Netzwerkmanagement Xiaojia/sysadm.cc
Radius
Es sollte denjenigen bekannt sein, die am System arbeiten. Es handelt sich um ein Dienstprogramm, das die Identitätsauthentifizierung ermöglicht.
Radius
Es ist weit verbreitet und eines der einfachsten Szenarios ist die drahtlose Verbindung. Nach bestandener Überprüfung mithilfe von Benutzername, Passwort oder Zertifikat kann die drahtlose Netzwerkverbindung hergestellt werden.
Natürlich müssen wir auf einen so wichtigen grundlegenden Anwendungsdienst achten und natürlich müssen wir immer seinen Betriebsstatus verstehen.
Dann ist die einfachste und wirtschaftlichste Möglichkeit, die wir uns vorstellen können, die Verwendung zabbix
einer anderen Überwachungssoftware zur Überwachung und Verwaltung Radius
.
Nachdem ich jedoch das gesamte Internet durchsucht habe, kann ich anscheinend keine vollständigere und praktikablere Lösung finden.
Zabbix
Wenn Sie den Dienst überwachen möchten Radius
, scheint dies möglicherweise einfach zu sein, wenn Sie darüber nachdenken.
Verwenden Sie Ping
, solange keine Verbindung besteht, können Sie feststellen, dass der Server fehlerhaft und unterbrochen ist.
Manchmal ist der Server zwar Ping
erreichbar und das Netzwerk in Ordnung, der Dienst wird jedoch möglicherweise gestoppt.
Was tun in dieser Situation?
Wie wäre es mit einer direkten Überwachung Radius
des Hintergrunddienstes?
Solange der Dienst ausgeführt wird, gilt er als ordnungsgemäß funktionierend.
Es macht Sinn, aber dies scheint das Problem zu lösen. Wenn Sie genau darüber nachdenken, ist es tatsächlich möglich, dass der Dienst ausgeführt wird, er aber keine normalen Authentifizierungs- und Verifizierungsdienste bereitstellen kann, und natürlich ist es auch ein Fehler Zustand!
Es scheint, dass das Problem nicht so einfach ist!
Nachdem ich so viel gesagt habe: Was ist das Richtige?
Wenn wir Radius
das Problem aus der Perspektive der Bereitstellung von Diensten betrachten, können wir leicht eine Schlussfolgerung ziehen: Solange die Authentifizierungsantwort normal zurückgegeben werden kann, wird davon ausgegangen, dass sie sich in einem normalen Zustand befindet, andernfalls wird davon ausgegangen, dass sie sich in einem normalen Zustand befindet in einem Fehlerzustand sein.
Um es klarer auszudrücken: Sie senden ihm eine Überprüfungsanfrage Access-Request
. Wenn die Antwortinformationen korrekt ( SUCCESS
oder FAILURE
) zurückgegeben werden können, können wir unabhängig davon, ob die Überprüfung erfolgreich oder fehlgeschlagen ist, davon ausgehen, dass der Status in Ordnung ist, andernfalls ist er NG.
Okay, jetzt, da die Logik klar ist, wie geht das konkret?
Zuerst müssen wir ein Anforderungssignal Zabbix
an senden.Radius
Wie beheben Sie das Problem? Können Sie es so lange machen, wie Sie möchten?
Ja, das ist nicht einfach. Ich habe im Internet gesucht und zufällig einen Artikel eines Ausländers gefunden, der mich etwas inspiriert hat.
Der allgemeine Ansatz besteht Shell
darin, dies durch den Aufruf eines Skripts zu erreichen, das Zabbix
als externes Einchecken bezeichnet wird.
Aber er nutzte Ncat
diese Art von Netzwerk-Tool-Programm, um UDP
Pakete an Radius
den Port des Servers zu senden 1812
.
Die Theorie ist machbar und ich habe viele Versuche unternommen, aber die Operation ist sehr kompliziert und nicht einfach umzusetzen.
Dafür gibt es zwei Gründe: Zum einen handelt es sich Ncat
lediglich um ein Netzwerktool, das nicht versteht, wie Access-Request
ein Anforderungspaket erstellt wird.
Allerdings ist es nach der Absicht des ausländischen Autors völlig unmöglich, die erfassten Datenpakete direkt zur Simulation des Versands zu verwenden.
Da aktuelle allgemeine Authentifizierungsmethoden keine Authentifizierungsmethoden mit niedrigerem Sicherheitsniveau verwenden, können beim Senden von Anforderungen mit dieser einfachen Methode nicht mehrere zurückgegebene Antwortinformationen verarbeitet werden.
Ein weiterer Grund besteht darin, dass selbst wenn Sie ein legitimes Anforderungspaket erfolgreich senden können, Radius
das zurückgegebene Antwortpaket von Ihnen selbst erfasst werden muss. Es hat nicht die Funktion, die Rückgabeinformationen abzurufen, und es ist fast unmöglich, dies durch einfache Vorgänge zu erreichen.
Aus den oben genannten Gründen und auf der Grundlage meiner tatsächlichen experimentellen Ergebnisse habe ich einen solchen Plan schließlich aufgegeben.
Obwohl es fehlschlug, eröffnete mir die Idee des Ausländerartikels neue Ideen.
Erstens können Sie zabbix
externe Inspektionsskripte nutzen.
Zweitens, wenn es nicht funktioniert, kann ich es einfach in ein Client-Programm ändern Ncat
, das normal Anfragen stellen kann !Radius
Die Fakten haben bewiesen, dass meine neue Idee vollkommen funktioniert!
Das endgültige Rendering wird angezeigt. Zabbix
Fügen Sie NPS
oder hinzu FreeRadius
und verwenden Sie MSCHAPv2
die Überprüfungsumgebung, um den Test zu bestehen.
Gleichzeitig kann der Auslöser bei einem Serverausfall auch normal Problemalarme auslösen.
Die relevanten Skripte und Programme zu diesem Artikel können am Ende des Artikels heruntergeladen werden.
zabbix
Überwachungsbezogene Radius
Dokumente (Download am Ende des Artikels)
-
Linux
- externes Prüfskript(
1K
) Radius
MSCHAPV2
Konfigurationsdatei für die Client- Authentifizierung (1K
)- Überprüfen Sie,
MSCHAPV2
ob der Client-Befehl den Quellcode kompiliert (16K
) - Timeout-Programm kompilierter Quellcode (
15K
)
- externes Prüfskript(
-
Windows
MSCHAPV2
Ausführbare Datei des Authentifizierungsclientsexe
(6.4M
, verfügbarWindows
unter )
Wie wird dies erreicht?
Auf welche Fallstricke werden Sie bei der Umsetzung stoßen?
Lassen Sie uns weiter unten ausführlich darüber sprechen …
Folgen Sie dem öffentlichen Konto des Netzwerkadministrators Xiaojia und senden Sie 001053, um den gesamten Inhalt des Tutorials freizuschalten.
(Einschließlich mehr als 20 Beispielabbildungen, mehr als 5.000 Wörter ausführlicher Erklärung und Download des Skriptprogrammpakets)
Integrieren Sie Technologie in das Leben und kreieren Sie interessante Geschichten
Netzwerkmanagement Xiaojia/sysadm.cc