建立Linux下的RADIUS服务器

　　作者：栗朝军
　　
　　----远程认证拨号用户服务(Remote Authentication Dial In User Service，RADIUS)是在网络访问服务器(Network Aclearcase/" target="_blank" >ccess Server，NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。其协议的标准定义在IETF的RFC 2865和RFC 2866文件中。对于中小型企业NAS应用来说，以Linux为平台建立RADIUS服务器是非常好的选择。使用共享软件完全可以建立简洁、高效的RADIUS服务器，而且无须任何软件上的花费。
　　
　　----一、RADIUS的工作原理
　　
　　----RADIUS以Client/Server方式工作，实现了对远程电话拨号用户的身份认证、授权和计费功能。其Client端多为通过拨号方式实现的NAS，主要用来将用户信息传递给服务器；RADIUS服务器则对用户进行认证，并返回用户的配置信息。为了保证传输的安全性，在Client和Server之间传送的数据均以MD5方式加密。在RADIUS的Server端和Client端之间的通信主要有两种情况;一种是接入认证；另一种是计费请求。
　　
　　----使用RADIUS可以实现集中化的认证和记费功能，可以减少管理的负担和费用，同时还可以实现很多扩展的功能，如用户拨号时间的限定、用户拨号时间的配额、根据用户分配特定IP地址等等。RADIUS是一种基于UDP协议的上层协议，认证服务的监听端口号为1812，记费服务的监听端口号为1813。RADIUS的工作流程是：（1）用户拨入NAS; （2）NAS向RADIUS服务器发送一系列加密的“属性/值”; （3）RADIUS服务器检查用户是否存在、属性/值是否匹配；（4）RADIUS服务器发送回“接受“或“拒绝“给NAS。
　　
　　----RADIUS服务器通常是基于数据库来实现的。对于大型ISP，通常会使用诸如Oracle之类的大型后台数据库。而对于中小型应用使用mySQL这样的数据库就足够了。其实RADIUS的身份验证也可以通过LDAP来实现，但其应用不如数据库那么广泛。
　　
　　----这里介绍一种使用IC-RADIUS与mySQL配合建立RADIUS服务器的方案。并分别介绍了使用Cisco2610+Modem Pool作为NAS和使用Linux作为NAS的配置实例。
　　
　　----二、RADIUS服务器的建立
　　
　　----首先安装配置好Linux的基本系统，注意需要安装开发工具、Perl、Perl DBI和mySQL DBD模块，当然还必须安装mySQL数据库。这里我们假设把数据库和RADIUS服务放在同一台服务器上。现在几乎每个Linux发行版本里都包含mySQL，所以可以直接安装到系统里。具体步骤如下。
　　
　　----1．安装和配置ICRADIUS
　　
　　----（1）输入以下命令
　　
　　----#tar xvfz icradius-0.18.1.tar.gz
　　
　　----#cd icradius-0.18.1/src
　　
　　----然后拷贝针对Linux的Make文件Makefile.lnx为Makefile，命令如下：
　　
　　----cp Makefile.lnx Makefile
　　
　　----这里需要注意的是有可能需要修改Makefile文件，把mySQL库、头文件的位置根据实际安装的情况加以修改。对于可执行文件的安装位置也可以修改。
　　
　　----（2）运行如下命令
　　
　　----#make
　　
　　----#make install
　　
　　----2．创建RADIUS数据库
　　
　　----（1）连接mysql数据库，命令如下
　　
　　----#mysql -u root -pyourpassword
　　
　　---->CREATE DATABASE radius; ### 创建radius数据库
　　
　　----然后需要创建RADIUS数据库需要的各个表格，这里要使用icradius-0.18.1目录下script子目录中的radius.db文件，该文件已经定义了所需要的各个表格，这里只要使用命令
　　
　　----#mysql -u root -pyourpassword radius < radius.db
　　
　　----即可。这时就创建了Radius认证和计费所需要的各个表格，见附表1。
　　
　　----3．填充各个表格
　　
　　----向上面创建的各个数据库的表中添加内容。对于dictionary表的内容，icradius软件提供了一个脚本文件script/dictimport.pl来创建，步骤如下。
　　
　　----（1）编辑该文件，修改
　　
　　----my $dbusername =root;
　　
　　----my $dbpassword = yourpassword;
　　
　　----为对应的数据库管理员的用户名和密码。
　　
　　----（2）运行该脚本，命令如下:
　　
　　----#./dictimport.pl ../raddb/dictionary
　　
　　----如果使用Cisco路由器，还需要加载Cisco的dictionary文件，命令如下：
　　
　　----# ./dictimport.pl ../raddb/dictionary.cisco
　　
　　----（3）向nas表格中添加内容，先进入mysql：
　　
　　----# mysql -u root -pyourpassword radius
　　
　　----执行SQL语言命令如下：
　　
　　----insert into nas
　　
　　----values (0,"cisco nas","nas","10.60.39.250","cisco",32,"cisco","public","on");
　　
　　----其中各字段的意义见附表2。
　　
　　----（4）srcipts目录下的radius.cgi是一个实现Web界面管理用户及记费信息的CGI程序，但是要在使用该脚本程序以前，首先要在radcheck表格中添加如下内容：
　　
　　----INSERT INTO radcheck VALUES ("","admin","Password","adminpassword");
　　
　　----INSERT INTO radcheck VALUES ("","admin","Radius-Operator","Yes");
　　
　　----这里，admin为RADIUS管理员的用户名，adminpassword为管理员的密码。
　　
　　----（5）将radius.cgi和usage.cgi拷贝到Web服务器的cgi-bin目录下，再编辑这两个文件，正确的设定数据库管理员的用户名和密码。最后指定两个文件中的$cookiedomain及$radhost为空。两个文件中的$radsecret指定为NAS和RADIUS共享的密码。
　　
　　----4．配置启动radiusd
　　
　　----（1）在/etc/目录下创建子目录raddb
　　
　　----# mkdir /etc/raddb
　　
　　----（2）在该目录下创建文件client，并设定其访问权限：
　　
　　----# touch clients
　　
　　----# chmod 664 clients
　　
　　----（3）把icradius-0.18.1/raddb /目录下的radiusd.conf拷贝到/etc/raddb目录下：
　　
　　----#cp ~/icradius-0.18.1/raddb/radius.conf /etc/raddb/
　　
　　----（4）把~/icradius-0.18.1/raddb/中的所有文件拷贝到/etc/raddb目录中。
　　
　　----其中在~/icradius-0.18.1/redhat/目录下有一个名为rc.radiusd-redhat的文件，它是redhat环境下radiusd的启动文件，将其拷贝到/etc/rc.d/init.d目录下：
　　
　　----# cp ~/icradius-0.18.1/redhat/rc.radiusd-redhat /etc/rc.d/init.d/rc.radiusd
　　
　　----（5）编辑文件/etc/raddb/radius.conf文件，password后面修改为mysql的管理员密码。
　　
　　----（6）编辑文件/etc/rc.d/init.d/rc.radius，把如下内容：
　　
　　----RADIUSD=/usr/sbin/radiusd
　　
　　----WATCHER=/usr/sbin/radwatch修改为（缺省安装时）
　　
　　----RADIUSD=/usr/local/sbin/radiusd
　　
　　----WATCHER=/usr/local/sbin/radwatch
　　
　　----（7）拷贝~/icradius-0.18.1/scripts目录下的radwatch到/usr/local/sbin目录下。拷贝~/icradius-0.18.1/scripts目录下的radiusd.cron.daily到/etc/cron.daily/目录下。拷贝~/icradius-0.18.1/scripts目录下的radiusd.cron.monthly到/etc/cron.daily/目录下。
　　
　　----（8）启动radiusd，命令如下
　　
　　----/etc/rc.d/init/rc.radiusd start
　　
　　----5．添加用户
　　
　　----在浏览器里输入http://radiusserver/cgi-bin/radius.cgi进入管理界面，在这里输入RADIUS管理员的用户名和密码。
　　
　　----（1）创建一个组，该组具有所有用户都应该具有的特性，为该组起一个名字。
　　
　　----（2）进入组属性设置界面，在“reply item”中设置最基本的属性，命令如下：
　　
　　----Framed-Protocol PPP
　　
　　----Service-Type Framed-User
　　
　　----（3）添加用户，为该用户组起一个名字：aaa，并设定该用户的密码。
　　
　　----（4）进入了用户属性设置界面，选择“add to group“*”all_user组”*“确定”，就可以看到，该用户如下“reply item”：
　　
　　----Framed-Protocol PPP
　　
　　----Service-Type Framed-User
　　
　　----（5）如果需要设置该用户的时间限制，则需要输入时间限制的数字，注意时间单位为秒），因此一小时的时间限制对应的“Total-Time-Limte”属性值为3600。
　　
　　----（6如果需要是设置回拨，在“reply item”中选择“Cisco-AVPair lcp:callback-dialstring=1234567（回拨的电话号码）”。对于“check item”和“reply item”根据不同的NAS设备类型有非常多的可选项，其功能也非常丰富。
　　
　　----三、拨号服务器的设置
　　
　　----通过上面的步骤，RADIUS服务器基本建立完毕了。为了让拨号服务器使用RADIUS作为拨号用户的身份验证方式，必须在拨号服务器上作相应的设置。在本文讨论的实例中使用了Cisco 2610路由器作为拨号服务器，在配备了16端口的异步串口模块后，可以允许16个用户同时拨入。在Cisco 2610上完成拨号基本配置可以正常工作后，需要加入如下语句来使用RADIUS作身份认证和记账。
　　
　　----…
　　
　　----aaa new-model #激活AAA(authentication、authorization、accounting)访问控制
　　
　　----aaa authentication login default line enable #进行login认证，若RADIUS Server未找到从本地数据库内查找
　　
　　----aaa authentication ppp default radius local #进行PPP认证，若RADIUS Server未找到从本地数据库内查找
　　
　　----aaa authorization exec default radius none #由RADIUS服务器授权运行EXEC模式
　　
　　----aaa authorization.network default radius local #先由RADIUS服务器授权与网络相关的服务请求。
　　
　　----aaa accounting network default start-stop radius #定义使用RADIUS作为使用时间的记账
　　
　　----…
　　
　　----…
　　
　　----radius-server host 10.65.65.19 auth-port 1812 acct-port 1813 #设置RADIUS服务器IP地址、验证和记账端口
　　
　　----radius-server key cisco #定义RADIUS服务器和NAS之间共享的密码
　　
　　----…
　　
　　----!
　　
　　----对于小型应用，使用Linux作拨号服务器的同时，也可以使用RADIUS作身份认证和记费，这需要安装radiusclient-0.2.7.tar.gz。后面的步骤如下。
　　
　　----（1）必须已经配置好拨号服务器PPP Server，使其能够正常工作，修改/etc/mgetty+sendfax/login.config文件，去掉下面一行的注释符号：
　　
　　----/AutoPPP/ - a_ppp /usr/sbin/pppd-radius
　　
　　----此行的目的是实现基于RADIUS的PAP验证，使通过Windows 95/98的拨号用户不需弹出终端窗口，直接在拨号窗口中输入用户ID和口令即可进入
　　
　　----（2）修改/etc/options文件，需要去掉idle 600等配置项，因为pppd-radius这个脚本不支持这些参数。在配置文件中添加参数radius和radacct，这两项是告诉pppd-radius要用RADIUS进行验证。
　　
　　----（3）修改/etc/radiusclient/radiusclient.conf文件，具体如下：
　　
　　----auth_order radius，local #验证顺序
　　
　　----login_tries 4
　　
　　----login_timeout 60
　　
　　----nologin /etc/nologin
　　
　　----issue /etc/radiusclient/issue
　　
　　----authserver 10.65.65.19 #RADIUS Server的地址，可以是localhost
　　
　　----acctserver 10.65.65.19 clients/etc/raddb/clients #作为client的一些配置
　　
　　----login_radius /usr/sbin/login.radius
　　
　　----seqfile /var/run/radius.seq
　　
　　----mapfile /etc/radiusclient/port-id-map
　　
　　----default_realm
　　
　　----radius_timeout 10
　　
　　----radius_retries 3
　　
　　----login_local /bin/login
　　
　　----port_pool /etc/radiusclient/modem-pool
　　
　　----（4）修改/etc/raddb/clients文件，具体内容如下：
　　
　　----（5）在对应Client Name处写入Radius Server的IP地址，也就是在/etc/radiusclient/radiusclient.conf文件中定义的authserver和acctserver的地址，在对应Key处应加上保密字。
　　
　　

原文转自：http://www.ltesting.net