http://tech.ccidnet.com/pub/disp/Article?columnID=214&articleID=31604&pageNO=1
关键字: | linux;服务器 |
来 源: | 开放系统世界——赛迪网 |
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin等。 安装RadiusPerl:Authen模块
其主要特征有:
1. 客户机/服务器(C/S)模式
一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作。另外,RADIUS服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。
2.网络安全(Network Security)
NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密,并且这些信息不会在两者之间泄漏出去。
3.灵活认证机制(Flexible Authentication Mechanisms)
RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。
4.协议可扩展性(Extensible Protocol)
所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中,它们都把RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。
要弄清楚RADIUS协议为何能实现授权和认证,我们必须应该从四个方面去认识RADIUS协议:协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些内容。
协议基本原理
NAS提供给用户的服务可能有很多种。比如,使用telnet时,用户提供用户名和口令信息,而使用PPP时,则是用户发送带有认证信息的数据包。
NAS一旦得到这些信息,就制造并且发送一个“Access-Request”数据包给RADIUS服务器,其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。
如果RADIUS服务器在一段规定的时间内没有响应,则NAS会重新发送上述数据包;另外如果有多个RADIUS服务器的话,NAS在屡次尝试主RADIUS服务器失败后,会转而使用其他的RADIUS服务器。
RADIUS服务器会直接抛弃那些没有加“共享密钥”(Shared Secret)的请求而不做出反应。如果数据包有效,则RADIUS服务器访问认证数据库,查找此用户是否存在。如果存在,则提取此用户的信息列表,其中包括了用户口令、访问端口和访问权限等。
当一个RADIUS服务器不能满足用户的需要时,它会求助于其他的RADIUS服务器,此时它本身充当了一个客户端。
如果用户信息被否认,那么RADIUS服务器给客户端发送一个“Access-Reject”数据包,指示此用户非法。如果需要的话,RADIUS服务器还会在此数据包中加入一段包含错误信息的文本消息,以便让客户端将错误信息反馈给用户。
相反,如果用户被确认,RADIUS服务器发送“Access-Challenge”数据包给客户端,并且在数据包中加入了使客户端反馈给用户的信息,其中包括状态属性。接下来,客户端提示用户做出反应以提供进一步的信息,客户端得到这些信息后,就再次向RADIUS服务器提交带有新请求ID的“Access-Request”数据包,和起初的“Access-Request”数据包内容不一样的是:起初“Access-Request”数据包中的“用户名/口令”信息被替换成此用户当前的反应信息(经过加密),并且数据包中也包含了“Access-Challenge”中的状态属性(表示为0或1)。此时,RADIUS服务器对于这种新的“Access-Request”可以有三种反应:“Access-Accept”、“Access-Reject”或“Access-Challenge”。
如果所有的要求都属合法,RADIUS返回一个“Access-Accept”回应,其中包括了服务类型(SLIP, PPP, Login User等)和其附属的信息。例如:对于SLIP和PPP,回应中包括了IP地址、子网掩码、MTU和数据包过滤标示信息等。
数据包结构
RADIUS数据包被包装在UDP数据报的数据块(Data field))中,其中的目的端口为1812。具体的数据包结构如表1。 8位 8位 16位 code Identifier Length Authenticator(128位) Attributes…(不定长)
· Code Code域长度为8位,具体取值见表2。其中,1、2、3用于用户认证,而4、5则是统计流量用,12、13 用于试验阶段,255作为保留。 code 含义 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 5Accounting-Response 11 Access-Challenge 12 Status-Server(experimenta) 13 Status-client(experimenta) 255 Reserved
· Identifier Identifier域长度为8位,主要用于匹配请求和回应数据包,也即是数据包的编号。
· Length 长度为16位,取值范围(20<=Length<=4096),此长度包括Code、Identifier、Length、Authenticator和 Attribute五个数据域的长度总和(Code、Identifier、Length、Authenticator为定长,Attribute为变长)。超出范围的数据将被视为附加数据(Padding)或直接被忽略。
· Authenticator 长度为16个字节(128位),主要用于鉴定来自RADIUS服务器的回应,同时也用于对用户口令进行加密。
(1) Request Authenticator
在“Access-Request”数据包中,Authenticator是一个16字节的随机数,称为“Request Authenticator”。它在NAS和RADIUS服务器之间通过“共享密码”(secret)传输数据的整个生命周期中是唯一的。
(2) Response Authenticator
在“Access-Accept”、“Access-Reject”和“Access-Challenge”中的Authenticator域被称为“Response Authenticator”。
有下面的计算方法:
· Attributes 属性域的数据格式如表3所示。 8位 8位 不定长(0或多个字节) Type Length value…
Type指示了Atribute的类型,通用的有几十种,如表4所示。 Type 说明 Type 说明 1 User-Name 5 NAS-Port-Id 2 Password 6 Service-Type 3 CHAP-Password 7 Framed-Protocol 4 NAS-IP-Address … …
RADIUS数据包的类型由其Code域(头8位)指定。
· Access-Request(接入-请求)
“Access-Request”数据包由NAS发出,由RADIUS服务器接收。
其中的“User-Password”或“CHAP-Password”属性值被默认地以MD5方法加密。
数据包结构如表5所示。 8位 8位 16位 Code=1 Identifier-随着Attributes的Value变化而变化,重传时则保持不变 Length Authenticator(128位)—根据Identifier变化而变化 Attributes…(不定长)
Attributes应该包括以下几个属性:
· Access-Accept
“Access-Accept” 由RADIUS服务器发出,返回给NAS。表示用户的信息是合法的。其中包括了必要的配置信息,以便下一步为用户提供服务。数据包结构如表6所示。 8位 8位 16位 Code=2 Identifier-和“Access-Request”的Identifier相同 Length Authenticator(128位)-属于Response Authenticator,由公式1计算得到 Attributes…(不定长)
Access-Reject“Access-Reject”由RADIUS服务器发出,返回给NAS。表示用户的信息是非法的。其中应该包括一个或多个的“Reply-Message”(回复消息,包含一些便于NAS返回给用户的一些错误信息)。数据包结构如表7所示。 8位 8位 16位 Code=3 Identifier-和“Access-Request”的Identifier相同 Length Authenticator(128位)-属于Response的Authenticator,由公式1计算得到 Attributes…(不定长)
属性
属性如表8所示。其中,Length的计算方法为:Type+Length+Value。 8位 8位 不定长(0或多个字节) Type Length Value…
Value有4种类型:
◆ String —— 0~253字节,字符串
◆ Ipaddress —— 32位,IP地址
◆ Integer —— 32位,整数
◆ Time —— 32位,从00:00:00 GMT, January 1, 1970到当前的总秒数
从这里可看出,RADIUS协议是一个不定长的协议栈。
安装IC-RADIUS
1. 安装软件:
2.创建radius数据库:
3.导入数据表:
然后,导入dictionary内容,使radius.dictionary数据表中包含了基本的属性(ATTRIBUTE)和属性值(VALUE)等信息。
Radius数据库结构如表10所示。 Radius数据库 dictionary radgroupcheck hints radgroupreply nas radreply radacct realmgroup radact_summary realms radcheck usergroup
4. 启动radiusd
这样,我们已经在Linux上成功的安装了一个完整的RADIUS服务器,你可以体验一下RADIUS服务器运行的感觉了。若你对RADIUS协议的开发还兴趣的话,你可以在此基础上做深入的研究。
要安装整套的IC-RADIUS,首先我们需要如表9所示的几个软件包。需要说明一下:表9中的源码包都是免费得到的,它们可以帮助我们架设一个完整的RADIUS应用环境。 软件源码包 说明 mysql-3.23.39.tar.gz MySQL数据库系统 DBI-1.18.tar.gz Perl调用数据库的通用接口 Msql-Mysql-modules-1.2216.tar.gz Perl DBI针对MySQL的Driver,即DBD for MySQL RadiusPerl-1.05.tar.gz Perl对Radius的Authen模块 icradius-0.18.1.tar.gz IC-RADIUS源码包
假设所有的原码包都被拷贝到了/usr/tmp目录下了。
安装MySQL
1.解压源码包:
2.配置参数,安装软件:
3.创建初始数据库:
4.创建共享库链接
5.复制启动/停止脚本:
6.复制并修改初始化配置文件:
使用vi打开my.cnf,在[client]下加入user=root,password处留空。
7.改变root口令:
8.如果有多个版本的mysql共存
在/etc/my.cnf的[mysqld]下加入:
安装DBI
安装DBD for MySQL
这时,系统开始和用户交互,如下:
在我们这里的需求,应该回答1(说明此模块是同时for MySQL和mSQL的)
Do you want to install the MysqlPerl emulation? You might keep your old Mysql module (to be distinguished from DBD::mysql!) if you are concerned
about compatibility to existing applications! [n] n 这里回答n
Where is your MySQL installed? Please tell me the directory that
contains the subdir 'include'. [/usr/local/mysql]?
这是缺省的mysql安装目录,我们已经按照上面的方式安装,则MySQL自动被安装到这个目录下,则这里直接回车即可
Which database should I use for testing the MySQL drivers? [test]
直接回车即可
On which host is database test running (hostname, ip address
or host:port) [localhost]?
若mysql服务器和icradius服务器安装在同一个服务器上 则这里直接回车即可
User name for connecting to database test? [undef] root?
root Password for connecting to database test? [undef] passwd?
这里输入mysql的root用户的密码