Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务
第五部分 配置根据拨入用户名即域账户分配固定IP地址以实现对***用户的追踪
实验时间:2018年8月30日-2018年8月31日
拓扑图:
环境:
防火墙1:FW1 USG2200
IP地址外网:10.99.101.170 域名:strongswan.test.com
IP地址内网:192.168.20.3
防火墙2:FW2 USG2200
IP地址外网:10.99.101.129 域名:mystrongswan.test.com
IP地址内网:192.168.20.2
防火墙5:FW5 USG2200
IP地址外网:10.99.101.167
IP地址内网:131.107.0.1
服务器:
域控服务器:
Windows Server2016
IP地址:192.168.20.10 域名:dc.test.com
strongswan服务器:
Centos7
IP地址:192.168.20.29
Strongswan-5.6.3
freeradius服务器:
Centos7
IP地址:192.168.20.27
freeradius-4.0.0
daloradius-0.9-9
xl2tp
客户端:Windows7
自带客户端 ikev2 epa-mschapv2模式 、 计算机证书模式 、l2tp over ipsec模式
第五部分 配置根据拨入用户名即域账户分配固定IP地址以实现对***用户的追踪
1、在strongswan服务器上配置strongswan拨入通过radius获取IP地址
cd /etc/strongswan/ vim ipsec.conf
rightsourceip=%eap-radius
2、在freeradius服务器上配置数据库在radreply表中添加拨号用户 sswanuser1 IP地址 192.168.20.89
insert into radreply (username,attribute,op,value) values ('sswanuser1','Framed-IP-Address',':=','192.168.20.89');
3、在freeradius服务器配置reply
vim /usr/local/etc/raddb/sites-enabled/defsult
在postauth段添加
update reply {
Framed-IP-Address := "%{sql:SELECT value FROM radreply WHERE username = '%{User-Name}' limit 1 }"
}
这一步可以做到daloradius网页中进行管理
此时使用sswanuser1拨入会获得固定IP地址192.168.20.89
第五部分 配置根据拨入用户名即域账户分配固定IP地址以实现对***用户的追踪
配置完毕
未完待续。。。。