年后开始准备EAP-TLS 802.1x认证的事情,年前搭建了Windows Server 2019预为认证服务器,参考了《在 Windows Server 上搭建 AD 域控制器 - KOBIN 技术随笔》及《Windows Server 搭建 RADIUS 认证服务器 - 知乎》及《WINDOWS SERVER 2012证书服务安装配置_cep的身份验证类型-CSDN博客》及《Windows Server配置生成认证证书 - 知乎》(推荐)等多篇文章搭建配置了一通,无奈现实情况与这些文章(关于winserver相关的资料均较旧且少)里面提到的有出入,且认证客户端均为Linux设备,如果采用Windows系统作为认证服务器,那么生成的证书(.pfx、.cer)还需转换成Linux端适用的格式(.crt、.key、.pem),怪麻烦的,于是乎,在节后的第二天开始着手准备据称全球唯一开源支持AAA的FreeRADIUS,以下内容记录了下大概过程,大致参考了《为Freeradius3.0配置sql与EAP-TLS - 简书 (jianshu.com)》及官方的《Getting Started》,正文中有对其作了修改和补充。
#如果有同学采用了winserver作为认证服务器,可以通过下述方式添加客户端用户(参考)
(Windows server添加用户步骤:服务管理器->右上角工具->AD用户和计算机->Users文件夹右击->新建用户)
下载安装freeradius
有两种方式可以达到目的,第一种,参考官方《Building FreeRADIUS》,下载源码后configure&&make&&make install;第二种,我所采用的下面这种(懒人专用)。
$sudo su
#apt-get update /* 更新源 */
#apt-get install freeradius freeradius-mysql mysql-client mysql-server openssl
此处作下说明,有的文章会直接写上apt-get install freeradius freeradius-mysql mysql openssl,目前各大软件源(仅限于我所尝试的几个)已经没有"mysql",取而代之的是mysql-server和mysql-client.如果你的Ubuntu环境中还能配置找到mysql,那么可以直接apt-get install mysql,否则需要下载安装mysql-server和mysql-client.
配置freeradius
测试
1.添加测试用户
#cd /etc/freeradius/3.0
#gedit users
打开bob用户那行或者根据官方指南主动添加如下一行(添加位置可以在bob上面,该users文档里面有些注释说明,可以看看):
testing Cleartest-Password := "password"
上述语句意思是:增加一位用户名为testing密码为password的用户。
2.以调试模式启动freeradius
#freeradius -X
如终端最后一行输出"Ready to process requests",则说明服务器启动成功,准备接受认证请求。再次单独打开另外一个终端,输入如下命令用来发动一个请求给服务器:
#sudo radtest testing password localhost 0 testing123
上述语句意思是:向本地服务器(localhost)发送一个用户名为testing密码为password的认证请求,对称密钥是testing123(clients.conf文件中有相关内容),若该终端输出Access-Accept相关语句,则代表认证成功。至此一个简单验证freeradius服务器的例子完成了。
添加认证用户
如果想要被freeradius认证服务器接受认证请求,我们得提前将待验证的用户相关信息注册到服务器上(其他认证服务器也有类似操作),我们在上文提到的clients.conf中添加即可,我暂时没有配置路由器(后续文章中会提到这块,届时将重新提到该文件),所以也就没有修改此文件,为了方便描述,我盗用下简书上那篇文章里面的图片(望原作者海涵见谅),如下图。
对于无线802.1x认证,根据前人文章的描述我们只需要将WLAN安全设置改为WPA-EAP/WPA2-EAP/WPA-Enterprise/WPA2-Enterprise,并配置好认证服务器地址与对称密钥就可以了。而对于有线802.1x认证,则有不同的设置(同样的,后续涉及到路由器配置这块的文章中会有提到)。
配置TLS
为了进行TLS相关认证方式(如eap-tls、eap-ttls等),我们需要对mods-enabled/eap文件进行修改配置,具体可以参考简书上那里的设置。但修改之前我们最好先生成证书文件,我们可以在certs路径下执行make命令,生成一套证书,如ca.pem(自签发根证书)、server.pem(服务器证书)、server.key(服务器私钥,保护密码为whatever,可在eap文件中修改)、client.pem(客户端证书)、client.key(客户端私钥)、client.p12(PKCSv12编码的个人证书文件,包含了证书,私钥,并由密码"whatever"保护,需要导出并在自有设备上安装),为了后续流程的成功执行,我们需要增加一个步骤,执行如下命令给予certs文件夹及其路径下所有文件755的权限。
#chmod 755 certs -f
至此支持TLS的配置完成。
数据库创建
数据库创建
数据库可用来记录保存用户的一些信息(如用户名、密码、链接方式、计费等等),方便freeradius日常工作需要。
通过如下mysql命令配置数据库及账户密码:
#mysql -uroot /* 以root权限操作mysql */
mysql->CREATE DATABASE radius; /* 创建数据库radius */
mysql->CREATE USER 'radius'@'localhost' IDENTIFIED BY 'radpass';
mysql->GRANT ALL ON radius.* TO 'radius'@'localhost';
mysql->quit
上述末两行的MySQL语句的意思是:创建一个用户名为radius密码为radpass的用户,并授予用户对"radius"数据库的所有权限(包括SELECT, INSERT, UPDATE, DELETE等),该用户只能从"localhost"(即MySQL服务器本身)连接到数据库。也可通过freeradius提供的mods-config/sql/main/mysql/setup.sql文件配置权限,可参考《ubuntu安装freeradius3, freeradius3-mysql并配置_freeradius3 pap-CSDN博客》,该文章提供了不一样的操作,有兴趣可尝试。注意输入MySQL语句后面的分号';'。
有时会出现在添加用户账号及密码后登录不了的情况,此时需要根据情况进行排查解决,在初期最简单直接的方法是,删除该账号并重新添加,先通过SELECT检查用户存在状况,
再通过DROP USER命令删除用户:
mysql->DROP USER 'radius'@'localhost';
数据库及用户密码创建配置好后我们执行如下MySQL语句导入数据表结构(sql脚本):
#mysql -uradius -pradpass radius
mysql->source /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql;
mysql->quit
最后一步,我们需要修改mods-available/sql文件(未列出部分暂时不动,除非你很清楚导致的结果),
sql {
dialect = "mysql"
driver = "rlm_sql_${dialect}"
mysql {
tls {
ca_file = "/etc/freeradius/3.0/certs/ca.pem"
ca_path = "/etc/freeradius/3.0/certs/"
certificate_file = "/etc/freeradius/3.0/certs/client.pem"
private_key_file = "/etc/freeradius/3.0/certs/client.key";
}
}
server = "localhost"
port = 3306
login = "radius"
password = "radpass"
}
read_clients = yes
重启freeradius,如出现如下情况,则说明sql模块加载成功。
如出现如下情况,
优先检查certs文件夹权限,可按照上文相关进行修改。
以上只是简单的数据库创建、简单的配置,并未实现测试如何利用MySQL进行链接认证(测试中出现了一些问题,了解不够,暂时无法解决),留给下篇文章。