×

CentOS6.5下搭建LAMP+FreeRadius+Daloradius Web管理和TP-LINK路由器、H3C交换机连接,实现,上网认证和记账功能

hqy hqy 发表于2021-04-23 09:13:29 浏览1906 评论0

抢沙发发表评论

https://www.cnblogs.com/opsprobe/p/9420502.html


什么是RADIUS服务:

RADIUS:(Remote Authentication Dial In User Service)中文名为远程用户拨号认证服务,简称RADIUS,是目前应用最广泛的AAA协议(认证、授权和计费)。

RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。 常见的AAA组网示意如下图所示,其中RADIUS应用在AAA服务器上对用户进行认证、授权和计费服务。图中Device(例如交换机)向远程接入用户提供接入及与RADIUS服务器交互的服务。RADIUS服务器上则存储用户的身份信息、授权信息以及访问记录,对用户进行认证、授权和计费服务。

认证过程

(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;

(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;

(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;

(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;

(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;

(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;

(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;

(10)如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;

(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文,用户上线完毕。

freeradius是GNU/GPL(通用公共许可证)的原则下,开发的高性能开源radius服务器。常见的radius服务器种类不多,比较强大的当属开源的freeradius,世界上大部分的radius服务器都是基于freeradius开发而来的。

freeradius可以对支持radius协议的网络设备进行账户认证、授权和记账管理,常见的开源路由器操作系统:如Openwrt,DD-wrt等,都支持radius协议,常见的电信运营商的宽带账户,上网账户管理,记账,也都是使用的radius服务器进行鉴权记账的。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安全。

 

搭建环境:

操作系统:CentOS 6.5, Win7/10

其他设备:TP-LINK路由器、H3C交换机

FreeRADIUS官网:http://freeradius.org/

daloRADIUS Web管理页面下载地址:https://sourceforge.net/projects/daloradius/

CentOS7下搭建LAMP+FreeRadius+Daloradius Web管理:https://www.cnblogs.com/opsprobe/p/9769555.html

一、LAMP环境安装:

  1. yum -y install httpd httpd-devel

  2. yum -y install mysql mysql-server mysql-devel

  3. yum -y install php php-devel php-mysql php-common php-gd php-mbstring php-mcrypt php-imap php-odbc php-pear php-xml php-xmlrpc

  4. /etc/init.d/httpd start        # 启动http服务

  5. /etc/init.d/mysqld start     # 启动mysql服务

  6. chkconfig httpd on          # 把http服务加入开机启动

  7. chkconfig mysqld on       # 把mysql服务加入开机启动

  8. mysqladmin -u root password '数据库的密码'     # 设置mysql数据库的密码

为防止缺少相关的依赖关系,安装以下软件包:

yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel

二、然后可以通过yum命令快速安装freeradius,就是版本略低一点,命令为:

yum install -y freeradius freeradius-mysql freeradius-utils 

三、修改启用测试账户:

找到 radius 的用户信息配置参数文件(注:将来换mysql数据库存用户账户的话这个文件就不用了,测试完后修改回原来的样子),yum自动安装的在/etc/raddb路径里面。

vi /etc/raddb/users

然后找到下面这段信息(从76行开始)

  1. #steve  Cleartext-Password := "testing"  

  2. #       Service-Type = Framed-User,  

  3. #       Framed-Protocol = PPP,  

  4. #       Framed-IP-Address = 172.16.3.33,  

  5. #       Framed-IP-Netmask = 255.255.255.0,  

  6. #       Framed-Routing = Broadcast-Listen,  

  7. #       Framed-Filter-Id = "std.ppp",  

  8. #       Framed-MTU = 1500,  

  9. #       Framed-Compression = Van-Jacobsen-TCP-IP

然后把这段文字前面的 # 注释全部去掉后保存文件

现在可以通过radiusd -X来做首次启动,注意首次启动必须是root账户才行,还有注意那个X是大写的。

如果看到下面的提示应该就是启动成功了:

  1. Listening on authentication address * port 1812  

  2. Listening on accounting address * port 1813  

  3. Listening on command file /var/run/radiusd/radiusd.sock  

  4. Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel  

  5. Listening on proxy address * port 1814  

  6. Ready to process requests.

然后另外打开一个终端输入 radtest steve testing localhost 1812 testing123 进行测试,当出现 rad_recv: Access-Accept  字样说明freeradius已经安装成功。

 注意:

若测试时出现以下问题:

radclient:: Failed to find IP address for centos6

radclient: Nothing to send.

解决方法:

进入vi /etc/hosts 配置文件

在最后添加:127.0.0.1  servername(系统管理员的账户名)即可。

还需要特别注意,添加的这个127.0.0.1  servername(系统管理员的账户名)信息在测试成功后,一定要记得注释或者删除掉,否则在接入设备(交换机或者路由器)后会出现错误。

测试无问题以后记得再次进入vi /etc/raddb/users,把这个测试账户刚打开的相关的配置再全部注释掉,保存退出,然后用如下命令关闭 radiusd 的调试进程

killall -9 radiusd      # 杀死 radius 服务进程

chkconfig  radiusd on     # 把radius服务加入开机启动

service radiusd start      # 启动radius服务

现在可以通过新打开一个终端窗口,然后执行 cat /var/log/radius/radius.log 去查看启动日志看有没有错误。

四、以下开始配置freeradius了:

mv /etc/raddb/clients.conf /etc/raddb/clients.conf.backup    # 备份/etc/raddb/clients.conf文件

grep -v "#" /etc/raddb/clients.conf.backup > /etc/raddb/clients.conf     # 过滤出不带注释符号 # 的信息行

vi /etc/raddb/clients.conf

内容配置为:

  1. client localhost {

  2.     ipaddr = 127.0.0.1

  3.     secret = testing123

  4.     require_message_authenticator = no

  5. }

需要注意,上面配置的127.0.0.1主要用于测试,将来真正的客户端要按照下面的信息进行补充:

将来你真正的 raidus 客户端,如路由器、交换机等需要在这里配置ip信息,例如:

  1. client x.x.x.x {        # 这里的 x.x.x.x 就是交换机或者路由器等设备的IP地址

  2.   ipaddr = x.x.x.x    # 交换机或者路由器等设备的IP地址

  3.   secret = xxxxxxxxxx    # 自己定义的交换机或者路由器等设备和 radius 服务器的连接密码

  4.   # require_message_authenticator = no    # 这个可以注释掉,不用管

  5.   # shortname = localhost   # 这个也可以注释掉,不用管

  6. }

然后用如下命令:

mv /etc/raddb/sql/mysql/admin.sql /etc/raddb/sql/mysql/admin.sql.backup    # 备份/etc/raddb/sql/mysql/admin.sql文件

grep -v "#" /etc/raddb/sql/mysql/admin.sql.backup > /etc/raddb/sql/mysql/admin.sql    # 过滤出不带注释符号 # 的信息行

vi /etc/raddb/sql/mysql/admin.sql

内容改成下面这个样子的:

  1. CREATE USER 'radius'@'localhost';

  2. SET PASSWORD FOR 'radius'@'localhost' = PASSWORD('radpass');

  3. GRANT SELECT ON radius.* TO 'radius'@'localhost';

  4. GRANT ALL on radius.radacct TO 'radius'@'localhost';

  5. GRANT ALL on radius.radpostauth TO 'radius'@'localhost';

以上信息是指 “ 数据库为radius,密码为radpass ”如果要自己设置,设置完成后还要修改 /etc/raddb/sql.conf 这个配置文件把账号和密码改为自己设置的。

保存退出。

mysql -u root -p  回车后输入mysql的root管理员帐号密码,然后

create database radius;     # 创建radius数据库

grant all on radius.* to radius@"localhost" identified by "radpass";     # GRANT 权限 ON 数据库.* TO 用户名@主机名IDENTIFIED BY "密码";   对某个特定数据库中的所有表单给予授权和创建数据库管理账户

exit    # 退出数据库

再次 mysql -u root -p 回车,输入密码后

然后执行source /etc/raddb/sql/mysql/admin.sql

然后 use radius; 回车,打开radius数据库

导入下列 sql 表的信息

source /etc/raddb/sql/mysql/schema.sql   回车,

source /etc/raddb/sql/mysql/nas.sql   回车,

source /etc/raddb/sql/mysql/ippool.sql   回车,

source /etc/raddb/sql/mysql/wimax.sql   回车,

source /etc/raddb/sql/mysql/cui.sql   回车,

flush privileges;  回车,     # mysql 新设置用户或更改密码后需用flush privileges刷新 mysql 的系统权限相关表,否则会出现拒绝访问,还有一种方法,就是重新启动mysql服务器,来使新设置生效。

 

导入完成后,可以用命令查看导入的数据表的信息

use radius;        # 打开radius数据库

show tables;      # 显示radius数据库里的所有表

 

可以看到如下的表结构

+------------------+
| Tables_in_radius |
+------------------+
| cui |
| nas |
| radacct |
| radcheck |
| radgroupcheck |
| radgroupreply |
| radippool |
| radpostauth |
| radreply |
| radusergroup |
| wimax |
+------------------+

 

MySQL中表结构的定义

针对FreeRadius2,数据表的设计和结构定义在下面的文件中:

/etc/raddb/sql/mysql/schema.sql     # 主数据库定义,7个表,包括

radcheck   # 用户检查信息表

radreply    # 用户回复信息表

radgroupcheck   # 用户组检查信息表

radgroupreply    # 用户组回复信息表

radusergroup     # 用户和组关系表

radacct     # 计费情况表

radpostauth    # 认证后处理信息,可以包括认证请求成功和拒绝的记录。

 

/etc/raddb/sql/mysql/nas.sql        # 网络设备定义,只有一个表:

nas   # 网络设备表

 

下面的表用于一些扩展功能,可以按需导入。

ippool.sql     # ip池

wimax.sql    # wimax设备支持

cui.sql       # cui 支持

 

exit      # 退出 mysql 数据库。

 

然后进入 vi /etc/raddb/radiusd.conf 配置文件,配置freeradius支持sql:

1、vi /etc/raddb/radiusd.conf

找到 module (694行)那块以后去掉 $INCLUDE sql.conf(735行)这句话前面的 # 和 $INCLUDE sql/mysql/counter.conf(747行)前面的 #

保存文件退出vi编辑器

注意:

一定要取消这一行的注释:$INCLUDE sql.conf

否则在 radiusd -X 总会报错 Failed to load module "sql". (加载模块失败)
同理,要是在debug(调试)时出现 load module 的任何相关错误,都要取消 radiusd.conf 中的那一行 module 的注释,否则不会加载。

2、然后打开 vi /etc/raddb/sql.conf 配置文件修改与 mysql 数据库连接的配置

先找到 readclients = yes(108行)这一行,去掉前面的 # 注释

然后找到以下信息( 36-39行 )

server = "localhost"

port = 3306        # mysql数据库的端口号

login = "radius"       # mysql数据库的登录账户

password = "radpass"      # mysql数据库的radius账户的登录密码

radius_db = "radius"( 42行 ) # radius为数据库名

确保以上信息都正确后保存退出 vi 编辑器。

3、然后打开 vi /etc/raddb/sites-enabled/default 配置文件修改认证的方式

分别找到 authorize(69行),accounting(378行),session(449行)这几个配置,将里面的sql全部启用就行了,也就是把 sql 前面的 # 去掉就OK了。

1)authorize(授权) { 69—223行 }

在" # Read the 'users' file "下面的 files 注释掉(170 行);

下面的 sql 取消注释(177 行)。

这里需要注意一下156行的信息  eap,意思是radius服务器和设备间是采用eap的认证方式。

2)accounting (账单) { 378—443行 }

在" # See "Accounting queries" in sql.conf "下面的 sql 取消注释(406 行);

3)session (对话)  { 449—455行 }

在" # See "Simultaneous Use Checking Queries" in sql.conf "下面的 sql 取消注释(454行)

4)preacct     (333行)

注释掉files     (372行)

5)post-auth  (461行)

取消sql的注释(475行)

6)pre-proxy  (590行)

注释掉files     (595行)

4、还有  vi /etc/raddb/sites-enabled/inner-tunnel

在" # Read the 'users' file "下面的 files 注释掉(124 行);

在" #  See "Authorization Queries" in sql.conf "下面的 sql 取消注释(132行)

到了这就终于配置完了,下面就是插入一条数据到 mysql 数据库中真实的测试一下了:

mysql -u root -p

use radius

insert into radcheck (UserName, Attribute, Value) VALUES ('demo','Password', 'demopwd');    # 插入账户和密码

insert into radusergroup (username,groupname) values ('demo','user');    # 将用户加入组中

select * from radcheck;     # 查询用户

出现以下结果则数据插入正确

exit     # 退出数据库

service mysqld restart      # 重启mysql数据库

service radiusd stop        # 用 radiusd -X 做测试时需要把 radius 服务先停止

radiusd -X         # 开始调试

另外开一个终端运行一下命令

radtest demo demopwd localhost 1812 testing123       # 用数据库里刚插入的账户和密码进行测试

成功的样子应该会出现 rad_recv: Access-Accept 字样。

这里特别需要注意: 在测试的时候需要保证 /etc/raddb/clients.conf 文件内容配置为以下的样子:

    1. client localhost {

    2.     ipaddr = 127.0.0.1

    3.     secret = testing123

    4.     require_message_authenticator = no

    5. }

否则测试的时候会显示 radclient: no response from server for ID 96 socket 3  类似这样的提示。

可以再执行 cat /var/log/radius/radius.log 去查看启动日志看有没有错误。

杀死 radius 服务进程,启动 radius 服务,接下来配置路由器,进行无线连接。

killall -9 radiusd

service radiusd start

iptables -F      # 为防止接下来的操作被 iptables 防火墙干扰,这里先清空防火墙规则链

五、配置路由器并进行无线连接:

注:192.168.2.1 是路由器 LAN 端 IP,这里我是直接用网线把电脑和路由器直接连起来的,如下图,在路由器里的设置,需要加入的 radius 服务器的IP地址和连接密码(/etc/raddb/clients.conf),否则将无法访问 radius 服务器,记得保存。

还有从下图可以看出TP-LINK的这款路由器只支持 radius 服务的认证功能。

之后就可以用笔记本电脑无线连接路由器(路由器的SSID 为 TP-LINK-300M),如下图:

1、下面是用Win10系统进行连接的,如果电脑上有以前保存要连接的路由器的密码,请务必删除,Win10在要连接的路由器SSID上右击,点击忘记就可以了,然后点击连接,弹出的窗口里输入账户demo,密码demopwd,点击确定,如果正常就可以上网了。

 2、下面是用Win7系统进行连接的,如果电脑上有以前保存要连接的路由器的密码,也请务必删除,Win7需要打开控制面板里的网络和共享中心,然后点击管理无线网络(如下图)找到路由器的SSID删除即可,接下来连接路由器在弹出的窗口里输入账户demo,密码demopwd,点击确定,如果正常就可以上网了。

 

六、安装web后台管理页面daloradius:

有些 PHP 的必须包是不在默认标准库里的,还需要安装 PHP 扩展 pear(PHP扩展与应用库)。

wget http://download.pear.php.net/package/DB-1.7.14RC2.tgz    #下载软件包

安装一个pear-DB的包:

pear install DB-1.7.14RC2.tgz   

cd /var/www/html    # 进入web数据主目录 /var/www/html

从sf.net(https://sourceforge.net/projects/daloradius/?source=typ_redirect)下载最新版的daloraidus

wget https://nchc.dl.sourceforge.net/project/daloradius/daloradius/daloradius0.9-9/daloradius-0.9-9.tar.gz

然后

tar -zxvf daloradius-0.9-9.tar.gz     # 解压daloradius-0.9-9.tar.gz

mv daloradius-0.9-9 daloradius     # 将文件daloraidus-0.9-9重命名为daloradius

 

解压文件 daloradius 中有 INSTALL 文件是对其的信息和安装配置的说明,可以按照其说明去做。
要注意的是与freeradius配合安装,导入的是不同的数据包。

 

配置时修改数据库连接信息的文件是 /var/www/html/daloradius/library/daloradius.conf.php,填写正确的数据库名称、用户名和密码。当前版本的 INSTALL 文件中所写配置文件为daloradius.conf,大概是由于没有及时更新,是不正确的。

chown apache:apache -R /var/www/html/daloradius/      # 将 /var/www/html/ 文件夹极其下面的所有文件设置为apache组和apache用户所拥有

chmod 644 /var/www/html/daloradius/library/daloradius.conf.php     # 将 daloraidus.conf.php 文件的权限设置为rw-r--r--

cd /var/www/html/daloradius/contrib/db/       # 进入 /var/www/html/daloradius/contrib/db/ 目录

mysql -u root -p radius < mysql-daloradius.sql      # 将 mysql-daloradius.sql 导入到mysql里radius数据库中

mysql -u root -p radius < fr2-mysql-daloradius-and-freeradius.sql     # 将 fr2-mysql-daloradius-and-freeradius.sql 导入到mysql里radius数据库中

vi /var/www/html/daloradius/library/daloradius.conf.php     # 修改daloradius.conf.php 文件,将以下涉及到的内容更改,其他的别动

(28-33行)

$configValues['CONFIG_DB_ENGINE'] = 'mysql';

$configValues['CONFIG_DB_HOST'] = 'localhost';

$configValues['CONFIG_DB_PORT'] = '3306';          # 连接mysql数据库的端口

$configValues['CONFIG_DB_USER'] = 'root';            # 连接mysql数据库的账户

$configValues['CONFIG_DB_PASS'] = ' ';                 # 连接mysql数据库账号的密码

$configValues['CONFIG_DB_NAME'] = 'radius';        # 连接mysql的radius数据库

 

下面还有几个 daloradius 的 bug,默认配置中有几个文件路径和我们导入的不一样,把它改过来:

$configValues['CONFIG_FILE_RADIUS_PROXY'] = '/etc/raddb/proxy.conf';(68行)

$configValues['CONFIG_PATH_DALO_VARIABLE_DATA'] = '/var/www/html/daloradius/var';(70行)

$configValues['CONFIG_MAINT_TEST_USER_RADIUSSECRET'] = 'testing123';(88行)  # 注意这条,要和 /etc/raddb/clients.conf 文件设置的secret =xxxxxxxxxx 值一样。

配置完成后,保存退出

touch /tmp/daloradius.log    # 建立daloraidus的日志文件

chown apache.apache /tmp/daloradius.log    # 将其文件设置为apache组及apache用户拥有

service httpd restart    # 重启http服务

 

接下来是添加防火墙规则,开放防火墙80端口,1812是radius服务的认证授权端口,1813是计费端口

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT 

/sbin/iptables -I INPUT -p tcp --dport 1812 -j ACCEPT

/sbin/iptables -I INPUT -p tcp --dport 1813 -j ACCEPT

/sbin/iptables -I INPUT -p udp --dport 1812 -j ACCEPT

/sbin/iptables -I INPUT -p udp --dport 1813 -j ACCEPT

 

查看端口是否开放

iptables -L -n | grep 181

/etc/rc.d/init.d/iptables save        # 保存配置 /etc/rc.d/init.d/iptables restart      # 重启服务

 

现在打开浏览器访问 http://your ip address/daloradius 就可以看到daloradius了,默认登录的用户名和密码分别为  username: administrator     password: radius。

 Config下可以对管理员进行增删改,如下图:

cat  /etc/httpd/logs/error_log       # 可以查看 http 服务的日志,看有没有错误

 下面是配置计费流量等mysql -u root -puse radius

  1. INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('user','Auth-Type',':=','Local');  

  2. INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('user','Service-Type',':=','Framed-User');  

  3. INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('user','Framed-IP-Address',':=','255.255.255.255');  

  4. INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('user','Framed-IP-Netmask',':=','255.255.255.0');  

  5. INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('user','Acct-Interim-Interval',':=','600');     # acct-interim-interval是计算流量的间隔(600秒),意味着每隔10分钟记录当前流量。

  6. INSERT INTO radgroupcheck (groupname,attribute,op,VALUE) VALUES ('user','Simultaneous-Use',':=','1');     # 允许同时连接数目。

第七步,配置H3C交换机与radius服务器连接

在网络设备上开启802.1X认证、AAA认证和服务器RADIUS的配置,本文以H3C交换机为例。

1、设置交换机的IP地址:

[H3C] system-view   #开启全局802.1x特性

#先设定交换机IP vlan 1打开端口 默认分配到vlan1

#交换机端口默认是vlan1,工作在access模式

[H3C] interface vlan-interface 1

[H3C-Vlan-interface1] ip add x.x.x.x x.x.x.x      # ip add 交换机的IP地址 交换机的子网掩码

[H3C-Vlan-interface1] quit

 

第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:

dot1x

dot1x authentication-method eap   #采用eap认证方式

quit

百度百科关于802.1X认证协议和eap协议的说明:

802.1X认证协议:

(1)https://baike.baidu.com/item/802.1x/5635474?fr=aladdin

(2)https://baike.baidu.com/item/802.1x身份认证/7850855

eap协议:https://baike.baidu.com/item/EAP协议/5794582

 

Web界面显示如下:

第二步:与认证服务器RADIUS的配置,命令如下:

radius scheme demo   # 创建radius方案demo并进入其视图

primary authentication x.x.x.x (IP)   # 设置主认证radius服务器的IP

primary accounting x.x.x.x (IP)     # radius主计费服务器的IP

key authentication xxxxxxxxxx  (密码)  # radius服务器认证密码

key accounting xxxxxxxxxx  (密码)   # radius服务器计费密码

user-name-format without-domain    # 指示系统从用户名中去除用户域名后再将之传给radius服务器

quit

 

Web界面显示如下:

第三步:配置AAA认证,最好是每个认证都开启,我在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:

domain system   # 创建域system并进入其视图

  1. authentication lan-access radius-scheme demo   # 配置802.1x用户使用radius方案demo进行认证、授权、计费。

  2. authorization lan-access radius-scheme demo

  3. accounting lan-access radius-scheme demo

access-limit disable    # 可设置该域最多可容纳多少个用户,这里不设置

state active  

idle-cut disable    # 可启动闲置切断功能并设置相关参数,这里不设置

self-service-url disable

quit

 

Web页面显示如下:

第四步:开启端口的802.1X的认证,命令如下:

interface GigabitEthernet1/0/1    # 开启指定端口GigabitEthernet1/0/1的802.1x特性

undo dot1x handshake     # 这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连

dot1x port-method portbased     # 端口控制方式为Port Based

dot1x

 

Web界面显示如下:

第五步:dis cu查看最终所有的配置,如下:

<H3C>dis cu

#

 version 5.20.99, Release 1111

#

 sysname H3C

#

 domain default enable system

#

 ipv6

#

 telnet server enable

#

 port-group-vlan 1

#

 dot1x

 dot1x authentication-method eap

#

 password-recovery enable

#

vlan 1

#

radius scheme demo

 primary authentication 192.168.1.239

 primary accounting 192.168.1.239

 key authentication cipher $c$3$buPUPkVkvu8c7rakR3BdQpKbL4c24LiQfJdCu8EM

 key accounting cipher $c$3$LdPEB85akrViDkqJTFsTAaSvl36Oc7nryXMFm56q

 user-name-format without-domain

#

domain system

 authentication lan-access radius-scheme demo

 authorization lan-access radius-scheme demo

 accounting lan-access radius-scheme demo

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

 group-attribute allow-guest

#

local-user admin

 password cipher $c$3$EkhzOhFEh59+WPOOlD32QaWsr0DwDZyU

 authorization-attribute level 3

 service-type telnet

 service-type web

#

interface NULL0

#              

interface Vlan-interface1

 ip address 192.168.1.240 255.255.255.0

#

interface GigabitEthernet1/0/1

 dot1x guest-vlan 1

 undo dot1x handshake

 dot1x port-method portbased

 dot1x

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface GigabitEthernet1/0/5

#

interface GigabitEthernet1/0/6

。。。。。。

#

 undo info-center logfile enable

#

 load xml-configuration

#              

user-interface aux 0

user-interface vty 0 15

 authentication-mode scheme

#

return

 

H3C交换机恢复默认配置命令

<H3C>reset saved-configuration

The saved configuration file will be erased. Are you sure? [Y/N]:Y

注意:恢复完后需要重启交换机才能生效

<H3C>reboot

 Start to check configuration with next startup configuration file, please wait.........DONE!

 This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:N

 This command will reboot the device. Continue? [Y/N]:Y

 

到这所有的配置终于是完了,电脑上可以安装锐捷的认证客户端进行认证登录。

第八步,daloradius中文版配置:

进入daloradius 文件目录,修改config-lang.php,添加中文选项:

cd /var/www/html/daloradius

vi config-lang.php

 

<option value="zh"> Simplified Chinese </option>   (79行)

 

进入lang目录,修改main.php,增加简体中文文件:

cd lang/

vi main.php

  (32行)

case "zh":

            include (dirname(__FILE__)."/zh.php");

            break;

 

下载文件zh.php;

链接:https://pan.baidu.com/s/10RX80RMIQRMYkcEzicF7lw,密码:z7wu

 

返回lang目录,将下载的zh.php文件放入lang目录,重启radius服务;

cd /var/www/html/daloradius/lang

将下载的zh.php上传至此目录。

 

service radiusd restart    # 重启radius服务

service httpd restart        # 重启http服务

service mysqld restart     # 重启mysql服务

 

设置为简体中文 Config -> Language Settings ->Simplified Chinese

 

iptables -L    # 查看iptables防火墙规则链

保证80(HTTP超文本传输协议端口)、1812(认证授权端口)、1813(计费端口)端口的开放。

第九步,daloradius对freeradius服务的Web页面管理展示:

1、服务器状态:

2、在线用户:

3、连接记录:

4、用户排行:

 


打赏

本文链接:https://www.kinber.cn/post/1671.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客