《freeRadius + daloRadius安装手册》由会员分享,可在线阅读,更多相关《freeRadius + daloRadius安装手册(10页珍藏版)》请在金锄头文库上搜索。
1、freeRadius + daloRadius安装手册freeRadius + daloRadius安装手册一、概念 (2)二、环境准备: (2)三、安装步骤: (2)1. 安装LAMP平台yum install httpd mysql* php* (2)2. 安装freeradius yum install -y freeradius* (2)3. 设置服务启动 (2)4. 修改mysql 密码 (2)5. 重起服务器。 (2)6. 用radtest steve testing localhost 0 testing123进行测试, (2)7. 登录Mysql创建radius库,并分配权限
2、(3)8. 创建备份目录mkdir /root/freeradius-conf-backup (3)9. 配置FreeRadius支持sql (3)10. 安装daloradius (4)11. 导入mysql元数据 (4)12. 配置daloRadius: (4)13. 通过网页访问http:/10.xx.0.7/radius (5)14. 登入http:/10.xx.0.7/radius 用户名为administrator 密码为:radius, (5)四、FreeRadius管理 (6)1. NAS管理 (6)2. 防火墙添加Radius认证信息 (7)3. 限制用户并发,只允许一个用户
3、登入 (8)一、概念freeRadius为AAA Radius Llinux下开源解决方案,daloRadius为图形化web管理工具。二、环境准备:OS:Centos 6.5,需要LAMP,Freeradius,以及daloRadius三、安装步骤:1. 安装LAMP平台yum install httpd mysql* php*2. 安装freeradius yum install -y freeradius*3. 设置服务启动chkconfig radiusd onchkconfig httpd onchkconfig mysqld on4. 修改mysql 密码mysqladmin -u
4、 root password xxx-xx1235. 重起服务器。启动后radiusd -X进入调试模式6. 用radtest steve testing localhost 0 testing123进行测试,返回Sending Access-Request of id 163 to 127.0.0.1 port 1812User-Name = steveUser-Password = testingNAS-IP-Address = 127.0.0.1NAS-Port = 0Message-Authenticator = 0x00000000000000000000000000000000ra
5、d_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=163, length=20说明正常7. 登录Mysql创建radius库,并分配权限mysql create database radius;mysql grant all on radius.* to radiuslocalhost identified by xxx-xx123;8. 创建备份目录mkdir /root/freeradius-conf-backupcp /etc/raddb/radiusd.conf /root/freeradius-conf-ba
6、ckup/分别备份:/etc/raddb/radiusd.conf,/etc/raddb/sql.conf9. 配置FreeRadius支持sqlvi/etc/raddb/radiusd.conf$INCLUDE sql.conf #调用sql.conf配置,去除之前的#vi /etc/raddb/sites-enabled/default #下两段中添加sqlauthorize preprocesschapmschapdigestsuffixeap ok = returnfilessqlexpirationlogintimepapaccounting detailunixradutmpsql
7、execattr_filter.accounting_response设置Freeradius sql连接信息:vi /etc/raddb/sql.confdatabase = mysqldriver = rlm_sql_$databaseserver = localhost#port = 3306login = radiuspassword = radiupassradius_db = radius10. 安装daloradiusWgethttp:/ tar zxvf daloradius-0.9-9.tar.gzmv daloradius-0.9-9 /var/www/html/radiu
8、schown -R apache:apache /var/www/html/radius11. 导入mysql元数据mysql -uroot -p xjradius mysql -uroot -p xjradius mysql -uroot -p radius 12. 配置daloRadius:/var/www/html/radius/library/daloradius.conf.php$configValuesCONFIG_DB_ENGINE = mysql;$configValuesCONFIG_DB_HOST = localhost;$configValuesCONFIG_DB_POR
9、T = 3306;$configValuesCONFIG_DB_USER = radius;$configValuesCONFIG_DB_PASS = xxx-xx123;$configValuesCONFIG_DB_NAME = radius;$configValuesCONFIG_FILE_RADIUS_PROXY = /etc/raddb/proxy.conf;$configValuesCONFIG_PA TH_RADIUS_DICT = ;$configValuesCONFIG_PA TH_DALO_V ARIABLE_DATA = /var/www/html/radius/var;
10、13. 通过网页访问http:/10.xx.0.7/radius如果出现不能访问请查看apache日志rootradius xjradius# cd /var/log/httpd/rootradius httpd# more error_log以下问题: (13)Permission denied: access to /radius denied通过以下解决查看SELinux状态:/usr/sbin/sestatus -v #如果SELinux status参数为enabled即为开启状态SELinux status: enabledgetenforce #也可以用这个命令检查关闭SELin
11、ux:临时关闭(不用重启机器):setenforce 0 #设置SELinux 成为permissive模式#setenforce 1 设置SELinux 成为enforcing模式修改配置文件需要重启机器:修改/etc/selinux/config 文件将SELINUX=enforcing改为SELINUX=disabled重启机器即可14. 登入http:/10.xx.0.7/radius用户名为administrator 密码为:radius,基本上会抱错出现以下信息,查看apache日志(13)Permission denied: access to /radius deniedThu
12、 Nov 20 09:04:41 2014 error client 10.0.1.5 File does not exist: /var/www/html/favicon.icoThu Nov 20 09:29:17 2014 error client 10.0.1.5 PHP Warning: include_once(DB.php): failed to open stream: No such file or directory in /var/www/html/radius/library/opendb.php on line 84Thu Nov 20 09:29:17 2014 e
13、rror client 10.0.1.5 PHP Warning: include_once(): Failed opening DB.php for inclusion(include_path=.:/usr/share/pear:/usr/share/php) in /var/www/html/radius/library/opendb.php on line 84出现以上问题是因为:新版本的daloradius连接数据库,需要安装数据库连接模块。php-pear-DB rootradius xjradius#yum clean allrootradius xjradius# yum in
14、stall pearrootradius xjradius# pear install DB四、FreeRadius管理1. NAS管理a. 用户接入NAS,简单点说就是网络设备作为客户端接入Radius进行认证、授权、审计管理。如图打开Management-NAS 新建一个NAS,把新疆防火墙作为NAS客户端。Fortigate 要用内网口地址和Radius通讯,要保证从防火墙telnet 10.xx.0.7 1812是OK的。b.添加新NAS,并查看c.帐号认证等信息是通过组的概念来完成的,在FreeRadius中通过Profiles进行设置,并根据不同厂商设置不同的属性,FreeRadius已经预设了大部分厂商的属性Attributes, 如下图添加两个Attribute value为xxvpn,OP为:= Target 的check和reply都要设置上。d.添加认证用户2. 防火墙添加Radius认证信息NAS在网页上配置有问题,暂没有解决方法。在/etc/raddb/clients.conf 配置文件中手动修改配置文件生效。配置如下:client 10.xx.xx.1/32 secret = xx-123shortname = xx以上问题已解决,通过修改/etc/