校园防火墙设定与应用以Routeros为例初级班.doc

FreeRadius 彰化縣湖南國小 許銘堯 編寫 2014.05 PAGE PAGE 5 FreeRadius與RouterOs對接與應用 □認證方式※PAP (Password Authentication Protocol) 直接送出密碼明文到遠端伺服器進行驗證比對。 驗證伺服器架設容易，但比較不安全。目前許多學校用的NAS系統都是採PAP認證方式。 ※CHAP (Challenge Handshake Authtication Protocol) 密碼經過加密後送到遠端伺服器進行驗證比對。 驗證伺服器架設容易，帳號系統必須支援明碼加密比 PAP 安全一些。 ※PAP和CHAP差異第一、pap驗證時兩次握手實現的。chap通過三次握手實現 第二、pap驗證傳送的是明文密碼。chap在驗證過程中密碼被加密傳送 例如密碼111使用chap傳送變成0xe945c372f866dede9c □修改host資料 vi /etc/hosts 檢查IP是否正確，否則freeradius會抓錯IP?重新開機 □安裝FreeRadiusapt-get update 無法更新，許多情形是 resolv.conf設定跑掉 vi /etc/resolv.conf nameserver 存檔、離開 apt-get install freeradius □建立認證資料庫radius mysql -u root -p 輸入mysql密碼 create database radius; 建立帳號radius密碼111 grant all on radius.* to radius@localhost identified by 111; ctrl+z離開 □安裝FreeRadius的mysql資料表 apt-get install freeradius-mysql mysql -u root -p radius /etc/freeradius/sql/mysql/schema.sql 輸入root mysql密碼 mysql -u root -p radius /etc/freeradius/sql/mysql/nas.sql 輸入root mysql密碼 mysql -u root -p use radius; 加入本地測試帳號test密碼test123 INSERT INTO radcheck (UserName, Attribute, Value) VALUES (test, Password, test123); ctrl+z離開 □修改FreeRadius的sql設定檔 vi /etc/freeradius/sql.conf database = mysql login = radius password = 111 取消註解 readclients = yes  □修改FreeRadius預設模板 vi /etc/freeradius/sites-enabled/default 取消註解 Uncomment sql on authorize{} 第1處# See “Authorization Queries” in sql.conf sql Uncomment sql on accounting{} 第2處# See “Accounting queries” in sql.conf sql Uncomment sql on session{} 第3處# See “Simultaneous Use Checking Queries” in sql.conf sql Uncomment sql on post-auth{} 第4處# See “Authentication Logging Queries” in sql.conf sql □修改radius.conf參數 vi /etc/freeradius/radiusd.conf 取消註解 $INCLUDE sql.conf □停止FreeRadius運行vi freeme 將apache 改成freeradius ./freeme 強制停止FreeRadius（freeRadius在ubuntu14.04的停止指令有問題）□進入FreeRadius除錯模式(X要大寫) freeradius -X □開新的ssh視窗測試 #進行本機測試 #radtest {用戶} {密碼} localhost 1812 testing123 #的本機密碼是testing123 radtest test test123 localhost 1812 testing123 出現accept