Linux上构建一个RADIUS服务器详解

来源： 作者： 时间：2007-10-18 Tag： 点击：

清单7 配置验证

aaa authentication login default group radius local
line vty 0 4
login authentication default

在这个例子中，网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用，则使用 NAS 的本地用户数据库密码。

清单8 配置授权

aaa authorization exec default group radius if-authenticated

允许用户在登录到 NAS 中时运行 EXEC shell。

清单9 配置记帐

aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius

必须对路由器进行特别的配置，以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。

这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 12.01T1的Cisco 1200 Series AP。如图2中的屏幕快照所示，您：

* 输入服务器名或 IP 地址和共享的秘密。

* 选择“Radius”作为类型，并选中“User Authentication”。
记帐：工作中的RADIUS

现在所有配置都已经完成，FreeRADIUS服务器可以开始记录NAS发送的所有信息，将该信息存储在/var/log/radius/radius.log文件中，就像这样：

清单10 /var/log/radius/radius.log文件

Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
mylan port 1 cli 192.168.0.94)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
client mylan port 1 cli 192.168.0.94)

详细的记帐信息被存放在/var/log/radius/radacct目录中。清单11表明，David在2005年3月4日19:40到19:51这段时间里从 192.168.0.94登录到了路由器192.168.0.1。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。

清单11 RADIUS 提供的记帐细节示例

Fri Mar 4 19:40:12 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412

Fri Mar 4 19:51:17 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077

结束语

通过遵循本文中列出的简单步骤，您可以建立一个Remote Authentication Dial-In User Service服务器，该服务器使用一个外部的LDAP服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务：

* 对RADIUS和LDAP服务器以及AAA概念的介绍。

* 一个融入了安装和配置任务的场景。

* 关于安装和配置RADIUS服务器的说明。

* 关于配置网络访问服务器的细节。

* RADIUS将提供和管理的详细信息的一个示例。

这些指示可以快速确保受保护的数据只能由Linux系统上已授权的实体访问

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：Linux系统下经典游戏CS1.5服务器架设
下一篇：服务器网页缓存的深入分析

◇apache jsp tomcat 虚拟主机在加上pure-ftp	◇squid 优化（解释篇）
◇调整centos文件打开数	◇REDHAT AS安装10g错误
◇用SystemImager克隆系统（一）	◇openssh 5.1版使用chroot sftp帐号技术
◇HPUX从入门到提高之三	◇postfix+vm-pop3+openmail 构造邮件服务器
◇SecureCRT设置	◇双机备份方案（resin集群＋冷备）
◇开启rsh服务	◇Solaris9允许root用户登录ssh
◇Solairs如何上网？	◇实战PXE启动安装Redhat AS 5 Linux
◇RHCT Lab1: Network Installation	◇RHCE Lab1: Kickstart
◇RHCE Lab1.1: Auto Installation	◇apache版本号显示的问题
◇修改tomcat端口号	◇RS/6000小型机故障的基本定位方法
◇Linux下的权限管理-ACL	◇CactiEZv9监控CentOS5.0
◇Red Hat Enterprise Linux 5.2 简明安装手册	◇StorNext 简单安装说明
◇FreeBSD7 Apache2.2 PHP5 PostgreSQL8.3 Ports安	◇关于nagios监控系统添加主机和服务脚本
◇C和C++语言学习总结	◇apache优化
◇CentOS+Nginx+PHP+Mysql(1)	◇Apache服务器限制并发连接和下载速度

91Linux!