FreeRADIUS EAPTLS的应用.pdfVIP

EAP一Ⅱ5证书 常规使用环境下，FreeRadius一般和数据库结合部署， 使用用户名和密码来进行用户认证，应用很方便．但是。这种 工添加参数，编译时会自动搜索openssl开发库，只需要在 方法安全系数较低，在对安全要求高的部门，我们需要一个替 代方案来改善用户认证的安全性和可管理性。使用证书来代 —一prefix=／usr／local 替密码，Freel{adiusB^P—TLs的认证方法可以满足我们简化 (2)配置也很简单．只需要修改很少的地方 用户管理的需求．用户帐号不再跟密码关联。尽管网络上已 经有一些关于EAP—TLS使用的文章，但是仅仅在认证上做了 简单配置和说明，不够完善，缺失了cRL．下面就我们的实践 eap．conf中有关tls的配置 具体谈谈这一问题。 eap( 2tls 2．Fr∞R^Dlus简介 default—eap—type tlst FreeRADIUs是一十被广泛应用的radius服务器，配置 certdir=${raddbdir)／certs 使用比较简单，支持多种认证方式，扩展性很高。EAP—TLs既 cadir=$(raddbdir)／certs 提供认证，又提供动态会话钥匙分发。EAP—TLs认证机制是在 #私钥解密密码 客户端和服务器之间提供互相认证。所有的无线客户端以及 服务器都需要事先申请一个标准的x．509证书井安装，在认 #如果私钥和证书在同一文件中，私钥和证书必 证的时候客户端和服务器要相互交换证书。在交换证书的同 须是同一文件名 时，客户端和服务器要协商出一个基于会话的钥匙，一旦认证 通过，服务器将会话钥匙传给客户端并通知无线AP或者交换 机允许该客户端使用网络服务。 C^_file=$(cadir}／ca．p鲫 3．EAP_TLS的特点 dh_file=${certdir}／dh EAP—TLs认证在基于IEEE802．1l安全基础之上．有3个 主要特点：(1)取向认证机制，这一机制有救的消除了中间人 攻击0IITM)，如假冒的^P和RADIUS服务器；(2)集中化认证cA—path-$(certdir) 管理和动态分配加密密钥机制；(3)能够定义集中策略控制． #打开cliL检测 当会话超时触发重新认证和新的密钥生成。EAHLs所存在 checkcrl=yes 的安全风险只有申请认证者身份暴露这一种，而其它的EAP cipher_1ist=7DEFAuLT’ 扩展协议隐含的安全风险不止这一种。 ) ) 4．FreeR^DI峙EAP_TLs认证的实现 如果只使用tls，可以把其他的认证方式都注释掉，入 4．1 FreeRADIus的安装和配置 PAP、cH^P、MscHAP、TTLs、PEAP等等。 (1)FreeRA眦us2．0prel的发