radius認證原理
在做學校訪客認證系統時,當我們將radius服務器和ladp目錄管理連接時,認證無法通過爲了尋找問題所在,我們從radius認證的原理入手,理解認證過程,去發現問題,一下是閱讀free-radius官方文檔後做的筆記。
1 free-radius認證原理
1.1 處理認證字段
- 服務器拿到AC(即各類路由設備,radius的客戶端。)發來的***請求***數據後詢問認證模塊:
“誰可以處理這類請求。”
- 如果有模塊響應這類認證則對請求進行處理。
- 如沒有模塊響應則忽略這次請求。
1.2 認證一個用戶
- 首先一次認證過程服務器會設置一個Auth-Type,如果沒有進行設置就拒絕請求。
- 首先假設客戶端發送了一個pap認證請求,則pap模塊會設置Auth-Type爲pap,然後在認證進程中服務器會再次調用pap模塊。解析AC認證請求中的用戶名密碼。
- 當pap模塊拿到了用戶名和密碼以後,radius詢問誰可以對該用戶進行驗證。這時一些SQL,LADP等外部程序中若包含這一用戶信息,則會將已知的***有效密碼***加入認證請求中。
- 這時該報文就有了用戶提供的密碼和由本地文件提供的已知有效密碼,pap認證就可以處理這一認證請求。
1.3 存在的問題
- 在認證時要注意radius對各類認證協議的密文加密方式的支持程度不同。具體可以參考協議清單。
- 關於pap認證,由於pap本身是一個明文認證所以在加密上需要調用其他模塊的支持。
理解的認證原理之後,發現是由於配置了MSCHAP認證協議。導致沒有辦法和學校LADP的sha1加密的密文進行認證,因此我們需要改變認證協議爲pap。