EAP-TLS实验之Ubuntu20.04环境搭建配置(FreeRADIUS3.0)(二)

DIANZI520SUA2024-02-26 15:22

上篇文章简要介绍了freeradius的搭建及配置,在最后数据库连接阶段还没进行测试验证,今天继续。

修改相关文件

1 radiusd.conf

打开762行注释($INCLUDE mods-enabled/sql);

2 sites-available/default

打开-sql和sql前面的注释;

  1. sites-available/inner-tunnel

打开-sql和sql前面的注释;

  1. mods-available/sql

找到tls_required = yes这行,暂时将yes改为no;

创建sql软连接

复制代码 
#ln -s /etc/freeradius/3.0/mods-available/sql /etc/freeradius/3.0/mods-enabled/
#chgrp -h freerad /etc/freeradius/3.0/mods-available/sql
#chown -R freerad:freerad /etc/freeradius/3.0/mods-enabled/sql

注意一定要创建软连接,因为相关配置文件里面均有涉及到mods-enabled/sql,相关权限也需赋予(实际上mods-enabled路径下会存放实际要调用的模块,而mods-available文件夹下存放的是可支持的功能模块)。

创建数据库测试账号信息

1 创建组信息

复制代码 
#mysql -u root
mysql> use radius;
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type',':=','Framed-User');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Address',':=','255.255.255.255');
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0');

2 创建用户信息

复制代码 
mysql> insert into radcheck (username,attribute,op,value) values ('mike','Cleartext-Password',':=','testpwd');

3 关联用户和组

复制代码 
mysql> insert into radusergroup (username,groupname) values ('mike','user');

4 添加用户回复消息

复制代码 
mysql> insert  into radreply(username,attribute,op,value) values('mike','Reply-Message','=','Yes,Nice!');

5 查询各张表确认信息无误

可以通过slect * from 表名分别查询;

测试

开启俩终端,一终端运行freeradius -X,另一运行radtest mike testpwd localhost 0 testing123,效果如下图所示。至此,已经验证了两种方式user文件及数据库均正常执行。

遗留问题

在测试过程中(昨天),如果sql文件里面的tls_required = yes,会提示需要输入密钥短语(默认是whatever,可以在certs文件夹内的*.cnf里面找到,可搜索关键词input_password和output_password),成功后会提示连接MySQL失败,如下图所示,原因不知为何(tls认证时不能兼容使用MySQL??),还需时间研究下。

如果输入的密钥短语不正确的话(也可以通过类似于openssl rsa -in /etc/freeradius/3.0/certs/client.key -check语句首先验证下,如果正确,终端会完整输出该证书文件的内容,如不对,则有error出现),终端会输出类似于无法获取client.key的private key这样的信息,此时如果实在记不起这个短语是几何时,可以考虑重新生成新的证书文件,这块可参考certs/README文件。

问题解答参考

在官方提供的完全手册上(inner-tunnel),我们会看到一句话,这有可能会解释的通上面的问题原因所在。

复制代码 
Inner-tunnel

This virtual server handles only inner tunnel requests for EAP-TTLS and PEAP types.

inner-tunnel是本地(localhost)测试所调用文件,不支持TLS认证,所以tls_required = no语句可以正常启动,而yes则失败。

下篇再见。

参考:

How to use radiusd -X (debug mode) (freeradius.org)

FreeRADIUS | NetworkRADIUS

Imp_Guide (networkradius.com)

相关推荐
阿波罗尼亚20 分钟前
数据库序列(Sequence)
数据库
Junsir大斗师1 小时前
Nginx服务器代理Postgresql-16后端数据库
数据库·nginx
Je1lyfish1 小时前
CMU15-445 (2025 Fall/2026 Spring) Project#3 - QueryExecution
linux·c语言·开发语言·数据结构·数据库·c++·算法
m0_596749093 小时前
如何防止SQL拼接漏洞_使用PDO对象实现安全的SQL交互
jvm·数据库·python
老纪的技术唠嗑局3 小时前
深度解析 LLM Wiki / Obsidian-Wiki / GBrain:Agent 时代知识的“自组织”与“自进化”
大数据·数据库·人工智能·算法
大方子5 小时前
【PolarCTF】PHP反序列化初试
网络安全·polarctf
2301_795099746 小时前
golang如何在Gin中自定义验证器_golang Gin自定义验证器实现方法
jvm·数据库·python
2301_766283446 小时前
如何在MongoDB GridFS中进行按文件大小(length)范围的查询
jvm·数据库·python
萧曵 丶6 小时前
MySQL 高频面试题(由浅到深 完整版,面试必背)
数据库·mysql·面试
醉颜凉6 小时前
超详细图解:HTTPS 中的 SSL/TLS 完整握手过程(面试必背)
面试·https·ssl
热门推荐
01GitHub 镜像站点02要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法03Codex 接入 DeepSeek API 完整配置文档04零基础教你claude code 接入 deepseek V405Linux 核弹级高危漏洞 CVE-2026-31431 完整修复指南06CVE-2026-31431 (Copy Fail) 漏洞复现与验证记录07CC-Switch & Claude 基于 Linux 服务器安装使用指南08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09【AI】2026 年具身智能模型和世界模型总结102026 年 AI 辅助编程工具全景对比:Copilot、Cursor、Claude Code 与 Codex 深度解析