在 Linux 上構建一個 RADIUS 服務器

將遠程網絡登錄集中化並保證其安全

文檔選項

		將此頁作爲電子郵件發送
		未顯示需要 JavaScript 的文檔選項

 

作爲一名網絡管理員，您需要爲您所需管理的每個網絡設備存放用於管理的用戶信息。但是網絡設備通常只支持有限的用戶管理功能。學習如何使用 Linux™ 上的一個外部 RADIUS 服務器來驗證用戶，具體來說是通過一個 LDAP 服務器進行驗證，可以集中放置存儲在 LDAP 服務器上並且由 RADIUS 服務器進行驗證的用戶信息，從而既可以減少用戶管理上的管理開銷，又可以使遠程登錄過程更加安全。

數據安全作爲現代系統中網絡安全的一部分，與系統安全一樣的重要，所以保護數據 —— 確保提供機密性、完整性和可用性 —— 對管理員來說至關重要。

在本文中，我將談到數據安全性的機密性方面：確保受保護的數據只能被授權用戶或系統訪問。您將學習如何在 Linux 系統上建立和配置一個 Remote Authentication Dial-In User Service 服務器（RADIUS），以執行對用戶的驗證、授權和記帳（AAA）。

各組成元素介紹

首先讓我們談一談 RADIUS 協議、AAA 組件以及它們如何工作，另外還有 LDAP 協議。

Remote Authentication Dial-In User Service 協議是在 IETF 的 RFC 2865 中定義的（請參閱 參考資料 獲得相關鏈接）。它允許網絡訪問服務器（NAS）執行對用戶的驗證、授權和記帳。RADIUS 是基於 UDP 的一種客戶機/服務器協議。RADIUS 客戶機是網絡訪問服務器，它通常是一個路由器、交換機或無線訪問點（訪問點是網絡上專門配置的節點；WAP 是無線版本）。RADIUS 服務器通常是在 UNIX 或 Windows 2000 服務器上運行的一個監護程序。

RADIUS 和 AAA

如果 NAS 收到用戶連接請求，它會將它們傳遞到指定的 RADIUS 服務器，後者對用戶進行驗證，並將用戶的配置信息返回給 NAS。然後，NAS 接受或拒絕連接請求。

功能完整的 RADIUS 服務器可以支持很多不同的用戶驗證機制，除了 LDAP 以外，還包括：

• PAP（Password Authentication Protocol，密碼驗證協議，與 PPP 一起使用，在此機制下，密碼以明文形式被髮送到客戶機進行比較）；
• CHAP（Challenge Handshake Authentication Protocol，挑戰握手驗證協議，比 PAP 更安全，它同時使用用戶名和密碼）；
• 本地 UNIX/Linux 系統密碼數據庫（/etc/passwd）；
• 其他本地數據庫。

在 RADIUS 中，驗證和授權是組合在一起的。如果發現了用戶名，並且密碼正確，那麼 RADIUS 服務器將返回一個 Access-Accept 響應，其中包括一些參數（屬性-值對），以保證對該用戶的訪問。這些參數是在 RADIUS 中配置的，包括訪問類型、協議類型、用戶指定該用戶的 IP 地址以及一個訪問控制列表（ACL）或要在 NAS 上應用的靜態路由，另外還有其他一些值。

RADIUS 記帳特性（在 RFC 2866 中定義；請參閱 參考資料 獲得相關鏈接）允許在連接會話的開始和結束髮送數據，表明在會話期間使用的可能用於安全或開單（billing）需要的大量資源 —— 例如時間、包和字節。

輕量級目錄訪問協議

輕量級目錄訪問協議（Lightweight Directory Access Protocol，LDAP）是一種開放標準，它定義了用於訪問和更新類 X.500 目錄中信息的一種方法。LDAP 可用於將用戶信息保存在一箇中央場所，從而不必將相同的信息存儲在每個系統上。它還可以用於以一種一致的、可控制的方式維護和訪問信息。

LDAP 在一個集中的目錄中管理用戶，從而簡化了用戶管理工作。除了存儲用戶信息外，在 LDAP 中定義用戶還可以使一些可選特性得到啓用，例如限制登錄的數量。在本文中，您將學習如何配置 RADIUS 服務器，以便基於 LDAP 驗證用戶 —— 由於本文的重點在於 RADIUS，我不會描述關於 LDAP 服務器的安裝和配置的細節。

OpenLDAP 是 LDAP 的一種開放源碼實現。在 OpenLDAP.org 上可以找到關於它的詳細信息（請參閱 參考資料 獲得相關鏈接）。

場景

想像以下場景：

• 用戶在家裏可以通過撥號驗證訪問他公司的內部網。
• 帶無線支持的筆記本電腦可以通過無線驗證連接到一個校園網。
• 管理員使用他們的工作站通過管理用戶驗證以 telnet 或 HTTP 登錄到網絡設備。

所有這些驗證任務都可以通過一個 RADIUS 服務器基於一箇中央 LDAP 服務器來完成（見圖 1）。

圖 1. 通過 RADIUS 和 LDAP 進行驗證

在本文中，我將重點描述對最後一種選項的實現，作爲對該解決方案的一個介紹。首先安裝 RADIUS 服務器。

回頁首

安裝 RADIUS

RADIUS 服務器軟件可以從多個地方獲得。在本文中，我將使用 FreeRADIUS（請參閱 參考資料 獲得相關鏈接），但 Cisco Secure Access Control Server (ACS) 是一種集中式用戶訪問控制框架，可用於跨 UNIX 和 Windows 上多個 Cisco 設備的用戶管理，並支持 Cisco 特有的協議 TACACS+（據說在支持 TACACS+ 的設備上可擁有更多的特性）。

FreeRADIUS 是來自開放源碼社區的一種強大的 Linux 上的 RADIUS 服務器，可用於如今的分佈式和異構計算環境。FreeRADIUS 1.0.2 支持 LDAP、MySQL、PostgreSQL 和 Oracle 數據庫，並與諸如 EAP 和 Cisco LEAP 之類的網絡協議兼容。FreeRADIUS 目前被部署在很多大型生產網絡系統中。

下面的步驟演示如何在 Red Hat Enterprise Linux Advanced Server 3.0 上安裝和測試 FreeRADIUS 1.0.2：

清單 1. 安裝和測試 FreeRADIUS

				
tar -zxvf freeradius-1.0.2.tar.gz         - extract it with gunzip and tar
./configure
make
make install                              - run this command as root
radiusd or                                - start RADIUS server
radiusd -X                                - start RADIUS server in debug mode
radtest test test localhost 0 testing123  - test RADIUS server

如果 radtest 收到一個響應，則表明 FreeRADIUS 服務器工作正常。

同時我還推薦另一種免費工具，那就是 NTRadPing（請參閱 參考資料 獲得相關鏈接），它可用於測試來自 Windows 客戶機的驗證和授權請求。它可以顯示從 RADIUS 服務器發回的詳細的響應，例如屬性值。

現在讓我們來配置 FreeRADIUS。

回頁首

配置 FreeRADIUS

RADIUS 服務器的配置包括對服務器、客戶機和用戶的配置（都是用於驗證和授權）。出於不同的需要，對 RADIUS 服務器可以有不同的配置。幸運的是，大多數配置都是類似的。

配置服務器

FreeRADIUS 配置文件通常位於 /etc/raddb 文件夾下。首先，我們需要像下面這樣修改 radiusd.conf 文件。

清單 2. 修改 radiusd.conf

				
				1) Global settings:
log_auth = yes                - log authentication requests to the log file
log_auth_badpass = no         - don't log passwords if request rejected
log_auth_goodpass = no        - don't log passwords if request accepted
2) LDAP Settings:
modules {
   ldap {
      server = "bluepages.ibm.com"   - the hostname or IP address of the LDAP server
      port = 636                     - encrypted communications
      basedn = "ou=bluepages,o=ibm.com"   - define the base Distinguished Names (DN),
                                          - under the Organization (O) "ibm.com",
                                          - in the Organization Unit (OU) "bluepages"
      filter = "(mail=%u)"                   - specify search criteria
      base_filter = "(objectclass=person)"   - specify base search criteria
   }
authenticate {                - enable authentication against LDAP
   Auth-Type LDAP {
      ldap
   }

參數被設爲使用 IBM BluePages，這是 LDAP 服務的一個實例。對於其他 LDAP 服務器，參數可能有所不同。

配置客戶機

客戶機是在 /etc/raddb/clients.conf 文件中配置的。有兩種方式可用於配置 RADIUS 客戶機。您可以按 IP subnet 將 NAS 分組（清單 3），或者可以按主機名或 IP 地址列出 NAS（清單 4）。如果按照第二種方法，可以定義 shortname 和 nastype。

清單 3. 按 IP subnet 將 NAS 分組

				
client 192.168.0.0/24 {
   secret      = mysecret1   - the "secret" should be the same as configured on NAS
   shortname   = mylan       - the "shortname" can be used for logging
   nastype      = cisco      - the "nastype" is used for checkrad and is optional
}

清單 4. 按主機名或 IP 地址列出 NAS

				
client 192.168.0.1 {
   secret      = mysecret1
   shortname   = myserver
   nastype      = other
}

爲驗證而配置用戶

文件 /etc/raddb/user 包含每個用戶的驗證和配置信息。

清單 5. /etc/raddb/user 文件

				
				1) Authentication type:
Auth-Type := LDAP       - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
                        - authenticate against the
                        - password set in /etc/raddb/user
Auth-Type := System     - authenticate against the system password file
                        - /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login,   - for administrative login

爲授權而配置用戶

下面的驗證服務器屬性-值對（AV）應該爲用戶授權而進行配置。在驗證被接受後，這個屬性-值對被返回給 NAS，作爲對管理員登錄請求的響應。

對於 Cisco 路由器，有不同的權限級別：

• 級別 1 是無特權（non-privileged）。提示符是 router>，這是用於登錄的默認級別。
• 級別 15 是特權（privileged）。 提示符是 router#，這是進入 enable 模式後的級別。
• 級別 2 到 14 在默認配置中不使用。

下面的命令可以使一個用戶從網絡訪問服務器登錄，並獲得對 EXEC 命令的立即訪問：

cisco-avpair ="shell:priv-lvl=15"

下面的代碼處理相同的任務，這一次是對於 Cisco 無線訪問點：

Cisco:Avpair = "aironet:admin-capability=write+snmp+ident+firmware+admin"

任何功能組合都和這個屬性一起返回：

Cisco:Avpair = "aironet:admin-capability=ident+admin"
Cisco:Avpair = "aironet:admin-capability=admin"

請與 Cisco 聯繫，以獲得關於這些命令的更多信息。

回頁首

配置網絡訪問服務器

接下來我們將配置 NAS，首先是配置一個 Cisco 路由器，然後輪到一個 Cisco WAP。

對於 Cisco IOS 12.1 路由器，我們將啓用 AAA，然後配置驗證、授權和記帳。

清單 6. 啓用 AAA

				
aaa new-model
radius-server host 192.168.0.100
radius-server key mysecret1

AAA 在路由器上應該被啓用。然後，指定能爲 NAS 提供 AAA 服務的 RADIUS 服務器的列表。加密密鑰用於加密 NAS 和 RADIUS 服務器之間的數據傳輸。它必須與 FreeRADIUS 上配置的一樣。

清單 7. 配置驗證

				
aaa authentication login default group radius local
line vty 0 4
login authentication default

在這個例子中，網絡管理員使用 RADIUS 驗證。如果 RADIUS 服務器不可用，則使用 NAS 的本地用戶數據庫密碼。

清單 8. 配置授權

				
aaa authorization exec default group radius if-authenticated

允許用戶在登錄到 NAS 中時運行 EXEC shell。

清單 9. 配置記帳

				
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius

必須對路由器進行特別的配置，以使之發送記帳記錄到 RADIUS 服務器。使用清單 9 中的命令記錄關於 NAS 系統事件、網絡連接、輸出連接、EXEC 操作以及級別 1 和級別 15 上的命令的記帳信息。

這樣就好了。現在讓我們看看爲 Cisco 無線訪問點而進行的配置。下面的配置適用於帶有 Firmware 12.01T1 的 Cisco 1200 Series AP。如圖 2 中的屏幕快照所示，您：

• 輸入服務器名或 IP 地址和共享的祕密。
• 選擇“Radius”作爲類型，並選中“User Authentication”。

圖 2. 爲 WAP 配置 NAS

實際上，在這裏您還可以配置 EAP Authentication，使 FreeRADIUS 可用於驗證無線 LAN 的一般用戶。

回頁首

記帳：工作中的 RADIUS

現在所有配置都已經完成，FreeRADIUS 服務器可以開始記錄 NAS 發送的所有信息，將該信息存儲在 /var/log/radius/radius.log 文件中，就像這樣：

清單 10. /var/log/radius/radius.log 文件

				
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
                                mylan port 1 cli 192.168.0.94)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
                                client mylan port 1 cli 192.168.0.94)

詳細的記帳信息被存放在 /var/log/radius/radacct 目錄中。清單 11 表明，David 在 2005 年 3 月 4 日 19:40 到 19:51 這段時間裏從 192.168.0.94 登錄到了路由器 192.168.0.1。這麼詳細的信息對於正在調查安全事故以及試圖維護易於審計的記錄的管理員來說無疑是一大幫助。

清單 11. RADIUS 提供的記帳細節示例

				
Fri Mar  4 19:40:12 2005
        NAS-IP-Address = 192.168.0.1
        NAS-Port = 1
        NAS-Port-Type = Virtual
        User-Name = "David"
        Calling-Station-Id = "192.168.0.94"
        Acct-Status-Type = Start
        Acct-Authentic = RADIUS
        Service-Type = NAS-Prompt-User
        Acct-Session-Id = "00000026"
        Acct-Delay-Time = 0
        Client-IP-Address = 192.168.0.1
        Acct-Unique-Session-Id = "913029a52dacb116"
        Timestamp = 1109936412
Fri Mar  4 19:51:17 2005
        NAS-IP-Address = 192.168.0.1
        NAS-Port = 1
        NAS-Port-Type = Virtual
        User-Name = "David"
        Calling-Station-Id = "192.168.0.94"
        Acct-Status-Type = Stop
        Acct-Authentic = RADIUS
        Service-Type = NAS-Prompt-User
        Acct-Session-Id = "00000026"
        Acct-Terminate-Cause = Idle-Timeout
        Acct-Session-Time = 665
        Acct-Delay-Time = 0
        Client-IP-Address = 192.168.0.1
        Acct-Unique-Session-Id = "913029a52dacb116"
        Timestamp = 1109937077

回頁首

結束語

通過遵循本文中列出的簡單步驟，您可以建立一個 Remote Authentication Dial-In User Service 服務器，該服務器使用一個外部的 LDAP 服務器來處理爲網絡安全問題而進行的驗證、授權和記帳。本文提供了以下內容來幫助您完成此任務：

• 對 RADIUS 和 LDAP 服務器以及 AAA 概念的介紹。
• 一個融入了安裝和配置任務的場景。
• 關於安裝和配置 RADIUS 服務器的說明。
• 關於配置網絡訪問服務器的細節。
• RADIUS 將提供和管理的詳細信息的一個示例。

這些指示可以快速確保受保護的數據只能由 Linux 系統上已授權的實體訪問。

參考資料

• 您可以參閱本文在 developerWorks 全球站點上的 英文原文。
  
  
• Internet Engineering Task Force 的 RFC 2865 對 RADIUS 作了描述。RFC 2866 描述了用於指定記帳信息的一個協議。
  
  
• Configuring RADIUS 描述了 RADIUS 安全系統，定義了它的操作，並指出了適合與不適合使用 RADIUS 的網絡環境。
  
  
• 通過訪問 OpenLDAP.org 獲得關於 OpenLDAP 的更多信息。
  
  
• Understanding LDAP - Design and Implementation（IBM Redbooks，2004 年 6 月）介紹了 LDAP 概念和架構以及 IBM Tivoli Directory Server。
  
  
• 這篇 LDAP Linux HOWTO 含有關於在 Linux 系統上安裝、配置、運行和維護 LDAP 服務器的完整信息。
  
  
• Authenticating Linux users with IBM Directory Server（developerWorks，2003 年 9 月）描述瞭如何使用 IBM Directory Server 來驗證 Linux 用戶。
  
  
• 讓 Linux 更安全，第 1 部分：介紹 （developerWorks，2004 年 7 月）展示瞭如何將 LDAP 服務器用於用戶信息和驗證。
  
  
• AIX RADIUS server, Part 1: Authentication and accounting protocols（developerWorks，2005 年 1 月）討論了驗證和記帳協議，並通過一個 moden 實例解釋了基本的 RADIUS 包流。
  
  
• 從 OpenLDAP 網站獲得最新版本的 OpenLDAP。
  
  
• 從 FreeRADIUS 網站 獲得 FreeRADIUS。
  
  
• NTRadPing 讓您可以測試來自 Windows 客戶的驗證和授權請求。
  
  
• 爲了解更多關於 Cisco Secure Access Control Server (ACS) 和網絡設備上的 AAA 實現的信息，請訪問 Cisco Systems。
  
  
• 通過訪問 IETF，瞭解更多關於 RADIUS、RADIUS accounting 和 LDAP 驗證方法 的信息。
  
  
• PADL Software 提供了大量 Linux/LDAP 文檔和參考資料。
  
  
• 在 developerWorks Linux 專區 可以找到爲 Linux 開發人員準備的更多有用信息。
  
  
• 通過參與 developerWorks blogs 加入 developerWorks 社區。
  
  
• 購買 Developer Bookstore 的 Lotus 專區中 打折出售的 Lotus 書籍。
  
  
• 定購免費的 SEK for Linux，這是兩張 DVD，其中包含了 IBM 在 Linux 平臺上的最新試用軟件，包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。
  
  
• 在您的下一個 Linux 開發項目中使用 IBM 試用軟件，它們可以從 developerWorks 的下載目錄中獲得。
  

關於作者

		Wei Zhang 是一名網絡和信息安全專家。在過去六年裏，他設計和實現了不同類型的大規模網絡系統，涵蓋了很多種技術，從 SNA、VoIP、IDS、*** 和防火牆到無線 LAN。他於 2003 年加入 IBM，擔任一名 IT 專家。目前，他的工作重點是信息安全技術和管理。您可以通過 [email][email protected][/email] 與他聯繫。