CentOS下使用FreeRadius实现802.1X网络准入

犏辅：　≯投确信铅　ｃｔａｄ『ｎｌｆ１＠３６＿３－ｍａｓｉ　㈣基础设施与数据管理Ｉｌｎｆｒａｓｔｒｕｃｔｕｒｅ　Ｍｑｍｔ．＆Ｄａｔａ　Ｍｑｍｔ．　Ｃｅｎｔ０Ｓ下伎　用Ｆ　ｒ　ｅｅＲａｄ　ｉ　Ｕ　Ｓ　实现８０２．１　Ｘ网络准入　■北京赵琳　８　０　２．１　Ｘ　：８０２．１Ｘ协议是基于Ｃｌｉｅｎｔ／Ｓｅｒｖｅｒ的访问控制和　从而可以实　协议是基于　认证协议，使用８０２．１Ｘ协议组网，对设备的整体性能要求　现业务与认　Ｃ１　ｉｅｎｔ／Ｓｅｒｖｅｒ　不高，可以有效降低建网成本。本文通过在ＣｅｎｔＯＳ下使用　证的分离，由　的访问控制和　ＦｒｅｅＲａｄｉｕｓ来实现８０２．１Ｘ的网络准入，讨论其部署结构、　Ｒａｄｉｕｓ服务　认证协议。它　安装与配置等问题。　器和交换机　可以限制未经　利用不可控　授权的设备通过接入端口访　１．ＩＥＥＥ　８０２．１Ｘ协议为　的逻辑端口共同完成对用户　问网络。在获得网络提供的　数据链路层协议，不需要到　的认证与控制，业务报文直　各种业务之前，８０２．１Ｘ首先　达网络层，对设备的整体性　接承载在正常的数据链路层　对连接到交换机或ＡＰ上的　能要求不高，可以有效降低　报文上通过可控端口进行交　设备进行认证。在认证通过　建网成本。　换，通过认证之后的数据包　之前，８０２．ＩＸ只允许ＥＡＰｏＬ　２．借用了在ＲＡＳ系统中　是无需封装的纯数据包。　（基于局域网的扩展认证协　常用的ＥＡＰ（扩展认证协议），　４．可以使用现有的后台　议）数据通过设备连接的交　可以提供良好的扩展性和适　认证系统降低部署的成本，　换机端口；认证通过以后，正　应性，实现对传统ＰＰＰ认证　并有丰富的业务支持。　常的数据可以顺利地通过以　架构的兼容。　５．可以映射不同的用户　太网端口。　３．８０２．１Ｘ的认证体系结　认证等级到不同的ＶＬＡＮ。　基于以太网端口认证的　构中采用了“可控端口”和　６．可以使交换端口和无　８０２．１Ｘ协议有如下特点：　“不可控端口”的逻辑功能，　线ＬＡＮ具有安全的认证接入　ｗｗｗ．３６５ｍａｓｔｅｒ，ｃｏｍ　２０１８　０８　４３　ＩｎｆｒａｓｔｍｃｔｕｒｅＭｇｍｔ＆ＤａｔａＭｇｍｔ．－基础设施与数据管理　编辑：露釜投稿　一　删　ｎｈ￣＠３６５ｍ　￣－；ｔｅｒ．ｃｏｍ　功能。　一ｙ安装１ｉｂｔａｌｌｏｃ　４．进入解压后的文件夹　ｌ　ｌ　ｏ　ｃ　ａ　１　ｈ　ｏ　ｓ　ｔ　１ｏｃａ１ｈｏｓｔ．１ｏｃａ１ｄｏｍａｉｎ　１ｏｃａ１ｈｏｓｔ６　１ｏｃａ１ｈｏｓｔ６．　部署结构　包括客户端、接入网络、　认证与帐户系统。　客户端：可以是Ｗｉｎｄｏｗｓ、　ＯＳＸ或移动终端。Ｗｉｎｄｏｗｓ与　ＯＳＸ均支持８０２．ＩＸ协议，并　下ｔａｒ—ｘｚｖｆ　ｆｒｅｅｒａｄｉｕｓ—　ｓｅｒｖｅｒ一３．０．１ｉ，执行命令．／　ｃｏｎｆｉｇｕｒｅ　１ｏｃａｌｄｏｍａｉｎ６　８．进入ｃｄ　ｕｓｒ／ｌｏｃａｌ／　ｅｔｃ／ｒａｄｄｂ／，打ｃｏｎｆ　５．先后执行命令ｍａｋｅ　口ｍａｋｅ　ｉｎｓｔａｌ１　开ｒａｄｉｕｓ．　６．进入ｃｄ　／ｕｓｒ／ｌｏｃａ１／　将ａｌ　１ｏｗ　ｖｕ１ｎｅｒａｂｌｅ　且移动端也支持企业级ＷＰＡ　ｅｔｃ／ｒａｄｄｂ，用ｖｉｍ打开文件　ｕｓｅｒｓ，将以下注释去掉。　ｓｔ　ｅｖｅ　Ｐａｓｓｗｏｒｄ：　Ｃ１ｅａｒｔ　ｅｘｔ—　ｔｅｓｔｉｎｇ　＝　ｏｐｅｎｓｓｌ：ｎｏ修改成ａｌｌｏｗ　ｖｕｌｎｅｒａｂｌｅ　ｏｐｅｎｓｓ１＝ｙｅｓ　（支持用户名与密码）并与　Ｒａｄｉｕｓ服务集成。　接入网络：支持８０２．１Ｘ　９．修改防火墙配置，　允许ＦｒｅｅＲａｄｉｕｓ所使用的　端口１８１２和１８１３通过。　与Ｒａｄｉｕｓ的交换机或无线　ＡＰ均可，由于８０２．１Ｘ是一个　已经普遍支持的行业标准，　Ｓ　ｅ　ｒ　ｖ　ｉ　ｃ　ｅ——Ｔ　Ｙ　Ｐ　ｅ　Ｆｒａｍｅｄ—Ｕｓｅｒ．　ｉｐｔａｂ１ｅｓ——Ａ　ＩＮＰＵＴ——Ｐ　ｕｄｐ　Ｆｒａｍｅｄ——Ｐｒｏｔｏｃｏ１　：　ＰＰＰ，　Ｆｒａｍｅｄ—ＩＰ－Ａｄｄｒｅｓｓ１７２．１６．３．３３，　Ｆｒａｍｅｄ—ＩＰ—Ｎｅｔｍａｓｋ２５５．２５５．２５５．０，　Ｆｒａｍｅ　ｄ—Ｒｏｕｔ　ｉ　ｎｇ　：　＝　ｄｐｏｒｔ　１８１２一ｊ　ＡＣＣＥＰＴ　ｉＰｔａｂ１　ｅ　ｓ—Ａ　ＩＮＰＵＴ　所以目前几乎所有主流的交　换机与ＡＰ都可以支持。　认证与帐户系统：　～Ｐ　ｕｄｐ一一ｄｐｏｒｔ　ｌ８１３一ｊ　ＡＣＣＥＰＴ　Ｒａｄｉｕｓ服务器（本文使用　ｉ０．Ｒａｄｉｕｓ部署完成后　需要进行相关测试，在终端　输入“ｒａｄｉｕｓｄ—Ｘ”，新打　ＦｒｅｅＲａｄｉｕｓ），提供帐户管理　的数据库（本文使用ＭｙＳＱＬ　数据库）。　Ｂｒｏａｄｃａｓｔ—Ｌｉ　ｓｔｅｎ．　Ｆｒａｍｅｄ—Ｆｉ１ｔｅｒ—Ｉｄ：　开一个终端输入“ｒａｄｔｅｓｔ　ｓｔｅｖｅ　ｔｅｓｔｉｎｇ　１ｏｃａ１ｈｏｓｔ　０　ｔｅｓｔｉｎｇ１２３”。　Ｒａｄｉｕｓ服务安装与配置　１．拷　贝ｆｒｅｅｒａｄｉｕｓ—　ｓｔｄ．ＰＰＰ　，　Ｆｒａｍｅｄ—ＭＴＵ＝１　５００，　Ｆｒａｍｅｄ——Ｃｏｍｐｒｅｓｓｉｏｎ　其中ｓｔｅｖｅ是用户名，　ｔｅｓｔｉｎｇ是密码。　１１．与交换机的对接　（１）进入目录／ｕｓｒ／　ｓｅｒｖｅｒ一３．０．１１．ｔａｒ压缩包　到ＣｅｎｔＯＳ中。　２．ｒｏｏｔ下ｔａｒＶａｎ—Ｊａｃｏｂｓｅｎ—ＴＣＰ—ＩＰ　使用命令　７．进入ｃｄ／ｅｔｅ／ｈｏｓｔｓ　——ｘｚｖｆ　ｆｒｅｅｒａｄｉｕｓ——　修改并添加如下内容。　ｌ２７．０．０．１　１ｏｃａ１ｈｏｓｔ　ｌｏｃａ１ｈｏｓｔ．１ｏｃａ１ｄｏｍａｉｎ　ｌ０Ｃａ１／ｅｔｃ／ｒａｄｄｂ／ｓｉｔｅ—　ｓｅｒｖｅｒ一３．０．１１．ｔａｒ．ｇｚ　解　ｅｎａｂｌｅｄ，打开ｄｅｆｏｕｌｔ文件。　把ａ　ｕ　ｔ　ｈ　ｏ　ｒ　ｉ　ｚ　ｅ｛）、　压缩包。　３．执行命令ｙｕｍ　１ｏｃａ１ｈｏｓｔ４　１ｏｃａＩｈｏｓｔ４．　１ｏｃａｌｄｏｍａｉｎ４　ｙｕｙｉｎｓ　ａｃｃｏｕｎｔｉｎｇ｛）中ｓｑｌ前面的　＃去掉，并把ａｕｔｈｏｒｉｚｅｆ）中　ｉｎｓｔａ］］　］ｊ　ｂｔａ］］ｏｃ—ｄｅｖｅ１　４４　２０１８｝１８　ｗｗｗ，３６５ｍａｓｔｅｒ．ＣＯｒｎ　黉ｆ｝‘编辑：§絮般　硝＿ｌ１ｃｔａｄ　ｎｉ　Ｇ３６５ｍｓｔｅ㈣∞　基础设施与数据管理｜Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ　Ｍｑｍｔ．＆Ｄａｔａ　Ｍａｍｔ．　ｆｉｌｅｓ前加＃；　（２）进入目录／ｕｓｒ／　ｍｙｓｑｌ＞ｃｒｅａｔｅ　ｄａｔａｂａｓｅ　ｒａｄｉｕｓ：　ｍｙｓｑ１＞ｇｒａｎｔ　ａ１１　ｏｎ　ｒａｄｉｕｓ．｝ｔｏ　ｒａｄｉｕ　ｓ＠　ｒａｄｇｒｏｕｐｒｅｐ１ｙ（ｇｒｏｕｐｎａｍｅ，　ａｔｔｒｉｂｕｔｅ，ｏｐ，　ｌｏｃａ１／ｅｔｃ／ｒａｄｄｂ，打开文件　ｃｌｉｅｎｔｓ．ｃｏｎｆ添加如下内　容：　ｃ　１　ｉ　ｅｎｔ　１　０．１．１．５　５　ｖ　ａ　１　ｕ　ｅ）　ｖ　ａ　１　ｕ　ｅ　ｓ　（’ｕ　ｓ　ｅｒ’，’Ｆｒａｍｅｄ—ＩＰ—　Ａｄｄｒｅｓｓ’，’：＝，’２５５．２５５．　１ｏｃａｌｈｏｓｔ　ｉｄｅｎｔｉｆｉｅｄ　ｂｙ　ｒａｄｐａｓｓ　：　ｍｙｓｑｌ＞ｅｘｉｔ：　２５５．２５５’）：　ｉ　ｎ　ｓ　ｅ　ｒ　ｔ　ｉ　ｎ　ｔ　ｏ　／／１０．１．１．５５是交换机的管　理ＩＰ地址　ｉｐａｄｄｒ＝１０．１．１．５５　ｓｅｃｒｅｔ＝ｔｅｓｔｉｎｇ１２３　ｓ　ｈ　ｏ　ｒ　ｔ　ｎ　ａ　ｍ　ｅ　ｒａｄｉｕｓｓｅｒｖｅｒ　ｎａｓ５．导入表结构，执行命　令如下：　ｍｙｓｑｌ—ｕ　ｒｏｏｔ　ｒａｄｉｕｓ　＝　ｒａｄｇｒｏｕｐｒｅｐｌｙ（ｇｒｏｕｐｎａｍｅ，　ａｔｔｒｉｂｕｔｅ，ｏｐ，　ｖ　ａ　１　ｕ　ｅ）　ｖ　ａ　１　ｕ　ｅ　ｓ　＜／ｕｓｒ／１ｏｃａ１／ｅｔｃ／ｒａｄｄｂ／　ｍｏｄｓ—ｃｏｎｆｉｇ／ｓｑ１／ｍａｉｎ／　（’ｕ　ｓ　ｅｒ’，’Ｆｒａｍｅｄ—ＩＰ—　Ｎｅｔｍａｓｋ’，’：＝，’２５５．２５５．　ｔｙｐｅ　ｏｔｈｅｒ　ｍｙｓｑ１／ｓｃｈｅｍａ．ｓｑｌ　２５５．０’）：　（２）建立用户信息：（本　文新建用户名为ｔｅｓｔ，密码　为ｔｅｓｔｐｗｄ）　ｉｎｓｅｒｔ　ｉｎｔｏ　ｒａｄｃｈｅｃｋ　６．建立组信息和用户信　ＭｙＳＯＬ服务安装与配置　其　中ＭｙＳＱＬ、ＭｙＳＱＬ—　Ｓｅｒｖｅｒ、ＭｙＳＱＬ—Ｄｅｖｅｌ都必须　安装，缺一不可。　息。输入“ｍｙｓｑｌ—ｕ　ｒｏｏｔ　ｒａｄｉｕｓ”命令，打开数据库，　在ｍｙｓｑｌ＞提示符下，执行　如下命令：　（１）建立组信息：（本文　新建组名称为ｕｓｅｒ）　ｉ　ｎ　ｓ　ｅ　ｒ　ｔ　ｉ　ｎ　ｔ　ｏ　（ｕｓｅｒｎａｍｅ，ａｔｔｒｉｂｕｔｅ，ｏｐ，　ｖ　ａ　１　ｕ　ｅ）　ｖ　ａ　ｌ　ｕ　ｅ　ｓ　１．运行命令“ｙｕｍ　ｌｉｓｔ　　ｇｒｅｐ　ｍｙｓｑｌ”查看网络上　ｌ可以提供下载的资源列表。　２．输（’ｔ　ｅ　ｓｔ’，’Ｃ１　ｅａｒｔ　ｅｘｔ—　Ｐ　ａ　ｓ　ｓ　ｗ　ｏ　ｒ　ｄ’，’：＝’，’　入“ｙｕｍ　ｉｎｓｔａｌ１　ｒａｄｇｒｏｕｐｒｅｐｌｙ（ｇｒｏｕｐｎａｍｅ，　ｔｅｓｔｐｗｄ’）：　Ｙ　ｍｙｓｑｌ—ｓｅｒｖｅｒ　ｍｙｓｑ１　ａｔｔｒｉ　ｂｕｔ　ｅ，ｏＰ，ｖａ１ｕ　ｅ）　ｖａｌｕｅｓ（’ｕｓｅｒ’，’Ａｕｔｈ—Ｔｙｐｅ　’，备注：８０２．ｉｘ认证客户　端登录的用户名ｔｅｓｔ，密码　ｔｅｓｔｐｗｄ。　ｍｙｓｑｌ—ｄｅｖｅｌ”命令可以　将ＭｙＳＱＬ、ＭｙＳＱＬ—Ｓｅｒｖｅｒ和　’：＝，’Ｌｏｃａｌ’）：　ｉ　ｎ　ｓ　ｅ　ｒ　ｔ　ｉ　ｎ　ｔ　ｏ　ＭｙＳＱＬ－Ｄｅｖｅｌ都安装好。　３．输入命令“ｓｅｒｖｉｃｅ　ｍｙｓｑｌｄ　ｒｅｓｔａｒｔ”启动ＭｙＳＱＬ　（３）将用户加入组中：　ｉ　ｎ　ｓ　ｅ　ｒ　ｔ　ｉ　ｎ　ｔ　ｏ　ｒａｄｇｒｏｕｐｒｅｐｌｙ（ｇｒｏｕｐｎａｍｅ，　ａｔｔｒｉｂｕｔｅ，ｏｐ，　ｒａｄｕｓｅｒｇｒｏｕｐ（ｕｓｅｒｎａｍｅ，　ｖ　ａ　１　ｕ　ｅ　ｓ　ｇ　ｒ　ｏ　ｕ　Ｐ　ｎ　ａ　ｍ　ｅ）　ｖ　ａ　１　ｕ　ｅ　ｓ　服务。　４．创建数据库，输入命　令“ｍｙｓｑｌ—ｕ　ｒｏｏｔ—Ｐ”，要　ｖ　ａ　１　ｕ　ｅ）　（’ｕ　ｓ　ｅｒ’，’　Ｓ　ｅｒｖｉ　ｃ　ｅ—　ＴＹＰ　ｅ’，’：：，’Ｆｒａｍｅ　ｄ—　（’ｔｅｓｔ’，’ｕｓｅｒ’）：　７．修改ＦｒｅｅＲａｄｉｕｓ中　求输入密码时，直接回车即　可。　Ｕｓｅｒ’）：　ｉ　ｎ　ｓ　ｅ　ｒ　ｔ　ｉ　ｎ　ｔ　ｏ　的ＭｙＳＱＬ认证配置　（１）进入以下路径ｃｄ　ｗⅥ，、ｖ　３６５ｍａｓｔｅｒ．ＣＯｎｌ　２０１８　０８　４５　Ｉｎｆｍｓｔｒｕｃｔｕ　ｒｅＭｇｍｔ．＆ＤａｔａＭｇｍｔ．Ｉ基础设施与数据管理　编　：　投　ｍ－ｔａｄ　ｉｎ￣３６５ｍ；　ＵＳｒ／１　ｏｃａ１／ｅｔｃ／ｒａｄｄｂ／　ｔｅｓｔｐｗｄ　１ｏｃａ１ｈｏｓｔ　１８１２　每个认证都开启，在配置过　程中可能会因为没有配置计　ｍｏｄｓ—ｅｎａｂｌｅｄ／　ｔｅｓｔｉｎｇ１２３（如果认证通过　（２）执行命令：ｉｎ—ｓ．．／　的话，服务器的搭建顺利完　费认证，从而导致认证失败，　ｍｏｄｓ—ａｖａｉ　１ａｂ１ｅ／ｓｑｌ　成）。　具体命令如下：　８．修改ＦｒｅｅＲａｄｉｕｓ中　ｄｏｍａｉｎ　ｓｙｓｔｅｍ　的ＭｙＳＱＬ配置文件　在网络设备设备上开启　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　１ａｎ－　（１）ｖｉｍ　ｕｓｒ／ｌｏｃａｌ／ｅｔｃ／　８０２．１Ｘ认证，本文以Ｈ３Ｃ网　ａｃｃｅｓｓｒａｄｉｕｓ－ｓｃｈｅｍｅ　ｄｅｍｏ　ｒａｄｄｂ／ｍｏｄｓ—ａｖａｉ　ｌａｂ１ｅ／ｓｑｌ　络设备为例　ａｕｔｈｏｒｉｚａｔｉｏｎ　１ａｎ—　（２）找至Ｕ　ｄｒｉｖｅｒ＝“ｒｌｍ＿　１．Ｈ３Ｃ进入特权模式后，　ａｃｃｅｓｓｒａｄｉｕｓ－ｓｃｈｅｍｅ　ｄｅｍｏ　ｓｑｌｎｕｌ１”这一行，修改为　开启８０２．ＩＸ认证协议和认　ａｃｃｏｕｎｔ　ｉｎｇ　ｌａｎ—ａｃｃｅｓｓ　ｄｒｉｖｅｒ＝“ｒｌｍ　ｓｑ］ｍｙｓｑｌ”。　证方式，命令如下：　ｒａｄｉＵＳ－－Ｓｃｈｅｍｅｄｅｍｏ　保存并退出。　ｄｏｔｉｘ　ａｃｃｅｓｓ－１ｉｍｉｔ　ｄｉｓａｂ１ｅ　９．执行下列命令：　ｄｏｔ１ｘ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ－　ｓｔａｔｅ　ａｃｔｉｖｅ　ｖｉｍ　ｕ　ｓｒ／１　ｏ　ｃａ１／ｅｔ　ｃ／　ｍｅｔｈｏｄ　ｅａｐ　ｉｄ１ｅ－ｃｕｔ　ｄｉｓａｂ１ｅ　ｒａｄｄｂ／ｓｉｔｅｓ－ａｖａｉ　１ａｂ１ｅ／　２．与认证服务器Ｒａｄｉｕｓ　ｓ　ｅ１ｆ——ｓ　ｅｒｖｉ　ｃ　ｅ——ｕｒ１　ｄｅｆａｕｌｔ，将ａｕｔｈｏｒｉｚｅ｛）和　的配置，命令如下：　ｄｉｓａｂ１ｅ　ａｃｃｏｕｎｔｉｎｇ｛）里面的ＳＱＬ前　ｒａｄｉｕｓ　ｓｃｈｅｍｅ　ｄｅｍｏ　４．开启端口的８０２．ＩＸ　面的＃号去掉。　ｐｒｉｍａｒｙ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　的认证，命令如下：　１０．对ｓｑ１．ｃｏｎｆ进行如　ＩＰ／／ｒａｄｉｕｓ服务器的ＩＰ　ｉｎｔｅｒｆａｃｅ　Ｇｉｇａｂｉｔ　下更改：　ｐｒｉｍａｒｙ　ａｃｃｏｕｎｔ　ｉｎｇ　ＩＰ　Ｅｔｈｅｒｎｅｔ１／ｏ／１０　（１）ｓｅｒｖｅｒ＝　ｌｏｃａｌｈｏｓｔ　／／ｒａｄｉｕｓ服务器的ＩＰ　ｄｏｔ　１ｘ　ｇｕｅｓｔ—ｖ１ａｎ　ＩＤ　（２）ｌｏｇｉｎ＝　ｒｏｏｔ　ｋｅｙ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　／／认证失败下发一个ｇｕｅｓｔ　（３）ｐａｓｓｗｏｒｄ＝　１２３４５６　ｃ　ｉｐｈｅｒ密码　／／ｒａｄｉｕｓ服　ＶＬＡＮ　（４）ｒａｄｉｕｓ　ｄｂ＝　ｒａｄｉｕｓ　务器认证密码　ｕｎｄｏ　ｄｏｔ　１ｘ　ｈａｎｄｓｈａｋｅ　１１．ＭＹＳＱＬ　Ｒａｄｉｕｓ下　ｋｅｙ　ａｃｃｏｕｎｔｉｎｇ　ｃｉｐｈｅｒ　／／这个握手协议要关闭，避　执行命令：ｓｅｌｅｃｔ＊ｆｒｏｍ　密码／／ｒａｄｉｕｓ服务器计费　免Ｗｉｎｄｏｗｓ认证一段时间后　ｒａｄｇｒｏｕｐｒｅｐ１ｙ：显示数据库　密码　又会掉线，要求重连。　配置。　ｕ　ｓ　ｅｒ—ｎａｍｅ—ｆｏｒｍａｔ　ｄｏｔ　１ｘ　Ｐｏｒｔ—ｍｅｔｈｏｄ　１２．重新以调试方式运　ｗｉ　ｔｈｏｕｔ—ｄｏｍａｉｎ　ｐｏｒｔｂａｓｅｄ　行ｆｒｅｅｒａｄｉｕｓ：ｒａｄｉｕｓｄ—Ｘ　备注：此处交换机共享　ｄｏｔｉｘ　１３．再打开一个新的　密钥为ｔｅｓｔｉｎｇ１２３，必须与　ｉｄ１ｅ－ｃｕｔ　ｄｉｓａｂ１ｅ　终　端，运行如下的测试工　服务器保持一致。　ｓ　ｅ１ｆ—ｓ　ｅｒｖｉ　ｃ　ｅ—ｕｒ１　具　命令：ｒａｄｔｅｓｔ　ｔｅｓｔ　３．配置３Ａ认证，最好是　ｄｉｓａｂｌｅ四　４８　２０１８．０８　ｗⅥ　ｖ　３６５ｍａｓｔｅｆ　ｃｏ１￣１