Netzwerkmanagement Xiaojia/sysadm.cc
RadiusEs sollte denjenigen bekannt sein, die am System arbeiten. Es handelt sich um ein Dienstprogramm, das die Identitätsauthentifizierung ermöglicht.
RadiusEs ist weit verbreitet und eines der einfachsten Szenarios ist die drahtlose Verbindung. Nach bestandener Überprüfung mithilfe von Benutzername, Passwort oder Zertifikat kann die drahtlose Netzwerkverbindung hergestellt werden.
Natürlich müssen wir auf einen so wichtigen grundlegenden Anwendungsdienst achten und natürlich müssen wir immer seinen Betriebsstatus verstehen.
Dann ist die einfachste und wirtschaftlichste Möglichkeit, die wir uns vorstellen können, die Verwendung zabbixeiner anderen Überwachungssoftware zur Überwachung und Verwaltung Radius.
Nachdem ich jedoch das gesamte Internet durchsucht habe, kann ich anscheinend keine vollständigere und praktikablere Lösung finden.
ZabbixWenn Sie den Dienst überwachen möchten Radius, scheint dies möglicherweise einfach zu sein, wenn Sie darüber nachdenken.
Verwenden Sie Ping, solange keine Verbindung besteht, können Sie feststellen, dass der Server fehlerhaft und unterbrochen ist.
Manchmal ist der Server zwar Pingerreichbar und das Netzwerk in Ordnung, der Dienst wird jedoch möglicherweise gestoppt.
Was tun in dieser Situation?
Wie wäre es mit einer direkten Überwachung Radiusdes Hintergrunddienstes?
Solange der Dienst ausgeführt wird, gilt er als ordnungsgemäß funktionierend.
Es macht Sinn, aber dies scheint das Problem zu lösen. Wenn Sie genau darüber nachdenken, ist es tatsächlich möglich, dass der Dienst ausgeführt wird, er aber keine normalen Authentifizierungs- und Verifizierungsdienste bereitstellen kann, und natürlich ist es auch ein Fehler Zustand!
Es scheint, dass das Problem nicht so einfach ist!
Nachdem ich so viel gesagt habe: Was ist das Richtige?
Wenn wir Radiusdas Problem aus der Perspektive der Bereitstellung von Diensten betrachten, können wir leicht eine Schlussfolgerung ziehen: Solange die Authentifizierungsantwort normal zurückgegeben werden kann, wird davon ausgegangen, dass sie sich in einem normalen Zustand befindet, andernfalls wird davon ausgegangen, dass sie sich in einem normalen Zustand befindet in einem Fehlerzustand sein.
Um es klarer auszudrücken: Sie senden ihm eine Überprüfungsanfrage Access-Request. Wenn die Antwortinformationen korrekt ( SUCCESSoder FAILURE) zurückgegeben werden können, können wir unabhängig davon, ob die Überprüfung erfolgreich oder fehlgeschlagen ist, davon ausgehen, dass der Status in Ordnung ist, andernfalls ist er NG.
Okay, jetzt, da die Logik klar ist, wie geht das konkret?
Zuerst müssen wir ein Anforderungssignal Zabbixan senden.Radius
Wie beheben Sie das Problem? Können Sie es so lange machen, wie Sie möchten?
Ja, das ist nicht einfach. Ich habe im Internet gesucht und zufällig einen Artikel eines Ausländers gefunden, der mich etwas inspiriert hat.
Der allgemeine Ansatz besteht Shelldarin, dies durch den Aufruf eines Skripts zu erreichen, das Zabbixals externes Einchecken bezeichnet wird.
Aber er nutzte Ncatdiese Art von Netzwerk-Tool-Programm, um UDPPakete an Radiusden Port des Servers zu senden 1812.
Die Theorie ist machbar und ich habe viele Versuche unternommen, aber die Operation ist sehr kompliziert und nicht einfach umzusetzen.
Dafür gibt es zwei Gründe: Zum einen handelt es sich Ncatlediglich um ein Netzwerktool, das nicht versteht, wie Access-Requestein Anforderungspaket erstellt wird.
Allerdings ist es nach der Absicht des ausländischen Autors völlig unmöglich, die erfassten Datenpakete direkt zur Simulation des Versands zu verwenden.
Da aktuelle allgemeine Authentifizierungsmethoden keine Authentifizierungsmethoden mit niedrigerem Sicherheitsniveau verwenden, können beim Senden von Anforderungen mit dieser einfachen Methode nicht mehrere zurückgegebene Antwortinformationen verarbeitet werden.
Ein weiterer Grund besteht darin, dass selbst wenn Sie ein legitimes Anforderungspaket erfolgreich senden können, Radiusdas zurückgegebene Antwortpaket von Ihnen selbst erfasst werden muss. Es hat nicht die Funktion, die Rückgabeinformationen abzurufen, und es ist fast unmöglich, dies durch einfache Vorgänge zu erreichen.
Aus den oben genannten Gründen und auf der Grundlage meiner tatsächlichen experimentellen Ergebnisse habe ich einen solchen Plan schließlich aufgegeben.
Obwohl es fehlschlug, eröffnete mir die Idee des Ausländerartikels neue Ideen.
Erstens können Sie zabbixexterne Inspektionsskripte nutzen.
Zweitens, wenn es nicht funktioniert, kann ich es einfach in ein Client-Programm ändern Ncat, das normal Anfragen stellen kann !Radius
Die Fakten haben bewiesen, dass meine neue Idee vollkommen funktioniert!
Das endgültige Rendering wird angezeigt. ZabbixFügen Sie NPSoder hinzu FreeRadiusund verwenden Sie MSCHAPv2die Überprüfungsumgebung, um den Test zu bestehen.
Gleichzeitig kann der Auslöser bei einem Serverausfall auch normal Problemalarme auslösen.
Die relevanten Skripte und Programme zu diesem Artikel können am Ende des Artikels heruntergeladen werden.
zabbixÜberwachungsbezogene RadiusDokumente (Download am Ende des Artikels)
-
Linux- externes Prüfskript(
1K) RadiusMSCHAPV2Konfigurationsdatei für die Client- Authentifizierung (1K)- Überprüfen Sie,
MSCHAPV2ob der Client-Befehl den Quellcode kompiliert (16K) - Timeout-Programm kompilierter Quellcode (
15K)
- externes Prüfskript(
-
WindowsMSCHAPV2Ausführbare Datei des Authentifizierungsclientsexe(6.4M, verfügbarWindowsunter )
Wie wird dies erreicht?
Auf welche Fallstricke werden Sie bei der Umsetzung stoßen?
Lassen Sie uns weiter unten ausführlich darüber sprechen …
Folgen Sie dem öffentlichen Konto des Netzwerkadministrators Xiaojia und senden Sie 001053, um den gesamten Inhalt des Tutorials freizuschalten.
(Einschließlich mehr als 20 Beispielabbildungen, mehr als 5.000 Wörter ausführlicher Erklärung und Download des Skriptprogrammpakets)
Integrieren Sie Technologie in das Leben und kreieren Sie interessante Geschichten
Netzwerkmanagement Xiaojia/sysadm.cc