在Linux上构建一个RADIUS服务器..docxVIP

在 Linux 上构建一个 RADIUS 服务器发布时间：2012-07-3 11:37?????分类：?IT技术?都等你发言 :)分享到：收藏本文来源：IBM?developerworks简介：?作为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用 Linux? 上的一个外部 RADIUS 服务器来验证用户，具体来说是通过一个 LDAP 服务器进行验证，可以集中放置存储在 LDAP 服务器上并且由 RADIUS 服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据 —— 确保提供机密性、完整性和可用性 —— 对管理员来说至关重要。在本文中，我将谈到数据安全性的机密性方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在 Linux 系统上建立和配置一个 Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。各组成元素介绍首先让我们谈一谈 RADIUS 协议、AAA 组件以及它们如何工作，另外还有 LDAP 协议。Remote Authentication Dial-In User Service 协议是在 IETF 的 RFC 2865 中定义的。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS 客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点（访问点是网络上专门配置的节点；WAP 是无线版本）。RADIUS 服务器通常是在 UNIX 或 Windows 2000 服务器上运行的一个监护程序。RADIUS 和 AAA如果 NAS 收到用户连接请求，它会将它们传递到指定的 RADIUS 服务器，后者对用户进行验证，并将用户的配置信息返回给 NAS。然后，NAS 接受或拒绝连接请求。功能完整的 RADIUS 服务器可以支持很多不同的用户验证机制，除了 LDAP 以外，还包括：● PAP（Password Authentication Protocol，密码验证协议，与 PPP 一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；●?CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比 PAP 更安全，它同时使用用户名和密码）；●?本地 UNIX/Linux 系统密码数据库（/etc/passwd）；●?其他本地数据库。在 RADIUS 中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么 RADIUS 服务器将返回一个?Access-Accept响应，其中包括一些参数（属性-值对），以保证对该用户的访问。这些参数是在 RADIUS 中配置的，包括访问类型、协议类型、用户指定该用户的 IP 地址以及一个访问控制列表（ACL）或要在 NAS 上应用的静态路由，另外还有其他一些值。RADIUS 记帐特性允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源 —— 例如时间、包和字节。轻量级目录访问协议轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类 X.500 目录中信息的一种方法。LDAP 可用于将用户信息保存在一个中央场所，从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。LDAP 在一个集中的目录中管理用户，从而简化了用户管理工作。除了存储用户信息外，在 LDAP 中定义用户还可以使一些可选特性得到启用，例如限制登录的数量。在本文中，您将学习如何配置 RADIUS 服务器，以便基于 LDAP 验证用户 —— 由于本文的重点在于 RADIUS，我不会描述关于 LDAP 服务器的安装和配置的细节。OpenLDAP是 LDAP 的一种开放源码实现。在 OpenLDAP.org 上可以找到关于它的详细信息。场景想像以下场景：●?用户在家里可以通过拨号验证访问他公司的内部网。●?带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。●?管理员使用他们的工作站通过管理用户验证以 telnet 或 HTTP 登录到网络设备。有这些验证任务都可以通过一个 RADIUS 服务器基于一个中央 LDAP 服务器来完成（见图 1）。图 1. 通过 RADIUS 和 LDAP 进行验证在本文