RADIUS 是通信网络中负责认证、鉴权、计费的服务节点。它通常和各种网络接入服务节点相连，如路由器、交换机、RAS、等各种网络接入服务器(NAS)。由于 RADIUS 和各种网络接入服务器是通过标准 RFC 协议进行连接交互，所以 RADIUS 和各种网络接入服务器的配置方法也非常相似，下面就以 WinRadius 和 3COM 公司的 RS 1500 进行举例说明。
出于安全性考虑，每个网络接入服务器(NAS)通常和两个 RADIUS 相连接，这两个 RADIUS 处于主备份关系，即 primary 和 secondary。网络接入服务器(NAS)和 RADIUS 之间的接口有两个：认证(accounting)接口、计费(authentication)接口。每个接口的配置参数主要都是：RADIUS IP、port、secret 三个。secret 是安全配置参数，只要网络接入服务器(NAS) 和 RADIUS 相同即可。
网络接入服务器(NAS)通常采用 Telnet 方式进行配置，您只需在 Windows、Linux/Unix 下运行 telnet 命令就可以启动 Telnet 连接，等连接到网络接入服务器(NAS)后，您只需输入相应的配置命令即可，例如：

• 关闭 RADIUS 命令：disable accounting、disable authentication remote。
• 打开 RADIUS 命令：enable accounting、enable authentication remote。
• 配置 RADIUS 命令：set accounting、set authentication。
  主要配置参数为：
  primary_port
  primary_secret <"secret_string">
  primary_server [IP_address or host_name]
  retransmissions
  secondary_port
  secondary_secret <"secret string">
  secondary_server [IP_address or host_name]
  timeout [number_seconds]
• 调试 RADIUS 命令：show accounting、show accounting settings、show
  authentication、show authentication settings

RADIUS 服务器的配置主要是 port、secret 两个。如果您的 RADIUS 服务器和多个网络接入服务器(NAS)，而不同网络接入服务器(NAS)又使用了不同的 secret，这时您需要为每个网络接入服务器(NAS)指定对应的 secret，即在 WinRadius 的"配置/多重密钥"中指定即可。
另外，大多数网络接入服务器(NAS)都有简单的认证功能。但是几乎全部商用网络接入都需要配置 RADIUS 服务器来实现复杂的认证、鉴权、计费功能。

本文章由 http://www.wifidog.pro/2015/03/27/wifidog%E9%85%8D%E7%BD%AE%E6%8C%87%E5%8D%97.html 整理编辑，转载请注明出处

RADIUS协议特点
RADIUS协议具有灵活、安全、可扩展性好的特点，具体包括：通过网络传输的认证信息都经过加密，安全性高； 认证方式灵活，支持Unix Passwd、CHAP、挑战－回答认证等多种认证方式， 还支持认证转接（Authentication Forwarding）；协议扩展性好，通过变长 的属性串（Attribute Pair）能够进一步扩展RADIUS协议。RADIUS的认证过程如下图：

如上图所示，NAS（Network Access Server，网络访问服务器）被看成RADIUS的客户端，当用户登录到NAS 时，客户端将用户提供的认证信息（如用户名和口令）发送给指定的RADIUS Server，并根据Server的回应作出相应的“允许/不允许登录”的决定。 RADIUS Server 负责接收认证请求并进行认证，然后将认证结果（包括连 接协议、端口信息、 ACL 等授权信息）发送回RADIUS Client，Client根据 授权信息限制用户对资源的访问。 一个RADIUS Server可以作为另一个RADIUS Server的客户端要求认证（即认证转接），以提供灵活的认证方式。 RADIUS Server和Client之间传递的认证信息用一个事先设置的口令进行加密，防止敏感信息泄露。当用户成功的登录后，NAS会向RADIUS Server发送一个连接开始的记账信 息包，其中包括用户使用的连接种类、协议和其他自定义信息；当用户断开连接后，NAS会向RADIUS Server发送一个连接结束的记账信息包，RADIUS Server根据设置为用户记账。

RADIUS登录过程
　下面是一个典型的RADIUS登录过程：
　　远程用户登录NAS；
　　NAS发送“RADIUS Access－Request”到RADIUS Server，其中包括用户名、密码等信息；如果该用户使用“挑战－回答”认证，RADIUS Server 将发送包含挑战信息的“RADIUS Access－Challenge”消息，NAS将挑战信息显示给用户；
　　用户将回答提交给NAS，NAS将发送第二个“RADIUS Access－Request”，Server 将根据此信息进行认证，这个过程类似于前面介绍过得CHAP认证方式；
　　RADIUS Server 将根据事先设置的认证方式（CHAP、用户名口令、挑战应答等）认证该用户，并发回“RADIUS Access－Accept”；或拒绝该用户，并发回“RADIUS Access－Reject”消息；
　　NAS通知Server开始Accounting，用户访问进程开始，当用户结束进程时，NAS通知Server结束Accounting进程。
　　基于RADIUS协议的认证方式由于其安全、灵活、可扩展性等特点被广泛应用，其认证机制的实现包括了用户名＋口令、基于对称加密、基于非对称加密等多种方式，可以根据实际的安全需求具体实施。

本文章由 http://www.wifidog.pro/2015/03/26/wifidog%E9%85%8D%E7%BD%AE%E6%B5%81%E7%A8%8B.html 整理编辑，转载请注明出处

RADIUS认证服务器(Remote Authentication Dial In User Service，远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting，即认证、授权、计费)。AAA协议的典型操作是验证用户名和密码是否合法(认证)，分配IP地址(授权)，登记上线/下线时间(计费)，电信业窄带/宽带拨号都使用大型RADIUS认证服务器。而随着网络安全需求提高，中小企业的局域网集中用户认证，特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。这些用户不需要使用昂贵的专业系统，采用PC服务器和Linux系统的Freeradius+MySQL可靠地实现。本文着重介绍RADIUS系统在VPDN拨号二次认证中的应用。

Freeradius的安装

　　笔者采用FC4 for x86_64系统上的freeradius-1.1.2，在中档PC服务器上运行，系统运行稳定可靠。Linux FC4自带Freeradius和MySQL，不过实测不理想。FC4 MySQL对中文支持不好，而freeradius则仅支持其自带MySQL。所以，在编译MySQL时要加入选项“--with-charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“—with-snmp=no”，因为与库文件snmp相关的库对64位支持有问题，最新的FC7也许没有这些问题。Freeradius提供了MySQL建库脚本——db-MySQL.sql，不过建nas库有1个语法错误，将“id int(10) DEFAULT ‘0’;”中的“DEFAULT ‘0’”去掉即可正常建立Radius库。

Freeradius的设置

　　简单少数用户可使用Freeradius缺省的users文件配置用户，根据文件制定的规则和用户工作。安装完毕后启动Radius服务：/usr/loca

　　l/sbin/radiusd –X。本机运行radtest test test localhost 0 testing123发认证请求，得到回应表示Radius服务器工作正常。

　　Radius服务器缺省使用/usr/local/etc/raddb/users文件工件认证，简单易行，但仅适用于少数用户。如果管理几十个或更多用户，应使用数据库，对于少于一万用户而言，MySQL是合适选择。

MySQL认证的设置

　　在配置文件radiusd.conf中，在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置MySQL的连接信息，用户/密码和地址，本机用localhost即可。www.linuxidc.com还需要在users中对DEFAULT用户做如下设置：Auth-Type = Local，Fall-Through = 1。这样，才可正确使用MySQL进行认证。

　　在MySQL中设置用户的规则与users文件用户设置有对应关系。Radius认证是以Attribute = Value的形式提供认证和应答消息。在users文件中，与用户名位于同一行，以“，”分隔的各个属性是认证请求必须提供而且需要验证的属性。下面各行属性如IP地址等加入应答包中。在MySQL中不分组情况下，只要在radcheck表中加入密码，在radreply中加入应答信息如IP地址即可。

　　实际使用时，往往使用username@domain形式用户进行认证。用文件方式时，可以通过设置剥离域名，只建立username认证即可。需要在radiusd.conf中加入一项realm domain { format=suffix… }域说明，并在proxy.conf中realm DEFAULT使用LOCAL认证。用MySQL认证时，缺省的sql.conf中使用带域名的全名进行认证。使用剥离域名的用户认证，注释掉缺省的sql_user_name = "%{User-Name}"，开放原来注释掉的sql_user_name = "%{Stripped-User-Name:-%{User-Name:-DEFAULT}}"定义语句，则优先使用剥离域名的用户名进行认证。表中用户名一项只需写用户名即可，不需要域名。

　　最后，打开防火墙是必要的。缺省Radius认证服务器使用UDP 1812端口认证，UDP1813端口计费，应该开放UDP包的进出。

Iptables –A OUTPUT –p udp –d 192.168.10.3 --sport 1812 –j ACCEPT

　　Iptables –A INPUT –p udp –s 192.168.10.3 --dport 1812 –j ACCEPT

　　其中192.168.10.3是认证客户端的地址，通常是LNS路由器，同理开放UDP 1813计费端口。

　　CISCO路由器的设置

　　CISCO 路由器是经典的RADIUS客户端，在VPDN拨号系统中LNS作为二次认证客户端。在clie

　　nts.conf中定义客户端IP地址和共享密钥。对单网口的低级路由器来说，客户端的IP地址就是网口IP。对于中高级路由器来说，路由器缺省使用第一个网口IP作为客户端源IP，如果是不可路由的内网地址，则客户端无法收到认证应答包。要指定IP，使用如下语句：

　　ip radius source-interface FastEthernet0/1

　　其中FastEthernet0/1的IP指定作为认证客户端的源地址。一般做法是在VPDN-GROUP定义中使用source-ip 语句指定IP，不过重启路由器后必须重新设置RADIUS服务器才能生效。

　　另一个关于CISCO设置是使用多个认证服务器。中高档路由器通常可支持不同的拨号接入。不同拨号接入使用不同的认证服务器。CISCO中使用不同的server-group实现。

　　aaa authorization network aaa-radius1 start-stop group radius1

　　aaa authorization network aaa-radius2 start-stop group radius2

　　也可根据需要定义authentication/accounting使用的server-group。

　　在每个接入的PPP Virtual-Template模板中，ppp可选择不同的server-group进行AAA认证。

　　interface Virtual-Template1

　　ppp authorization aaa-radius1

　　……

　　interface Virtual-Template2

　　ppp authorization aaa-radius2

　　……

　　这样实现一个路由器作为多个使用不同RADIUS服务器的拨号LNS路由器功能。

　　用户物理绑定的实现

　　实现用户物理绑定，特定用户只能在特定的电话号码或端口号上发起连接才能认证成功，可以大大提高认证安全性。在窄带系统中，LAC在拨入接入服务器LAC进行一次认证时，就向RADIUS服务器提供主叫号码，二次认证时该属性就被提交给RADIUS服务器。如电话号码为1234567，用户拨号，请求中包含属性Calling-Station-Id = "1234567"。为了实现主叫号码绑定，首先在radiusd.conf配置文件中起用对主叫号码的检查，即checkval {}中的内容。在使用users文件认证时，在用户名定义的同一行内加入Calling-Station-Id = "1234567"即可。使用MySQL认证时，在radcheck表中加入“Calling-Station-Id，”+=”，”1234567””这条记录即可。

　　对于ADSL宽带来说，不能使用电话号码绑定。不同宽带设备可提供不同的绑定方式。其实现要点也是必须在发出认证请求中包含其物理端口或其它物理信息，Radius服务器在字典定义该属性，在users文件或MySQL中加入约束值即可。

本文章由 http://www.wifidog.pro/2015/03/26/wifidog%E6%9C%8D%E5%8A%A1%E5%99%A8.html 整理编辑，转载请注明出处