路與計算中心 唐可忠 - FreeRADIUS 安裝與管理]

[RADIUS - Wikipedia, the free encyclopedia]

[AAA protocol - Wikipedia, the free encyclopedia]

Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com