EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(二)

DIANZI520SUA2024-02-26 15:22

上篇文章简要介绍了freeradius的搭建及配置,在最后数据库连接阶段还没进行测试验证,今天继续。

修改相关文件

1 radiusd.conf

打开762行注释($INCLUDE mods-enabled/sql);

2 sites-available/default

打开-sql和sql前面的注释;

  1. sites-available/inner-tunnel

打开-sql和sql前面的注释;

  1. mods-available/sql

找到tls_required = yes这行,暂时将yes改为no;

创建sql软连接

复制代码 
#ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/
#chgrp -h freerad /etc/freeradius/3.0/mods-available/sql
#chown -R freerad:freerad /etc/freeradius/3.0/mods-enabled/sql

注意一定要创建软连接,因为相关配置文件里面均有涉及到mods-enabled/sql,相关权限也需赋予(实际上mods-enabled路径下会存放实际要调用的模块,而mods-available文件夹下存放的是可支持的功能模块)。

创建数据库测试账号信息

1 创建组信息

复制代码 
#mysql -u root
mysql> use radius;
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type',':=','Framed-User');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Address',':=','255.255.255.255');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0');

2 创建用户信息

复制代码 
mysql> insert into radcheck (username,attribute,op,value) values ('mike','Cleartext-Password',':=','testpwd');

3 关联用户和组

复制代码 
mysql> insert into radusergroup (username,groupname) values ('mike','user');

4 添加用户回复消息

复制代码 
mysql> insert  into radreply(username,attribute,op,value) values('mike','Reply-Message','=','Yes,Nice!');

5 查询各张表确认信息无误

可以通过slect * from 表名分别查询;

测试

开启俩终端,一终端运行freeradius -X,另一运行radtest mike testpwd localhost 0 testing123,效果如下图所示。至此,已经验证了两种方式user文件及数据库均正常执行。

遗留问题

在测试过程中(昨天),如果sql文件里面的tls_required = yes,会提示需要输入密钥短语(默认是whatever,可以在certs文件夹内的*.cnf里面找到,可搜索关键词input_password和output_password),成功后会提示连接MySQL失败,如下图所示,原因不知为何(tls认证时不能兼容使用MySQL??),还需时间研究下。

如果输入的密钥短语不正确的话(也可以通过类似于openssl rsa -in /etc/freeradius/3.0/certs/client.key -check语句首先验证下,如果正确,终端会完整输出该证书文件的内容,如不对,则有error出现),终端会输出类似于无法获取client.key的private key这样的信息,此时如果实在记不起这个短语是几何时,可以考虑重新生成新的证书文件,这块可参考certs/README文件。

问题解答参考

在官方提供的完全手册上(inner-tunnel),我们会看到一句话,这有可能会解释的通上面的问题原因所在。

复制代码 
Inner-tunnel

This virtual server handles only inner tunnel requests for EAP-TTLS and PEAP types.

inner-tunnel是本地(localhost)测试所调用文件,不支持TLS认证,所以tls_required = no语句可以正常启动,而yes则失败。

下篇再见。

参考:

How to use radiusd -X (debug mode) (freeradius.org)

FreeRADIUS | NetworkRADIUS

Imp_Guide (networkradius.com)

相关推荐
乌鸦乌鸦你的小虎牙1 小时前
qt 5.12.8 配置报错(交叉编译环境)
开发语言·数据库·qt
一只大袋鼠2 小时前
Redis 安装+基于短信验证码登录功能的完整实现
java·开发语言·数据库·redis·缓存·学习笔记
Anastasiozzzz2 小时前
深入研究Redis的ZSet底层数据结构:从 Ziplist 的级联更新到 Listpack 的完美救场
数据结构·数据库·redis
菠萝蚊鸭2 小时前
x86 平台使用 buildx 基于源码构建 MySQL Wsrep 5.7.44 镜像
数据库·mysql·galera·wsrep
沙漏无语4 小时前
(二)TIDB搭建正式集群
linux·数据库·tidb
姚不倒4 小时前
三节点 TiDB 集群部署与负载均衡搭建实战
运维·数据库·分布式·负载均衡·tidb
隔壁小邓4 小时前
批量更新方式与对比
数据库
数据知道4 小时前
MongoDB复制集架构原理:Primary、Secondary 与 Arbiter 的角色分工
数据库·mongodb·架构
人道领域4 小时前
苍穹外卖:菜品新增功能全流程解析
数据库·后端·状态模式
修行者Java4 小时前
(七)从 “非结构化数据难存储” 到 “MongoDB 灵活赋能”——MongoDB 实战进阶指南
数据库·mongodb
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06Window 10部署openclaw报错node.exe : npm error code 12807OpenClaw macOS 完整安装与本地模型配置教程(实战版)08npm-error code 128问题解决方法09得物前端部门,没了10OpenClaw 接入 QQ Bot 完整实践指南