RADIUS协议特点
RADIUS协议具有灵活、安全、可扩展性好的特点，具体包括：通过网络传输的认证信息都经过加密，安全性高； 认证方式灵活，支持Unix Passwd、CHAP、挑战－回答认证等多种认证方式， 还支持认证转接（Authentication Forwarding）；协议扩展性好，通过变长 的属性串（Attribute Pair）能够进一步扩展RADIUS协议。RADIUS的认证过程如下图：

如上图所示，NAS（Network Access Server，网络访问服务器）被看成RADIUS的客户端，当用户登录到NAS 时，客户端将用户提供的认证信息（如用户名和口令）发送给指定的RADIUS Server，并根据Server的回应作出相应的“允许/不允许登录”的决定。 RADIUS Server 负责接收认证请求并进行认证，然后将认证结果（包括连 接协议、端口信息、 ACL 等授权信息）发送回RADIUS Client，Client根据 授权信息限制用户对资源的访问。 一个RADIUS Server可以作为另一个RADIUS Server的客户端要求认证（即认证转接），以提供灵活的认证方式。 RADIUS Server和Client之间传递的认证信息用一个事先设置的口令进行加密，防止敏感信息泄露。当用户成功的登录后，NAS会向RADIUS Server发送一个连接开始的记账信 息包，其中包括用户使用的连接种类、协议和其他自定义信息；当用户断开连接后，NAS会向RADIUS Server发送一个连接结束的记账信息包，RADIUS Server根据设置为用户记账。

RADIUS登录过程
　下面是一个典型的RADIUS登录过程：
　　远程用户登录NAS；
　　NAS发送“RADIUS Access－Request”到RADIUS Server，其中包括用户名、密码等信息；如果该用户使用“挑战－回答”认证，RADIUS Server 将发送包含挑战信息的“RADIUS Access－Challenge”消息，NAS将挑战信息显示给用户；
　　用户将回答提交给NAS，NAS将发送第二个“RADIUS Access－Request”，Server 将根据此信息进行认证，这个过程类似于前面介绍过得CHAP认证方式；
　　RADIUS Server 将根据事先设置的认证方式（CHAP、用户名口令、挑战应答等）认证该用户，并发回“RADIUS Access－Accept”；或拒绝该用户，并发回“RADIUS Access－Reject”消息；
　　NAS通知Server开始Accounting，用户访问进程开始，当用户结束进程时，NAS通知Server结束Accounting进程。
　　基于RADIUS协议的认证方式由于其安全、灵活、可扩展性等特点被广泛应用，其认证机制的实现包括了用户名＋口令、基于对称加密、基于非对称加密等多种方式，可以根据实际的安全需求具体实施。

本文章由 http://www.wifidog.pro/2015/03/26/wifidog%E9%85%8D%E7%BD%AE%E6%B5%81%E7%A8%8B.html 整理编辑，转载请注明出处

RADIUS认证服务器(Remote Authentication Dial In User Service，远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting，即认证、授权、计费)。AAA协议的典型操作是验证用户名和密码是否合法(认证)，分配IP地址(授权)，登记上线/下线时间(计费)，电信业窄带/宽带拨号都使用大型RADIUS认证服务器。而随着网络安全需求提高，中小企业的局域网集中用户认证，特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。这些用户不需要使用昂贵的专业系统，采用PC服务器和Linux系统的Freeradius+MySQL可靠地实现。本文着重介绍RADIUS系统在VPDN拨号二次认证中的应用。

Freeradius的安装

　　笔者采用FC4 for x86_64系统上的freeradius-1.1.2，在中档PC服务器上运行，系统运行稳定可靠。Linux FC4自带Freeradius和MySQL，不过实测不理想。FC4 MySQL对中文支持不好，而freeradius则仅支持其自带MySQL。所以，在编译MySQL时要加入选项“--with-charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“—with-snmp=no”，因为与库文件snmp相关的库对64位支持有问题，最新的FC7也许没有这些问题。Freeradius提供了MySQL建库脚本——db-MySQL.sql，不过建nas库有1个语法错误，将“id int(10) DEFAULT ‘0’;”中的“DEFAULT ‘0’”去掉即可正常建立Radius库。

Freeradius的设置

　　简单少数用户可使用Freeradius缺省的users文件配置用户，根据文件制定的规则和用户工作。安装完毕后启动Radius服务：/usr/loca

　　l/sbin/radiusd –X。本机运行radtest test test localhost 0 testing123发认证请求，得到回应表示Radius服务器工作正常。

　　Radius服务器缺省使用/usr/local/etc/raddb/users文件工件认证，简单易行，但仅适用于少数用户。如果管理几十个或更多用户，应使用数据库，对于少于一万用户而言，MySQL是合适选择。

MySQL认证的设置

　　在配置文件radiusd.conf中，在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置MySQL的连接信息，用户/密码和地址，本机用localhost即可。www.linuxidc.com还需要在users中对DEFAULT用户做如下设置：Auth-Type = Local，Fall-Through = 1。这样，才可正确使用MySQL进行认证。

　　在MySQL中设置用户的规则与users文件用户设置有对应关系。Radius认证是以Attribute = Value的形式提供认证和应答消息。在users文件中，与用户名位于同一行，以“，”分隔的各个属性是认证请求必须提供而且需要验证的属性。下面各行属性如IP地址等加入应答包中。在MySQL中不分组情况下，只要在radcheck表中加入密码，在radreply中加入应答信息如IP地址即可。

　　实际使用时，往往使用username@domain形式用户进行认证。用文件方式时，可以通过设置剥离域名，只建立username认证即可。需要在radiusd.conf中加入一项realm domain { format=suffix… }域说明，并在proxy.conf中realm DEFAULT使用LOCAL认证。用MySQL认证时，缺省的sql.conf中使用带域名的全名进行认证。使用剥离域名的用户认证，注释掉缺省的sql_user_name = "%{User-Name}"，开放原来注释掉的sql_user_name = "%{Stripped-User-Name:-%{User-Name:-DEFAULT}}"定义语句，则优先使用剥离域名的用户名进行认证。表中用户名一项只需写用户名即可，不需要域名。

　　最后，打开防火墙是必要的。缺省Radius认证服务器使用UDP 1812端口认证，UDP1813端口计费，应该开放UDP包的进出。

Iptables –A OUTPUT –p udp –d 192.168.10.3 --sport 1812 –j ACCEPT

　　Iptables –A INPUT –p udp –s 192.168.10.3 --dport 1812 –j ACCEPT

　　其中192.168.10.3是认证客户端的地址，通常是LNS路由器，同理开放UDP 1813计费端口。

　　CISCO路由器的设置

　　CISCO 路由器是经典的RADIUS客户端，在VPDN拨号系统中LNS作为二次认证客户端。在clie

　　nts.conf中定义客户端IP地址和共享密钥。对单网口的低级路由器来说，客户端的IP地址就是网口IP。对于中高级路由器来说，路由器缺省使用第一个网口IP作为客户端源IP，如果是不可路由的内网地址，则客户端无法收到认证应答包。要指定IP，使用如下语句：

　　ip radius source-interface FastEthernet0/1

　　其中FastEthernet0/1的IP指定作为认证客户端的源地址。一般做法是在VPDN-GROUP定义中使用source-ip 语句指定IP，不过重启路由器后必须重新设置RADIUS服务器才能生效。

　　另一个关于CISCO设置是使用多个认证服务器。中高档路由器通常可支持不同的拨号接入。不同拨号接入使用不同的认证服务器。CISCO中使用不同的server-group实现。

　　aaa authorization network aaa-radius1 start-stop group radius1

　　aaa authorization network aaa-radius2 start-stop group radius2

　　也可根据需要定义authentication/accounting使用的server-group。

　　在每个接入的PPP Virtual-Template模板中，ppp可选择不同的server-group进行AAA认证。

　　interface Virtual-Template1

　　ppp authorization aaa-radius1

　　……

　　interface Virtual-Template2

　　ppp authorization aaa-radius2

　　……

　　这样实现一个路由器作为多个使用不同RADIUS服务器的拨号LNS路由器功能。

　　用户物理绑定的实现

　　实现用户物理绑定，特定用户只能在特定的电话号码或端口号上发起连接才能认证成功，可以大大提高认证安全性。在窄带系统中，LAC在拨入接入服务器LAC进行一次认证时，就向RADIUS服务器提供主叫号码，二次认证时该属性就被提交给RADIUS服务器。如电话号码为1234567，用户拨号，请求中包含属性Calling-Station-Id = "1234567"。为了实现主叫号码绑定，首先在radiusd.conf配置文件中起用对主叫号码的检查，即checkval {}中的内容。在使用users文件认证时，在用户名定义的同一行内加入Calling-Station-Id = "1234567"即可。使用MySQL认证时，在radcheck表中加入“Calling-Station-Id，”+=”，”1234567””这条记录即可。

　　对于ADSL宽带来说，不能使用电话号码绑定。不同宽带设备可提供不同的绑定方式。其实现要点也是必须在发出认证请求中包含其物理端口或其它物理信息，Radius服务器在字典定义该属性，在users文件或MySQL中加入约束值即可。

本文章由 http://www.wifidog.pro/2015/03/26/wifidog%E6%9C%8D%E5%8A%A1%E5%99%A8.html 整理编辑，转载请注明出处

要使用 RADIUS 服务器对WLAN无线路由器进行认证，您必须：
将WLAN无线路由器的 IP 地址添加到 RADIUS 服务器上。
在WLAN无线路由器中启用并指定 RADIUS 服务器。
将 RADIUS 用户名或组名添加到您的策略中。
要在配置中启用并指定 RADIUS 服务器。

选择“无线”>“无线安全”。
将显示“无线安全”页面。
选择“WPA Enterprise Mixed”选项卡。
选中“WPA Enterprise Mixed”复选框。
在“IP 地址”文本框中，输入 RADIUS 服务器的 IP 地址。
在“端口”文本框中，输入RADIUS的端口号。 默认端口号为 1812。 较早的 RADIUS 服务器可能使用端口 1645。
在“口令 ”文本框中，输入 WLAN设备和 RADIUS 服务器之间的共享密码。
要添加备份 RADIUS 服务器，请选择“次服务器设置”选项卡，然后选中“启用次 RADIUS 服务器”。
重复步骤 4 - 11 以配置备份服务器。 请确保主 RADIUS 服务器和备份 RADIUS 服务器上的共享密码相同。
有关详细信息，请参阅使用备份认证服务器。
单击“应用”“保存”。

本文章由 http://www.wifidog.pro/2015/03/26/wifidog-radius%E8%AE%A4%E8%AF%81.html 整理编辑，转载请注明出处

最开始想用openwrt，刷了一个，结果发现不会用，里面配置太复杂了，被wan lan搞晕了，一直无法联网，因为在公司路由器本来在一个局域网下，没办法请公司SA帮忙弄了哈，也没有搞定，换DDWRT吧，这个可是有中文界面的，顿觉亲了很多。

ddwrt确实方便很多了，不过一定要注意呀，因为我要用WIFIDOG，之前下了几个版本都没有wifidog的配置，好像可以自己装，没试过，因为最开始测试用的wiwiz，下载到路由器上以后，没法安装，最后直接下了dd-wrt.v24_nokaid_generic.bin这个版本的ddwrt，上面可以直接配置wifidog.org相当的方便。

wifidog认证服务用authpuppy.org，web服务配置(nginx)。

if (!-e $request_filename) {
     rewrite ^(.*) /index.php last;
}

ddwrt => services => hotspot

gateway id 这个很重要，认证服务需要这个。

服务器路径这个一定要注意哈，加/，这个最开始老是不对，研究了很久。发现原来路径里面少了一个/，导致无法访问到正确的认证接口，如果是路径的最后还要多加一个/哦。亲

认证服务配置

nodes页面里面加一个node，默认会有一个的啦。定义gw_id就是刚才ddwrt wifidog里面配置的那个。

然后去下载一个plugin，做验证的，apAuthLocalUserPlugin，就他了吧。安装以后里面可以配置，页面信息，注册等等。

现在客户端连接上你的WIFI，去测试下吧，应该可以了哦。亲。

下面说下自己开发wifidog服务端接口的问题。

我只实现了4个接口地址，不晓得其他的还有那些哈。E文看的不是很懂，需要的自己可以看http://dev.wifidog.org/wiki/doc/developer/WiFiDogProtocol_V1

/login 这个是连接的时候访问的登录接口 登录成功以后，返回一个302转向到http://gw_server:gw_port/wifidog/auth?token=你的token，这样子就可以了。至于是否需要用户名密码等等登录方法。看你自己咯

/auth 这个接口太重要，之前各种没法验证的原因都是因为没有访问到这个，路由器在刚才拿到login之后的token后，会再次访问这个接口，带上了一些其他参数如ip、MAC地址等等，当然也包括token，服务器端可以再次做验证，这个接口重要是的要返回给路由成功与否，结果如下：

Auth: Number

Number 如下：

0 - AUTH_DENIED - User firewall users are deleted and the user removed.
6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted
1 - AUTH_ALLOWED - User was valid, add firewall rules if not present
5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules
-1 - AUTH_ERROR - An error occurred during the validation process

自己猜内容，我都是猜的。反正我返回的1，就对了。

/ping 这个接口很简单。返回结果内容包含Pong字符串就可以了。

/portal 哦。这个还是有点重要哦，是认证通过以后，路由器自动定向的页面，当然如果你需要返回到用户之前的页面，在/login接口的时候，路由器传入了一个url的地址，那个是用户真的想访问的地址。

本文章由 http://www.wifidog.pro/2015/03/25/wifidog%E9%85%8D%E7%BD%AE%E5%9C%A8linksys54g.html 整理编辑，转载请注明出处