为了将公司内部认证统一化,启用了802.1x认证,认证流程如下:

UserClient->AC控制器->Freeradius->OpenLdap

其中:

Freeradius做认证使用

OpenLdap存储用户账户密码

现在开始配置:

环境:

Centos7

OpenLdap2.4.4

Freeradius 3.0.13

1.安装Freeradius

#yum -y install freeradius* //Free RADIUS Version 3.0.13

2.修改配置文件
vim/etc/raddb/users
最后一行添加

testuser Cleartext-Password := "test123"

说明:这一步仅仅是添加一个测试用户,测试Freeradius是否正常启动的,如果不想测试,可以不建这个用户

3.vim/etc/hosts如果设置host这里应该设置hostname的值。
[ip][hostname]

4.测试
再打开一个终端,执行
radtest testuser test123 127.0.0.1 0 testing123

其中 testuser 是用户  test123是密码 ,就是步骤2中新建的用户  testing123是共享密钥

如果看到

SendingAccess-Requestofid87to127.0.0.1port1812

User-Name="testuser"

User-Password="testpassword"

NAS-IP-Address=192.168.50.65

NAS-Port=1812

Message-Authenticator=0x00000000000000000000000000000000

rad_recv:Access-Acceptpacketfromhost127.0.0.1port1812,id=87,length=20

则表示radius服务器配置成功。 

5.编辑eap文件

配置文件如下

cat /etc/raddb/mods-enabled/eap|grep -v "#"|grep -v "^$"

eap {

default_eap_type = peap

timer_expire = 60

ignore_unknown_eap_types = no

cisco_accounting_username_bug = no

max_sessions = ${max_requests}

md5 {

}

leap {

}

gtc {

auth_type = PAP

}

tls-config tls-common {

private_key_password = whatever

private_key_file = ${certdir}/server.pem

certificate_file = ${certdir}/server.pem

ca_file = ${cadir}/ca.pem

dh_file = ${certdir}/dh

ca_path = ${cadir}

cipher_list = "DEFAULT"

cipher_server_preference = no

ecdh_curve = "prime256v1"

cache {

enable = no

}

verify {

}

ocsp {

enable = no

override_cert_url = yes

url = "http://127.0.0.1/ocsp/"

}

}

tls {

tls = tls-common

}

ttls {

tls = tls-common

default_eap_type = peap

copy_request_to_tunnel = no

use_tunneled_reply = no

virtual_server = "inner-tunnel"

}

peap {

tls = tls-common

default_eap_type = mschapv2

copy_request_to_tunnel = no

use_tunneled_reply = no

virtual_server = "inner-tunnel"

}

mschapv2 {

}

}

6.启用ldap功能,因为账户密码存储在ldap上,所以freeradius需要配置ldap的连接信息

# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

7 编辑ldap配置文件

cat mods-enabled/ldap|grep -v "#"|grep -v "^$"

ldap {

server = '127.0.0.1'

port = 389

identity = 'cn=root,dc=domain,dc=com'

password = 'your_password'

base_dn = 'ou=OP,dc=domain,dc=com'

sasl {

}

update {

control:Password-With-Header	+= 'userPassword'

control:NT-Password	:= 'sambaNTPassword' //重要,一定要记得更改这一行,下面会说原因

control:	+= 'radiusControlAttribute'

request:	+= 'radiusRequestAttribute'

reply:	+= 'radiusReplyAttribute'

}

如果Freeradius的eap配置中 default_eap_type = peap 如果配置成peap的话,OpenLdap中的用户密码存储的时候可以采用两种方式

1.)明文存储,Freeradius认证没问题,但是很不安全,因为能看到用户的明文密码

2.)使用NT-Password加密存储,他其实是xp系统中用的MD4加密,所以OpenLdap中就需要添加samba的支持,然后将sambaNTPassword存储的密码字段映射为Freeradius中的NT-Password字段

我采用的是方式2

这段配置可以参考资料 https://hub.packtpub.com/storing-passwords-using-freeradius-authentication/

8.vim sites-available/inner-tunnel 取消里面的所有的ldap注释

9 vim sites-available/default 取消里面的所有的ldap注释

至此,Freeradius的配置部分就完成了

启动radius可以使用

radiusd -X  //带有debug模式启动,可以查看调试信息

第二部分 OpenLdap配置

1.安装不写了,参考我的文章 http://www.cnblogs.com/Kevin-1967/p/8931304.html

2.安装完成后,需要按照上述步骤7中说的那样,添加samba支持,方法如下:

#yum install -y samba-common samba samba-client

#cp /usr/share/doc/samba-4.6.2/LDAP/samba.schema /etc/openldap/schema/

#cp /usr/share/doc/samba-4.6.2/LDAP/samba.ldif /etc/openldap/schema/

#ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/samba.ldif

#systemctl restart slapd
重启完OpenLdap的进程后,添加用户entry的时候就可以使用sambaSamAccount 的objectclass了,我添加用户的ldif文件模板如下
dn: uid=testuser,ou=OP,dc=domain,dc=com

objectClass: top

objectClass: sambaSamAccount

objectClass: inetOrgPerson

cn: 测试用户1

sambaSID: testuser

sn: testuser

uid: testuser

mail: testuser@163.com

sambaNTPassword: C941B8F73337FAC694888A9AA7376678

telephoneNumber: 18812341234

userPassword: e1NTSEF914cxeVRDWdeuR2NZdjl0e991bWtzNn0kn3pVNQ==

 说明:

Freeradius认证拿的是SambaNTPassword字段的值,如果你还需要openldap完成其他认证,就需要同步修改userPassword字段

所以,你需要写个网页,用户自助修改密码的时候同时修改OpenLdap中的sambaNTPassword字段和userPassword字段

然后在cisco无线控制器上添加Freeradius即可,配置无线走802.1x认证,步骤略

配置完。。。

参考资料:

http://www.178pt.com/179.html

https://www.cnblogs.com/lemon-le/p/6207695.html

参考资料:

http://zgssheng.cn/2014/03/FreeRadius%20+%20802.1x:WPA%20+%20OpenLDAP%20wifi%E7%99%BB%E5%BD%95%E4%BD%BF%E7%94%A8%E4%B8%AA%E4%BA%BA%E5%B8%90%E5%8F%B7/

Freeradius+Cisco2500AC+OpenLdap认证的更多相关文章

  1. LDAP落地实战(四):Jenkins集成OpenLDAP认证

    前几篇分文章分别介绍了OpenLDAP的部署管理和维护以及svn.git的接入,今天我们再下一城接入jenkins. 前情提要:LDAP系列文章 LDAP落地实战(一):OpenLDAP部署及管理维护 ...

  2. LDAP落地实战(三):GitLab集成OpenLDAP认证

    上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...

  3. LDAP落地实战(二):SVN集成OpenLDAP认证

    上一篇文章我们介绍了LDAP的部署以及管理维护,那么如何接入LDAP实现账号统一认证呢?这篇文章将带你完成svn的接入验证 subversion集成OpenLDAP认证 系统环境:debian8.4 ...

  4. Django集成OpenLDAP认证

    本文详细介绍了django-auth-ldap的使用方法,参数含义,并提供了示例代码 版本说明 Django==2.2 django-auth-ldap==1.7.0 集成过程 Django集成LDA ...

  5. freeradius + oracle 无限认证

    Radius安装配置维护文档 一.下载软件包 freeradius-server-3.0.9.tar.gz和talloc-2.1.3.tar.gz 二.配置/root目录下的.bash_profile ...

  6. (三)Harbor使用OpenLDAP认证登陆

    接上一篇<安装Harbor>,安装好之后,接下来我们使用OpenLDAP来进行Harbor  web界面的登陆验证及权限分配! OpenLDAP: 使用OpenLDAP的都知道,这是一个集 ...

  7. Ubuntu下freeradius的EAP-MD5,PEAPv0/EAP-MSCHAPv2,EAP-TTLS/MD5,EAP-TTLS/MSCHAPv2方式认证(基于mysql)

    基于freeradius+mysql,今天验证下freeradius的EAP认证:1.EAP-MD5:2.EAP-PEAP 一.EAP-MD5方式认证 1.修改配置文件 (1)/usr/local/e ...

  8. OpenLDAP使用疑惑解答及使用Java完成LDAP身份认证

    导读 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务.目录服务是一种特殊的数据库系统,其专门针对读取,浏览 ...

  9. 802.1X 账号密码+设备信息双重认证

    名词解释 802.1X: IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了 802.1X 协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用 ...

随机推荐

  1. http常见状态码分析

    200:这个是最常见的http状态码,表示服务器已经成功接受请求,并将返回客户端所请求的最终结果 301:客户端请求的网页已经永久移动到新的位置,当链接发生变化时,返回301代码告诉客户端链接的变化, ...

  2. 进程分配内存的两种方式--brk() 和mmap()(不设计共享内存)(转)

    如何查看进程发生缺页中断的次数? 用ps -o majflt,minflt -C program命令查看. majflt代表major fault,中文名叫大错误,minflt代表minor faul ...

  3. java源码-HashMap源码分析

    这次开始分析JDK8中的HashMap源码. 首先理解HashMap中几个关键变量, TREEIFY_THRESHOLD  链表转换红黑树扩容值 table 数组+链表+红黑树  size 当前存储数 ...

  4. ABAP Field+offset字符串截取

    *删除字符串末尾的字符 DATA:str TYPE string VALUE 'abc,defg,', sub_str TYPE string, num TYPE i. WRITE:/ str. nu ...

  5. Invalid Django TIME_ZONE

    在linux操作系统运行,设置的时区在系统文件/usr/share/zoneinfo/中找不到会出现以下错误 raceback (most recent call last): File , in & ...

  6. DateTime.UtcNow 协调通用时间(UTC)

    1.协调通用时间(UTC) 2.本地时间和UTC时间相互转化 DateTime localDateTime = DateTime.Now;//本地时间 DateTime utcDateTime = D ...

  7. MVC 表单防伪,自定义提示(AntiForgery.Validate)

    再以前的文章解释过@Html.AntiForgeryToken()的部分源码,地址 直奔主题 <form id="form" action=""> ...

  8. NIO 编程模型

    NIO 编程模型 Doug Lea 在 Scalable IO in Java 的 PPT 中描述了 Reactor 编程模型的思想,大部分 NIO 框架和一些中间件的 NIO 编程都与它一样或是它的 ...

  9. 解决ubuntu命令行中文乱码

    解决方法: 1.安装zhcon 登入用户后,输入 1 sudo apt-get install zhcon 2.启动zhcon 输入 1 zhcon --utf8  PS:zhcon支持中文输入法,按 ...

  10. Python 过滤HTML实体符号简易方法

    html_tag = {' ': '\n', '"': '\"', '&': '', '<': '<', '>': '>', '&apos; ...