今天小編給大家分享一篇關(guān)于linux radius 配置及安裝的詳細教程，感興趣的朋友跟小編一起來了解一下吧!

　　RADIUS主要用于對遠程撥入的用戶進行授權(quán)和認證。它可以僅使用單一的“數(shù)據(jù)庫”對用戶進行認證(效驗用戶名和口令)。它主要針對的遠程登錄類型有：SLIP、PPP、telnet和rlogin等。

　　其主要特征有：

　　1. 客戶機/服務(wù)器(C/S)模式

　　一個網(wǎng)絡(luò)接入服務(wù)器(以下簡稱NAS)作為RADIUS的客戶機，它負責(zé)將用戶信息傳入RADIUS服務(wù)器，然后按照RADIUS服務(wù)器的不同的響應(yīng)來采取相應(yīng)動作。另外，RADIUS服務(wù)器還可以充當(dāng)別的RADIUS服務(wù)器或者其他種類認證服務(wù)器的代理客戶。

　　2.網(wǎng)絡(luò)安全(Network Security)

　　NAS和RADIUS服務(wù)器之間的事務(wù)信息交流由兩者共享的密鑰進行加密，并且這些信息不會在兩者之間泄漏出去。

　　3.靈活認證機制(Flexible Authentication Mechanisms)

　　RADIUS服務(wù)器支持多種認證機制。它可以驗證來自PPP、PAP、CHAP和UNIX系統(tǒng)登錄的用戶信息的有效性。

　　4.協(xié)議可擴展性(Extensible Protocol)

　　所有的認證協(xié)議都是基于“屬性-長度-屬性值”3元素而組成的。所以協(xié)議是擴展起來非常方便。在目前很多比較高版本的Linux中，它們都把RADIUS的安裝程序包含在系統(tǒng)源碼中。這樣使得我們可以很容易地通過免費的Linux系統(tǒng)學(xué)習(xí)RADIUS授權(quán)、認證的原理和應(yīng)用。

　　RADIUS協(xié)議原理

　　要弄清楚RADIUS協(xié)議為何能實現(xiàn)授權(quán)和認證，我們必須應(yīng)該從四個方面去認識RADIUS協(xié)議：協(xié)議基本原理、數(shù)據(jù)包結(jié)構(gòu)、數(shù)據(jù)包類型、協(xié)議屬性。下面我們就來詳細地介紹這些內(nèi)容。

　　協(xié)議基本原理

　　NAS提供給用戶的服務(wù)可能有很多種。比如，使用telnet時，用戶提供用戶名和口令信息，而使用PPP時，則是用戶發(fā)送帶有認證信息的數(shù)據(jù)包。

　　NAS一旦得到這些信息，就制造并且發(fā)送一個“Access-Request”數(shù)據(jù)包給RADIUS服務(wù)器，其中就包含了用戶名、口令(基于MD5加密)、NAS的ID號和用戶訪問的端口號。

　　如果RADIUS服務(wù)器在一段規(guī)定的時間內(nèi)沒有響應(yīng)，則NAS會重新發(fā)送上述數(shù)據(jù)包;另外如果有多個RADIUS服務(wù)器的話，NAS在屢次嘗試主RADIUS服務(wù)器失敗后，會轉(zhuǎn)而使用其他的RADIUS服務(wù)器。

　　RADIUS服務(wù)器會直接拋棄那些沒有加“共享密鑰”(Shared Secret)的請求而不做出反應(yīng)。如果數(shù)據(jù)包有效，則RADIUS服務(wù)器訪問認證數(shù)據(jù)庫，查找此用戶是否存在。如果存在，則提取此用戶的信息列表，其中包括了用戶口令、訪問端口和訪問權(quán)限等。

　　當(dāng)一個RADIUS服務(wù)器不能滿足用戶的需要時，它會求助于其他的RADIUS服務(wù)器，此時它本身充當(dāng)了一個客戶端。

　　如果用戶信息被否認，那么RADIUS服務(wù)器給客戶端發(fā)送一個“Access-Reject”數(shù)據(jù)包，指示此用戶非法。如果需要的話，RADIUS服務(wù)器還會在此數(shù)據(jù)包中加入一段包含錯誤信息的文本消息，以便讓客戶端將錯誤信息反饋給用戶。

　　相反，如果用戶被確認，RADIUS服務(wù)器發(fā)送“Access-Challenge”數(shù)據(jù)包給客戶端，并且在數(shù)據(jù)包中加入了使客戶端反饋給用戶的信息，其中包括狀態(tài)屬性。接下來，客戶端提示用戶做出反應(yīng)以提供進一步的信息，客戶端得到這些信息后，就再次向RADIUS服務(wù)器提交帶有新請求ID的“Access-Request”數(shù)據(jù)包，和起初的“Access-Request”數(shù)據(jù)包內(nèi)容不一樣的是：起初“Access-Request”數(shù)據(jù)包中的“用戶名/口令”信息被替換成此用戶當(dāng)前的反應(yīng)信息(經(jīng)過加密)，并且數(shù)據(jù)包中也包含了“Access-Challenge”中的狀態(tài)屬性(表示為0或1)。此時，RADIUS服務(wù)器對于這種新的“Access-Request”可以有三種反應(yīng)：“Access-Accept”、“Access-Reject”或“Access-Challenge”。 如果所有的要求都屬合法，RADIUS返回一個“Access-Accept”回應(yīng)，其中包括了服務(wù)類型(SLIP, PPP, Login User等)和其附屬的信息。例如：對于SLIP和PPP，回應(yīng)中包括了IP地址、子網(wǎng)掩碼、MTU和數(shù)據(jù)包過濾標示信息等。

　　數(shù)據(jù)包結(jié)構(gòu)

　　RADIUS數(shù)據(jù)包被包裝在UDP數(shù)據(jù)報的數(shù)據(jù)塊(Data field))中，其中的目的端口為1812。具體的數(shù)據(jù)包結(jié)構(gòu)如表1。

　　8位 8位 16位

　　code Identifier Length

　　Authenticator(128位)

　　Attributes…(不定長)

　　· Code Code域長度為8位，具體取值見表2。其中，1、2、3用于用戶認證，而4、5則是統(tǒng)計流量用，12、13 用于試驗階段，255作為保留。

　　code 含義

　　1 Access-Request

　　2 Access-Accept

　　3 Access-Reject

　　4 Accounting-Request

　　5 5Accounting-Response

　　11 Access-Challenge

　　12 Status-Server(experimenta)

　　13 Status-client(experimenta)

　　255 Reserved

　　· Identifier Identifier域長度為8位，主要用于匹配請求和回應(yīng)數(shù)據(jù)包，也即是數(shù)據(jù)包的編號。

　　· Length 長度為16位，取值范圍(20

　　· Authenticator 長度為16個字節(jié)(128位)，主要用于鑒定來自RADIUS服務(wù)器的回應(yīng)，同時也用于對用戶口令進行加密。

　　(1) Request Authenticator

　　在“Access-Request”數(shù)據(jù)包中，Authenticator是一個16字節(jié)的隨機數(shù)，稱為“Request Authenticator”。它在NAS和RADIUS服務(wù)器之間通過“共享密碼”(secret)傳輸數(shù)據(jù)的整個生命周期中是唯一的。

　　(2) Response Authenticator

　　在“Access-Accept”、“Access-Reject”和“Access-Challenge”中的Authenticator域被稱為“Response Authenticator”。

　　有下面的計算方法：

　　ResponseAuth = MD5(Code+ID+Length+RequestAuth+ Attributes+Secret) ——(公式1)

　　· Attributes 屬性域的數(shù)據(jù)格式如表3所示。

　　8位 8位 不定長(0或多個字節(jié))

　　Type Length value…

　　Type指示了Atribute的類型，通用的有幾十種，如表4所示。

　　Type 說明 Type 說明

　　1 User-Name 5 NAS-Port-Id

　　2 Password 6 Service-Type

　　3 CHAP-Password 7 Framed-Protocol

　　4 NAS-IP-Address … …

　　數(shù)據(jù)包類型

　　RADIUS數(shù)據(jù)包的類型由其Code域(頭8位)指定。

　　· Access-Request(接入-請求)

　　“Access-Request”數(shù)據(jù)包由NAS發(fā)出，由RADIUS服務(wù)器接收。

　　其中的“User-Password”或“CHAP-Password”屬性值被默認地以MD5方法加密。

　　數(shù)據(jù)包結(jié)構(gòu)如表5所示。

　　8位 8位 16位

　　Code=1 Identifier-隨著Attributes的Value變化而變化，重傳時則保持不變 Length

　　Authenticator(128位)—根據(jù)Identifier變化而變化

　　Attributes…(不定長)

　　Attributes應(yīng)該包括以下幾個屬性：

　　◆ “User-Name”

　　◆ “User-Password”或“CHAP-Password”

　　◆ “NAS-IP-Address”

　　* “NAS-Identifier”

　　◆ “NAS-Port”

　　◆ “NAS-Port-Type”

　　· Access-Accept

　　“Access-Accept” 由RADIUS服務(wù)器發(fā)出，返回給NAS。表示用戶的信息是合法的。其中包括了必要的配置信息，以便下一步為用戶提供服務(wù)。數(shù)據(jù)包結(jié)構(gòu)如表6所示。

　　8位 8位 16位

　　Code=2 Identifier-和“Access-Request”的Identifier相同 Length

　　Authenticator(128位)-屬于Response Authenticator，由公式1計算得到

　　Attributes…(不定長)

　　Access-Reject“Access-Reject”由RADIUS服務(wù)器發(fā)出，返回給NAS。表示用戶的信息是非法的。其中應(yīng)該包括一個或多個的“Reply-Message”(回復(fù)消息，包含一些便于NAS返回給用戶的一些錯誤信息)。數(shù)據(jù)包結(jié)構(gòu)如表7所示。

　　8位 8位 16位

　　Code=3 Identifier-和“Access-Request”的Identifier相同 Length

　　Authenticator(128位)-屬于Response的Authenticator，由公式1計算得到

　　Attributes…(不定長)

　　屬性

　　屬性如表8所示。其中，Length的計算方法為：Type+Length+Value。

　　8位 8位 不定長(0或多個字節(jié))

　　Type Length Value…

　　Value有4種類型：

　　◆ String —— 0~253字節(jié)，字符串

　　◆ Ipaddress —— 32位，IP地址

　　◆ Integer —— 32位，整數(shù)

　　◆ Time —— 32位，從00:00:00 GMT, January 1, 1970到當(dāng)前的總秒數(shù)

　　從這里可看出，RADIUS協(xié)議是一個不定長的協(xié)議棧。

　　安裝RADIUS Server

　　要安裝整套的IC-RADIUS，首先我們需要如表9所示的幾個軟件包。需要說明一下：表9中的源碼包都是免費得到的，它們可以幫助我們架設(shè)一個完整的RADIUS應(yīng)用環(huán)境。

　　以上就是關(guān)于linux radius 配置及安裝的詳細教程，想必都了解了吧，更多相關(guān)內(nèi)容請繼續(xù)關(guān)注愛站技術(shù)頻道。

標簽： linux 安全 服務(wù)器 權(quán)限 數(shù)據(jù)庫 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。