加载中…
个人资料
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

FreeRadius简易配置

(2015-11-24 10:33:49)
标签:

asa

freeradius

分类: 网络技术
为学习asa的aaa配置时,需要用到radius服务器,于是在centos上搭建了freeradius,这里做个简易的记录
yum install freeradius freeradius-utils 
前者是服务器端,后者主要用于测试

配置文件
[root@vmtest ~]# vi /etc/raddb/radiusd.conf
主要是配置监听的网络端口之类的,如无特殊需求,这个文件其实不用做什么修改。测试中试改过把文件中的interface=eth0,咋看之下并无不妥,但radiusd服务总是起不来。后把该项重新注释掉,服务就能启动了。

[root@vmtest ~]# vi /etc/raddb/clients.conf
client asa {
        ipaddr = 192.168.5.5
        shortname       = asa5505
        secret = testing123
        nastype = cisco
}
该文件用于配置nas信息,radius并非默认接受任何客户端的查询,必须要在这里配置了,才能进行查询。

帐号配置文件,注意:如果使用这种方式增加修改用户信息,需要重启radius服务。
[root@vmtest ~]# vi /etc/raddb/users
加入
"coosh" Cleartext-password := "ccc"
"panny" Cleartext-password := "ppp"
第一列是登录名,如果该名有空格,必须要用双引号。属性Cleartext-password明文密码的意思,:=这里要特别注意,别写错了。关于该users文件的说明,可参考man 5 users

启动freeradius,有两种模式
一个是普通的服务模式,就是service radiusd start
另一个就是debug模式,命令行下直接运行[root@vmtest ~]# radiusd -X  <<大写X
 ... adding new socket proxy address * port 40456
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /var/run/radiusd/radiusd.sock
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.

centos自行测试
多开一个ssh,然后运行[root@vmtest ~]# radtest coosh ccc 127.0.0.1 0 testing123
Sending Access-Request of id 96 to 127.0.0.1 port 1812
        User-Name = "coosh"
        User-Password = "ccc"
        NAS-IP-Address = 192.168.5.103
        NAS-Port = 0
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=96, length=20
radtest的写法请参考radtest -h
以上结果看到Access-Accept,证明验证通过。

在asa中配置radius的信息
aaa-server VMAAA protocol radius
aaa-server VMAAA (inside) host 192.168.5.103
然后在asdm上进行测试,本次测试使用帐号panny
=====================================================================
排错
在debug模式中,如果有以下类似的信息,并且测试提示超时。
Ignoring request to authentication interface eth0 address * port 1812 from unknown client 192.168.5.5 port 1025
就是client.conf中缺少了相关的信息,很有可能是写错了,所以务必要仔细检查这个文件的写法,包括大小写、空格。












0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有