2. 程式人生 > >FreeRadius+Cisco交換機+Windows AD實現802.1X認證

FreeRadius+Cisco交換機+Windows AD實現802.1X認證

阿新 發佈:2018-07-31
inpu onf its 配置 add ima using emctl 下一步

(一)概述
本文檔描述了如何設置FreeRadius服務器,以便對windows客戶端網絡用戶透明的對ActiveDirectory進行身份驗證。

1.1、原理:
FrReRADIUS通過基於端口的訪問控制提供身份驗證。只有當認證服務器驗證了證書時,用戶才能連接到網絡。用戶證書通過使用802.1x標準的特殊認證協議來驗證。(FreeRADIUS offers authentication via port based access control. A user can connect to the network only if its credentials have been validated by the authentication server. User credentials are verified by using special authentication protocols which belong to the 802.1X standard.---官方文檔)

技術分享圖片

如上圖所示,如果用戶憑據已被FRIERADIUS服務器認證,則僅授予工作站的網絡訪問權限。否則,交換機端口將被關閉對所有的網絡流量。RADIUS服務器允許與域控制器聯系以進行用戶身份驗證。雖然交換機端口被關閉,但是工作站可以通過認證協議與RADIUS服務器通信。RADIUS服務器能夠檢查域控制器,如果用戶存在並且密碼是否正確。如果是這種情況,RADIUS服務器告訴交換機打開端口,用戶將訪問網絡。

1.2、所需的環境

  • CentOS7.4
  • FreeRADIUS 3.0.17(https://freeradius.org/releases/)
  • Samba 3.0.x
  • Openssl
  • Cisco Switch
  • Windows7 sp1

(二)、Linux服務器的安裝配置
1、關閉防火墻和selinux

[appuser@FreeRadius2 ~]$ sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
[appuser@FreeRadius2 ~]$ sudo grep ‘^[a-Z]‘ /etc/selinux/config 
SELINUX=disabled
SELINUXTYPE=targeted 
 
2、編譯安裝freeradius
[appuser@FreeRadius2 ~]# sudo xf freeradius-server-3.0.17.tar.gz
[appuser@FreeRadius2 ~]# cd freeradius-server-3.0.17
[root@FreeRadius2 freeradius-server-3.0.17]# sudo yum install libtalloc-devel -y
[root@FreeRadius2 freeradius-server-3.0.17]#yum install openssl openssl-devel
[appuser@FreeRadius2 freeradius-server-3.0.17]#sudo ./configure
[appuser@FreeRadius2 freeradius-server-3.0.17]# sudo make && make install
[root@FreeRadius2 raddb]# cp /usr/local/sbin/rc.radiusd /etc/init.d/radiused
[root@FreeRadius2 raddb]# /etc/init.d/radiused start
[root@FreeRadius2 raddb]# ps -ef|grep radiusd
root      5529     1  0 17:04 ?        00:00:00 /usr/local/sbin/radiusd
root      5537 26619  0 17:04 pts/2    00:00:00 grep --color=auto radiusd
[root@FreeRadius2 raddb]# /etc/init.d/radiused stop
Stopping FreeRADIUS: radiusd.
[root@FreeRadius2 raddb]# ps -ef|grep radiusd

3、安裝配置samba

    [appuser@FreeRadius2 ~]$ sudo yum install samba samba-client samba-winbind krb5-server
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Resolving Dependencies
--> Running transaction check
---> Package krb5-server.x86_64 0:1.15.1-19.el7 will be installed
Installed:
  krb5-server.x86_64 0:1.15.1-19.el7  samba.x86_64 0:4.7.1-6.el7  samba-client.x86_64 0:4.7.1-6.el7  samba-winbind.x86_64 0:4.7.1-6.el7 

Dependency Installed:
  avahi-libs.x86_64 0:0.6.31-19.el7             cups-libs.x86_64 1:1.6.3-35.el7         libarchive.x86_64 0:3.1.2-10.el7_2              
  libevent.x86_64 0:2.0.21-4.el7                libldb.x86_64 0:1.2.2-1.el7             libsmbclient.x86_64 0:4.7.1-6.el7               
  libtalloc.x86_64 0:2.1.10-1.el7               libtdb.x86_64 0:1.3.15-1.el7            libtevent.x86_64 0:0.9.33-2.el7                 
  libverto-libevent.x86_64 0:0.2.5-4.el7        libwbclient.x86_64 0:4.7.1-6.el7        pytalloc.x86_64 0:2.1.10-1.el7                  
  samba-client-libs.x86_64 0:4.7.1-6.el7        samba-common.noarch 0:4.7.1-6.el7       samba-common-libs.x86_64 0:4.7.1-6.el7          
  samba-common-tools.x86_64 0:4.7.1-6.el7       samba-libs.x86_64 0:4.7.1-6.el7         samba-winbind-modules.x86_64 0:4.7.1-6.el7      
  words.noarch 0:3.0-22.el7                    

Dependency Updated:
  dbus.x86_64 1:1.10.24-7.el7     dbus-libs.x86_64 1:1.10.24-7.el7 krb5-devel.x86_64 0:1.15.1-19.el7 krb5-libs.x86_64 0:1.15.1-19.el7
  libkadm5.x86_64 0:1.15.1-19.el7

Complete!

3、配置samba服務器並重啟samba服務。
一旦PAP認證測試成功,使用ActiveDirectory的站點的下一步是配置系統以對ActiveDirectory進行用戶身份驗證。明文密碼通過ActiveDirectory不可用,因此我們必須使用SAMBA和ntlm_auth程序。在這個配置中,我們使用ActiveDirectory作為身份驗證Oracle,而不是LDAP數據庫。一旦Samba已經安裝在您的系統上,您應該編輯SMBCONF文件,並將[Global ]部分配置為指向NT服務器,包括主機名和NT域。本文只配置samba配置文件中的[global]部分

[root@FreeRadius2 raddb]# vim /etc/samba/smb.conf

[global]
        workgroup = CORP                  ##指定域的netbios名稱
                security = ads                           ##指定samba的工作模式,和域集成
        winbind use default domain = no
        password server = X.X.X.X           #指定定身份驗證的服務器為域控   
        realm = CORP.BAIDU.COM         #指定AD域名   

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes

[printers]
    comment = All Printers
    path = /var/tmp
    printable = Yes
    create mask = 0600
    browseable = No

[print$]
    comment = Printer Drivers
    path = /var/lib/samba/drivers
    write list = @printadmin root
    force group = @printadmin
    create mask = 0664
    directory mask = 0775

[root@FreeRadius2 raddb]# systemctl start smb
[root@FreeRadius2 raddb]# systemctl status smb
● smb.service - Samba SMB Daemon
   Loaded: loaded (/usr/lib/systemd/system/smb.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2018-07-31 17:16:05 CST; 4s ago
 Main PID: 5587 (smbd)
   Status: "smbd: ready to serve connections..."
   CGroup: /system.slice/smb.service
           ├─5587 /usr/sbin/smbd --foreground --no-process-group
           ├─5589 /usr/sbin/smbd --foreground --no-process-group
           ├─5590 /usr/sbin/smbd --foreground --no-process-group
           └─5591 /usr/sbin/smbd --foreground --no-process-group

4、配置/etc/krb5.conf

[root@FreeRadius ~]# vim  /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = CORP.BAIDU.COM                         #指定域名
 dns_lookup_realm = false                                  
 dns_lookup_kdc = false

[realms]
CORP.PPDAI.COM = {
  kdc = 10.128.105.170:88                               #指域控為kdc服務器及端口
  admin_server = 10.128.105.170:749                     #指定域控的管理端口
  default_domain = corp.baidu.com
 }

[domain_realm]
 .corp.ppdai.com = CORP.BAIDU.COM
  corp.ppdai.com = CORP.BAIDU.COM

[kdc]
  profile =/var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
 }

5、編輯/etc/nsswich.conf,在下列行末添加winbind,其他的不變

[root@FreeRadius ~]# cat /etc/nsswitch.conf
passwd:     files sss winbind
shadow:     files sss winbind
group:      files sss winbind

protocols:  files sss winbind

services:   files sss winbind

netgroup:   files sss winbind

automount:  files sss winbind

6、把改臺服務器添加到域中。如果不加入到域的話,啟動winbind服務會起不來出現報錯。

[root@FreeRadius2 radiusd]# net join -U liqingbiao
Enter liqingbiao‘s password:
Using short domain name -- CORP
Joined ‘FREERADIUS2‘ to dns domain ‘corp.baidu.com‘
No DNS domain configured for freeradius2. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

7、啟動smaba和winbind服務。

[root@FreeRadius2 radiusd]# systemctl enable winbind
[root@FreeRadius2 radiusd]# systemctl enable smb
[root@FreeRadius2 radiusd]# systemctl start winbind
[root@FreeRadius2 radiusd]# systemctl start smb
[root@FreeRadius2 radiusd]# systemctl status winbind
● winbind.service - Samba Winbind Daemon
   Loaded: loaded (/usr/lib/systemd/system/winbind.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2018-07-31 17:26:30 CST; 1min 5s ago
 Main PID: 5651 (winbindd)
   Status: "winbindd: ready to serve connections..."
   CGroup: /system.slice/winbind.service
           ├─5651 /usr/sbin/winbindd --foreground --no-process-group
           └─5653 /usr/sbin/winbindd --foreground --no-process-group

8、通過wbinfo進行賬號拉取測試。wbinfo –a user%password

[root@FreeRadius2 appuser]# wbinfo -a it001%123456
plaintext password authentication failed
Could not authenticate user it004%Aa123456 with plaintext password
challenge/response password authentication succeeded     ###成功了
[root@FreeRadius2 appuser]# ntlm_auth --request-nt-key --domain=CORP --username=it001   ###ntlm是windows 域環境下的認證方式
Password: 
NT_STATUS_OK: The operation completed successfully. (0x0)

9、修改/var/lib/samba/winbindd_privileged權限

[root@FreeRadius2 appuser]#usermod –G wbpriv radiusd
[root@FreeRadius2 appuser]#chown –R root.radiusd /var/lib/samba/winbindd_privileged

(三)、FreeRadius的配置
freeradius具體相關的配置如下:

  • clients.conf
  • mods-available/mschap
  • mods-available/eap
  • users

1、配置clients.conf文件,添加通信客戶端。

[root@FreeRadius2 ~]# vim /usr/local/etc/raddb/clients.conf
client 172.20.19.0/24 {
        secret = test
        showtanme = CE-SW
        }

client 172.20.66.0/24 {
    secret = Aa@@123456
    showtanme = CE-SW
    }

client 172.20.94.0/24 {
        secret = Aa@@123456
        showtanme = CE-SW
        }

2、配置mods-available/mschap文件。編輯/usr/local/etc/raddb/mods-available/mschap文件
[root@FreeRadius2 ~]# vim /usr/local/etc/raddb/mods-available/mschap

   with_ntdomain_hack = yes
   ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{mschap:User-Name}:-00} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00} --domain=%{%{mschap:NT-Domain}:-CORP.BAIDU.COM}"

3、配置mods-available/eap文件,編輯/usr/local/etc/raddb/mods-available/eap文件

[root@FreeRadius2 ~]# vim /usr/local/etc/raddb/mods-available/eap 
default_eap_type = peap.

random_file = /dev/urandom

4、配置/usr/local/etc/raddb/mods-enabled/ntlm_auth文件

[root@FreeRadius2 ~]# vim /usr/local/etc/raddb/mods-enabled/ntlm_auth
exec ntlm_auth {
        wait = yes
        program = "/usr/bin/ntlm_auth --request-nt-key --domain=CORP.PPDAI.COM --username=%{mschap:User-Name} --password=%{User-Password}"

5、編輯/etc/raddb/sites-enabled/default 和/etc/raddb/sites-enabled/inner-tunnel文件

authenticate {        ...        ntlm_auth        ...}

FreeRadius+Cisco交換機+Windows AD實現802.1X認證

相關推薦

FreeRadius+Cisco交換機+Windows AD實現802.1X認證

inpu onf its 配置 add ima using emctl 下一步 (一)概述本文檔描述了如何設置FreeRadius服務器,以便對windows客戶端網絡用戶透明的對ActiveDirectory進行身份驗證。 1.1、原理:FrReRADIUS通過基於端口的

H3C 交換機windows NPS結合實現內網802.1X認證

NPS\802.1x環境介紹: windows server 2012 NPS 承擔Radius Server 角色 Radius Client 設備型號 H3C S3100V2 由於802.1x 端口控制方式有兩種,一種是基於接口的接入控制方式(PortBased),一種是基於Mac的接入控制方式(M

Windows 客戶端802.1x的一些設置

wlan port shadow 添加 用戶輸入 guid .net 位置 watermark 802.1x作為網絡準入的驗證,自然有很多好處。但是在實施過程中也遇到了些小問題。我在這裏記錄下來,希望對大家有幫助,遇到問題的時候能有個參考。基於用戶驗證的方式,當用戶修改了密

華為AC配置802.1X認證

dot1x<AC6005>system-view [AC6005]vlan batch 10 to 14[AC6005]int vlan 10 [AC6005-Vlanif10]ip address 192.168.10.254 24[AC6005-Vlanif10]quit[AC6005]cap

自學Aruba7.3-Aruba安全認證-802.1x認證(web頁面配置)

配置 col htm 點擊 命名 頁面 com tar .html 點擊返回:自學Aruba之路 自學Aruba7.3-Aruba安全認證-802.1x認證(web頁面配置) 步驟1 建立AP Group,命名為test-group自學Aruba7.3-Aruba安全認證-

淺談802.1X認證

一、起源 802.1x協議起源於802.11協議,後者是標準的無線區域網協議。802.1x協議的主要目的是為了解決區域網使用者的接入認證問題,現在已經開始被應用於一般的有線LAN的接入。在802.1x出現之前,企業網有線LAN應用都沒有直接控制到埠的方法,也不需要控制到埠。

hostapd程式碼分析-完全的802.1X認證過程(radius伺服器)

第一章、802.1X認證過程簡述 802.1x認證的函式呼叫如下所示:                                                                             圖 1-1        由上圖可以看出,

一個完整的802.1X認證的互動

首先是802.11的連線,如圖: 前2個互動是相互發現的一個過程。之後,先做auth,再做association。 在WPA/RSN中,802.11的auth用的都是open的方式。這是第一個階段,也就是802.11的認證。 當association完成後,

wifi無線認證,802.1x認證上網方式詳解

工作人員 彈出 密碼 方式 員工 價值 集中 web 網絡資源 圖片描述(最多50字) 這裏,主要介紹一下802.1x認證上網: 1 802.1x認證上網簡介802.1x認證上網是指在無線網絡認證界面,點擊相應的無線網絡,彈出賬戶密碼輸入框,用戶輸入賬號密碼的一種認證方式。

FreeRadius + Daloradius + Ubuntu Server 實現的無線802.1x的radius驗證

freeradius daloradius radius opensource 介紹FreeRadius 是目前開源應用中使用最廣泛的軟件。它支持目前普遍使用的各種驗證協議,服務器是運行在PHP為基礎的web平臺上提供一種叫dialupadmin的用戶管理工具。它為近500家企業提供了AAA訪

linux下的freeradius802.1x)伺服器搭建總結

1.下載壓縮包 http://freeradius.org https://www.samba.org/ftp/talloc/talloc-2.17.tar.gz  下載的壓縮包的名字為: talloc-2.1.7.tar.gz 和freeradius-server-3.0

cisco如果設定802.1X配置過程

1、和802.1x相關的交換機主要配置內容: aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius !---如果只是做802.1x認證,則aaa au

兩層交換機上劃分VLAN借三層交換機路由功能實現跨網段訪問(Cisco Packer Tracer 模擬器)

忙活了一下午 , 終於成功了  不容易啊!    還是 發一下 博文吧,   【簡單拓撲圖】: 【註釋】 這裡 劃分了 兩個vlan 3 和 4     vlan3 分佈在交換機1 和 2 中 【注意】 ip 與閘道器的網段保持一致!!!!不要忘記設定主機閘道器

鏈路聚合+STP+埠隔離+802.1x驗證實現互通

拓撲圖如下:實驗步驟:        1.解決環路影響,首先配置sw2,sw3,sw4的STP。        2.實現sw1,sw2鏈路聚合。        3.劃分Wlan  所有的vlan都為vlan1000        4.實現埠隔離,隔離pc2,pc3     

freeradius 802.1X EAP-PEAP 認證失敗問題的解決

    使用freeradius 2.1.12版本測試 EAP-PEAP認證過程中,總是無法認證成功,檢視相關的LOG顯示, EAP-TLS 和 TUNNEL都已經完成,但是在mschapv2過程中出現報錯, 經過檢查 default檔案中eap和sql相關的配置都配置沒有

IEEE 802.1X標準

一個 無線網絡 密鑰 網絡服務 自適應 dhcp 特殊 radius 應用軟件 1、介紹   802.1X是一個IEEE標準,通過對用戶進行基於端口的安全認證和對密鑰的動態管理,從而實現保護用戶用戶的位置隱私和身份隱私以及有效保護通信過程中信息安全的目的。   在802.1

cisco交換機

cisco用戶模式、特權模式、全局模式Switch> 用戶模式 enableSwitch# 特權模式 configure terminalSwitch(config)# Switch(config)#no ip domain-lookup #關閉域名查找的功能Switch(conf

不用寫Windows服務實現定時器功能(FluentScheduler )

ace 簡單 要去 job macbook sharp 管理 dia 做到 MacBook Pro 只有四個 USB Type-C 接口是否錯了? 一項新技術的誕生總會對已存在的事物造成沖擊或影響,如果大家都害怕沖擊與影響,那這個世界永遠像現在不變就行了,大家都好好的,待

WINDOWS7 下 xclient 802.1x 客戶端 停止運行的解決辦法

802.1x 修改 計算機 啟用 cli rdquo 基本 客戶 客戶端 昨天下午,由於FOXMAIL 出現問題,修改了一個地方,導致xclient 停止運行。具體解決辦法如下:右擊“計算機”-進入“系統屬性”-->&l

cisco交換機開啟dhcp服務

cisco、dhcp 拓撲圖如下:上述設備用途說明: 1、使用R1做dhcp server 2、使用R2和R3代替電腦做dhcp client 3、SW1用做傻瓜交換機。dhcp server配置(R1配置):R1#disable #############使用 disable 命令