架设基于FreeRADIUS带有认证计费功能的Open***

一、文档预习

在查看下面博文之前，请大家先预览一下我前几篇关于Open***的部署，一遍与大家更好的了解：

二、FreeRadius简介

RADIUS认证服务器（Remote Authentication Dial In User Service，远程用户拨号认证系统）是目前应用最广泛的AAA协议（AAA=authentication、Authorization、Accounting，即认证、授权、计费）。随着网络安全需求提高，中小企业的局域网集中用户认证，特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。但这些用户不需要使用昂贵的专业系统，采用PC服务器和Linux系统的FreeRADIUS+MySQL就能可靠地实现。

FreeRADIUS包含一个radius服务器和radius-client，可以对支持radius协议的网络设备进行鉴权记账，常见的开源路由器操作系统：如Openwrt,DD-wrt等，都支持radius协议，对PPPOE，热点，***等服务器进行账户管理认证，记账。

Open***及FreeRADIUS 已经开发出了现成的Open***＋FreeRADIUS 协同工作的插件。open***官方插件是PAM-Radius，FreeRADIUS官方插件是radiusplugin，这两者不同的之处是，PAM-Radius仅有认证功能，不能向FreeRADIUS服务器发送计费报文，这里我使用的是挂载FreeRadius 官方的radiusplugin模块，因为此模块可以向FreeRADIUS服务器发送计费报文，从而实现计费功能。

三、安装FreeRadius

1、方案介绍

由于历史的遗留问题，将Open***、FreeRADIUS及MySQL部署在了同一台机器上，但是如果是在新的环境中部署，在硬件允许的情况下应该将它们部署在不同的机器上。daloRADIUS是一个用PHP语言写的Web应用程序，将其部署到一台有PHP环境的Apache的服务器上就行。

Open***、MySQL以及的安装我这里不再介绍，大家可以看我前面的博文，安装也非常简单。

1、环境准备

#关闭防火墙

service iptables stop

#关闭SELinux

setenforce 0

#开启路由转发

sysctl -w net.ipv4.ip_forward=1

#添加策略

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

2、安装FreeRadius以及数据库组件

FreeRadius现在最新的版本是3.0.1，如果要使用最新的版本那需要编译安装，我这里为了简便，使用安装光盘编译好的rpm包，版本是2.2.6。

1	`yum` `install` `freeradius freeradius-mysql -y`

我们可以通过"rpm -ql freeradius"看到安装了好的文件。

3、安装RadiusPlugin

RadiusPlugin插件的下载地址：http://www.nongnu.org/radiusplugin/。

#下载插件

wget http://www.nongnu.org/radiusplugin/radiusplugin_v2.1a_beta1.tar.gz

#解压缩

tar xf radiusplugin_v2.1a_beta1.tar.gz

cd radiusplugin_v2.1a_beta1

#解决依赖问题

yum install libgcrypt-devel -y

#安装非常简单，直接在目录下make

make

#把编译好的模块拷贝到

cp radiusplugin.so /usr/lib64/open***/plugin/lib/

#拷贝相应的配置文件

cp radiusplugin.cnf /etc/open***/

四、配置FreeRADIUS与MySQL的连接

对于FreeRADIUS服务器来说，根据需要，要对3个配置文件进行修改，其中一个是FreeRADIUS服务器的主配置文件radiusd.conf，一个是认证配置文件default，还有一个是与SQL数据库相关的配置文件sql.conf。

1、配置数据库

首先配置一下数据库，数据库的sql脚本是freeradius-mysql软件包带的，所以需要安装它。

mysql> create database radius;

mysql> grant all privileges on radius.* to radius@"localhost" identified by "radpass";

mysql> grant all privileges on radius.* to radius@"127.0.0.1" identified by "radpass";

mysql> use radius;

mysql> source /etc/raddb/sql/mysql/schema.sql

mysql> source /etc/raddb/sql/mysql/nas.sql

mysql> show tables;

+------------------+

| Tables_in_radius |

+------------------+

| nas |

| radacct |

| radcheck |

| radgroupcheck |

| radgroupreply |

| radpostauth |

| radreply |

| radusergroup |

+------------------+

# 插入测试数据，用于后面认证

mysql> insert into radcheck (username,attribute,op,value) values ('test','Cleartext-Password',':=','test');

8 rows in set (0.00 sec)

主数据库各字段含义：

radcheck 用户检查信息表
radreply 用户回复信息表
radgroupcheck 用户组检查信息表
radgroupreply 用户组检查信息表
radusergroup 用户和组关系表
radacct 计费情况表
radpostauth 认证后处理信息，可以包括认证请求成功和拒绝的记录。
nas 网络设备表

扩展功能表，可以按需导入ippool.sql、wimax.sql wimax、cui.sql cui详细的表定义。

2、配置主配置文件radiusd.conf

这个配置文件比较简单，在module模块里面把sql.conf和counter.conf前面的注释去掉即可，用来启用数据库连接查询等功能：

# As of 2.0.5, most of the module configurations are in a

# sub-directory. Files matching the regex /[a-zA-Z0-9_.]+/

# are loaded. The modules are initialized ONLY if they are

# referenced in a processing section, such as authorize,

# authenticate, accounting, pre/post-proxy, etc.

#

$INCLUDE ${confdir}/modules/

# Extensible Authentication Protocol

#

# For all EAP related authentications.

# Now in another file, because it is very large.

#

$INCLUDE eap.conf

# Include another file that has the SQL-related configuration.

# This is another file only because it tends to be big.

#

$INCLUDE sql.conf #打开这里的注释

#

# This module is an SQL enabled version of the counter module.

#

# Rather than maintaining seperate (GDBM) databases of

# accounting info for each counter, this module uses the data

# stored in the raddacct table by the sql modules. This

# module NEVER does any database INSERTs or UPDATEs. It is

# totally dependent on the SQL module to process Accounting

# packets.

#

$INCLUDE sql/mysql/counter.conf #打开这里的注释

#

3、配置radius认证文件

修改/etc/raddb/site_enabled下的defoult文件，默认是使用的文件认证，现在取消文件认证，改为sql认证，差不多少有file的注释掉，sql的启用，下面是我的模板。

[root@ios*** ~]# grep -Ev "^#|[:spcae:]*#|^$" /etc/raddb/sites-enabled/default

authorize {

preprocess

chap

mschap

digest

suffix

eap {

ok = return

}

sql #去掉注释，开启sql

expiration

logintime

pap

}

authenticate {

Auth-Type PAP {

pap

}

Auth-Type CHAP {

chap

}

Auth-Type MS-CHAP {

mschap

}

digest

unix

eap

}

preacct {

preprocess

acct_unique

suffix

# files

}

accounting {

detail

unix

radutmp

sql #去掉注释

exec

attr_filter.accounting_response

}

session {

radutmp

sql

}

post-auth {

sql

exec

Post-Auth-Type REJECT {

attr_filter.access_reject

}

pre-proxy {

}

post-proxy {

eap

}

4、配置与mysql数据库连接的配置文件sql.conf

其实按照上面的参数设定的话，这个文件不需要修改的，文件内容如下：

[root@ios*** ~]# grep -Ev "^#|[:spcae:]*#|^$" /etc/raddb/sql.conf

sql {

database = "mysql"

driver = "rlm_sql_${database}"

server = "localhost"

login = "radius"

password = "radpass"

radius_db = "radius"

acct_table1 = "radacct"

acct_table2 = "radacct"

postauth_table = "radpostauth"

authcheck_table = "radcheck"

authreply_table = "radreply"

groupcheck_table = "radgroupcheck"

groupreply_table = "radgroupreply"

usergroup_table = "radusergroup"

deletestalesessions = yes

sqltrace = no

sqltracefile = ${logdir}/sqltrace.sql

num_sql_socks = ${thread[pool].max_servers}

connect_failure_retry_delay = 60

lifetime = 0

max_queries = 0

nas_table = "nas"

$INCLUDE sql/${database}/dialup.conf

}

5、测试FreeRADIUS和MySQL的通信认证

配置到这里我们简单测试一下FreeRADIUS的认证是否可以了。需要命令radtest，如果没有这个命令，我们可以通过安装软件包来添加。

yum install freeradius-utils -y

# 启动freeradius，可以使用radiusd -X开启Debug模式

service radiusd start

用radtest测试test用户，密码是test。

[root@ios*** ~]# radtest test test localhost 0 testing123

Sending Access-Request of id 239 to 127.0.0.1 port 1812

User-Name = "test"

User-Password = "test"

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

Message-Authenticator = 0x00000000000000000000000000000000

rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=239, length=20

服务器如果返回有“Access-Accept”的字样，代表认证成功了，如果有“Access-Reject”字样则认证失败，这时可以停用radiusd服务，用命令radiusd -X开启服务从全部的debug信息中找到问题并解决，如果NAS-IP-Address显示的不是127.0.0.1那说明你没有配置主机名解析，请在hosts里面配置一下。

五、Open***通过插件连接FreeRADIUS进行认证

1、配置与客户端通信配置文件clients.conf

这个文件是FreeRADIUS与客户端（RadiusPlugin）通信使用的配置文件，默认文件只需添加shorname = localhost项，通信密钥可以默认。

[root@ios*** ~]# grep -Ev "^#|[:spcae:]*#|^$" /etc/raddb/clients.conf

client localhost {

ipaddr = 127.0.0.1

secret = testing123 #此参数与后面的radiusplugin.cnf内参数需一致

require_message_authenticator = no

shortname = localhost

}

2、配置radiusplugin.cnf

此文件是用来关联Open***和FreeRADIUS的，前面FreeRADIUS和MySQL的测试已经成功了，下面配置好此文件之后就可以测试***的认证了，此文件需要修改的地方不多，我这里的配置如下：

[root@ios*** ~]# grep -Ev "^#|^$" /etc/open***/radiusplugin.cnf

NAS-Identifier=Open***

Service-Type=5

Framed-Protocol=1

NAS-Port-Type=5

NAS-IP-Address=127.0.0.1

Open***Config=/etc/open***/server.conf

subnet=255.255.255.0

overwriteccfiles=true

nonfatalaccounting=false

server

{

# The UDP port for radius accounting.

acctport=1813

# The UDP port for radius authentication.

authport=1812

# The name or ip address of the radius server.

name=127.0.0.1

# How many times should the plugin send the if there is no response?

retry=1

# How long should the plugin wait for a response?

wait=1

# The shared secret.

sharedsecret=testing123 #和FreeRadius的客户端配置文件保持一致

}

3、Open***服务端配置文件

通过plugin字段让Open***调用RadiusPlugin插件。

[root@ios*** ~]# grep -Ev "^#|^$|^;" /etc/open***/server.conf

management 127.0.0.1 5800 #开启管理接口，不需要可以注释掉

port 1194

proto tcp

dev tun

ca /usr/share/doc/open***-2.3.9/sample/sample-keys/ca.crt #注意证书的路径，不同版本不一样

cert /usr/share/doc/open***-2.3.9/sample/sample-keys/server.crt

key /usr/share/doc/open***-2.3.9/sample/sample-keys/server.key

dh /usr/share/doc/open***-2.3.9/sample/sample-keys/dh2048.pem

topology subnet #开启节省IP，具体为什么查看我的Open***安装文档

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 10.0.0.0 255.0.0.0"

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 114.114.114.114"

client-to-client

duplicate-cn

keepalive 10 120

comp-lzo

persist-key

persist-tun

status /var/log/open***/open***-status.log

log-append /var/log/open***/open***.log

verb 3

script-security 3 system

plugin /usr/lib64/open***/plugin/lib/radiusplugin.so /etc/open***/radiusplugin.cnf

client-cert-not-required

username-as-common-name

4、Open***客户端配置文件

我这里是Windows的客户端，配置文件如下：

client

dev tun

proto tcp

remote 211.152.x.x 1194 #Open***服务器的IP地址

nobind

persist-key

persist-tun

ca ca.crt

;cert client.crt

;key client.key

comp-lzo

verb 3

auth-user-pass #客户端使用账号密码登录

reneg-sec 360000

5、***连接测试

重启Open*** 服务端后客户端就可以用“用户名/密码”的形式登录***了，如果要添加新的用户只需要在radius数据库的radcheck表插入新的记录即可，很是方便快捷。

在/var/log/radius和/var/log/open***下面有很多日志是记录连接状态的，如果连接有问题可以查看日志查找原因。

下面是我的Open***的日志，如果你的FreeRADIUS开启Debug模式的话也可以看到登录成功的信息。

到此为止，Open***用户已经成功通过了FreeRADIUS验证，而且也成功登录了Open***服务器，因此通过FreeRADIUS验证Open***用户登录Open***服务器也便全部完成了。

六、了解Open***的使用情况

要了解Open***的使用情况，可以使用FreeRADIUS服务器提供的命令，例如radwatch、radwho、radlast等等，这些命令是freeradius和freeradius-utils软件包带来的。

七、使用daloRADIUS Web程序管理FreeRADIUS服务

因为篇幅的原因，关于Web管理的部署配置请点击查看下面的文章。

请点击连接查看WEB管理详细部署

架设基于FreeRADIUS带有认证计费功能的Open***

猜你喜欢