加载中…FreeRadius简易配置
(2015-11-24 10:33:49)
标签:
asafreeradius |
分类: 网络技术 |
为学习asa的aaa配置时,需要用到radius服务器,于是在centos上搭建了freeradius,这里做个简易的记录
ipaddr = 192.168.5.5
shortname
= asa5505
secret = testing123
nastype = cisco
... adding new socket proxy address * port
40456
User-Name = "coosh"
User-Password = "ccc"
NAS-IP-Address = 192.168.5.103
NAS-Port = 0
Message-Authenticator =
0x00000000000000000000000000000000
yum install freeradius
freeradius-utils
前者是服务器端,后者主要用于测试
配置文件
[root@vmtest ~]# vi /etc/raddb/radiusd.conf
主要是配置监听的网络端口之类的,如无特殊需求,这个文件其实不用做什么修改。测试中试改过把文件中的interface=eth0,咋看之下并无不妥,但radiusd服务总是起不来。后把该项重新注释掉,服务就能启动了。
[root@vmtest ~]# vi /etc/raddb/clients.conf
client asa {
}
该文件用于配置nas信息,radius并非默认接受任何客户端的查询,必须要在这里配置了,才能进行查询。
帐号配置文件,注意:如果使用这种方式增加修改用户信息,需要重启radius服务。
[root@vmtest ~]# vi /etc/raddb/users
加入
"coosh" Cleartext-password := "ccc"
"panny" Cleartext-password := "ppp"
第一列是登录名,如果该名有空格,必须要用双引号。属性Cleartext-password明文密码的意思,:=这里要特别注意,别写错了。关于该users文件的说明,可参考man
5 users
启动freeradius,有两种模式
一个是普通的服务模式,就是service radiusd start
另一个就是debug模式,命令行下直接运行[root@vmtest ~]# radiusd -X
<<大写X
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /var/run/radiusd/radiusd.sock
Listening on authentication address 127.0.0.1 port 18120 as
server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.
centos自行测试
多开一个ssh,然后运行[root@vmtest ~]# radtest coosh ccc 127.0.0.1 0
testing123
Sending Access-Request of id 96 to 127.0.0.1 port 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812,
id=96, length=20
radtest的写法请参考radtest -h
以上结果看到Access-Accept,证明验证通过。
在asa中配置radius的信息
aaa-server VMAAA protocol radius
aaa-server VMAAA (inside) host 192.168.5.103
然后在asdm上进行测试,本次测试使用帐号panny
http://s16/mw690/001IBRYqgy6Xfmg3yd91f&690
http://s16/mw690/001IBRYqgy6XfmiZd4bef&690
http://s9/mw690/001IBRYqgy6XfmmN956b8&690
http://s16/mw690/001IBRYqgy6XfmiZd4bef&690
http://s9/mw690/001IBRYqgy6XfmmN956b8&690
=====================================================================
排错
在debug模式中,如果有以下类似的信息,并且测试提示超时。
Ignoring request to authentication interface eth0 address *
port 1812 from unknown client 192.168.5.5 port 1025
就是client.conf中缺少了相关的信息,很有可能是写错了,所以务必要仔细检查这个文件的写法,包括大小写、空格。
喜欢
0
赠金笔