radius作用,第1张

Radius作用

Radius服务器能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时,NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别,授权,记账信息传递给Radius服务器。Radius协议规定了NAS与Radius服务器之间如何传递用户信息和记账信息,即两者之间的通信规则。Radius服务器负责接收用户的连接请求,完成鉴别,并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后,在其正常上线、在线和下线过程中,Radius服务器完成对用户账号计费的功能。

RADIUS协议的认证端口号为1812(1645端口由于冲突已经不再使用),计费端口号为1813或(1646端口由于冲突已经不再使用)。RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时,还同时开发与之配套的Radius服务器。为了提供一些功能,常常要定义一些非标准的(RFC上没有定义过的)属性。

我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限 在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数

据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式 这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。

这里我们以一个客户的需求作为例子:客户原来的WIN2003域控制器同时也是RADIUS认证服务器,启用了WIN2003自带的IAS(Internet Authentication Service)服务,对LAN里

所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机,希望实现以下功能:

1.无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证,只有该域中的成员才能有权限访问交换机;

2.登录的用户只能获得普通模式的访问权限,客户会针对telnet或console登录在交换机上设置特权模式的密码,通过IAS认证的用户还必须输入正确密码才能获得查看、修改配

置的权限。

我们根据客户的要求搭建如下一个简单的环境,以全新安装的方式作测试:

第一部分:配置交换机

1给交换机配置管理IP:

interface vlan 1

ip address 19216821 2552552550

2在全局配置模式下,配置radius 服务器IP地址及key,注意,这个密钥用于RADIUS Client和Server之间的通信验证,“key”的设置必须和IAS上“share secret”的设置完全相

同。然后配置用户登录及进入特权模式的认证方式,我们定义了“login“的认证方式为:先尝试radius,如果radius server down,再尝试Local;进入特权模式“enable”的认证

方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名,以便下一步将其绑定在对应的接口上:

radius-server host 1921682100 auth-port 1812

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

3进入接口配置模式,将相应的配置文件绑定在对应接口上,并且设置好进入特权模式的密码:

line telnet

login authentication test

enable authentication priv

password e10adc3949ba59abbe56e057f20f883e encrypted

line console

login authentication test

enable authentication priv

password 50ec7f0e57fcc436db275c710a5ef127 encrypted

最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机:

username admin password 21232f297a57a5a743894a0e4a801fc3 level 15 encrypted

#如果需要在登录WEB页面进行RADIUS认证,使用下面命令:

console(config)# ip https authentication radius local

第二部分:在WIN2003域控制器上安装配置IAS服务:

1.打开控制面板――》添加删除程序――》添加删除windows组件,找到networking services,点击“details”,选择”internet authentication services”,确定,插入

WIN2003源盘进行安装:

2 完成后安装后,我们需要将其注册到AD中(如果是工作组环境,则IAS认证本地用户或组)。打开IAS,点击Action,选择“register server in Active Directory”:

3系统提示为了启用IAS认证,必须允许IAS Server读取AD里用户的Dial-In属性,点击OK:

4.系统必须将该IAS注册到RAS/IAS servers group里,点击OK,打开域控的AD用户计算机控制台,在Users里我们可以看到这台名为DELL的IAS已经是其成员了:

5.同时,我们必须开启那些需要通过IAS认证的域中用户的“remote access”权限,这里的用户$enab15$是一个需要手工建立的特殊帐号,用于需要通过IAS进行进入特权模式认

证时,使用该默认帐号:

6.完成后打开IAS,鼠标右击”RADIUS Client”,选择新建一个client,这个Client指的是申请认证服务的设备,这里即是5324交换机,输入一个名称及其管理IP:

7.Client-Vendor选择“RADIUS Standard”,再输入“share secret”,这个密钥用于RADIUS Client和Server之间的通信验证,所以必须和在交换机上用“radius-server key

XXXXXXXX”设置的密码完全相同,然后点击完成:

8右击“remote access policy”,给5324新建一个访问策略,这里需要注意,可以建立多个策略,系统会按顺序匹配,一旦发现满足条件的,则将忽略掉其以下的策略:

9.选择“setup a custom policy”, 输入policy的名称,下一步:

10.接下来定义访问策略的条件,点击“add”,这里选择“NAS-IP-Address”,即该策略只给满足设定的IP地址的设备使用,我们输入5324的IP地址,下一步:

11.选择“grant remote access” ,下一步:

12.点击下一步完成。

13.鼠标右击刚刚建立的策略,打开属性:

14.点击“edit profile”,从中我们可以选择认证方式,这里选择不加密认证:

15.选择“Encryption”,确保所有选项均已选上:

16.点击“advanced”选项,点击“add”,添加认证过程中的“属性“值,注意如果其中已经有了其他不需要的属性设置,请全部删除后再添加所需的值,否则可能达不到预定效

果:

17.如果我们需要赋予经过认证的客户以“管理员(即特权模式)”权限登录交换机,有两种方法:第一,可以添加“service-type”,Attribute value选择“administrative”

第二,添加“Cisco-AV-Pair”,再点击”add”,设置属性值:

在“Attribute value”栏里输入“shell:priv-lvl=15”, “15”即代表了管理员权限,这里因为我们只能赋予登录的用户普通模式的访问权限,所以设为“1”,点击OK完成设置

18.这样完成所有配置,接下来用Telnet登录交换机测试即可如果认证失败,需要查看系统日志及交换机的日志,看看具体原因:

1、8021X认证是RADIUS协议的一种认证方式。主要解决以太网内认证和安全方面的问题。

2、8021X为典型的Client/Server结构,有三个部分,终端、RADIUS客户端和RADIUS服务器。

3、8021X认证流程。

  用户上线流程:

  ①用户发起认证请求,向RADIUS客户端发送账号和密码。

  ②RADIUS客户端根据获取到的账号和密码,向RADIUS服务器发送认证请求(access-request),其中密码在共享密钥的参与下进行加密处理。

  ③RADIUS服务器对账号和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接收报文(access-accept);如果认证失败,则返回认证拒绝报文(access-reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。

  ④RADIUS客户端根据接受到的认证结果接入或拒绝用户。如果允许用户接入,则RADIUS客户端向

RADIUS服务器发送计费开始请求报文(Accounting-request)。

  ⑤RADIUS服务器返回计费开始响应报文(accounting-response),并开始计费。

  ⑥用户根据授权开始访问网络资源。

  用户主动下线流程:

  ①用户执行注销操作,请求下线。

  ②RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文(accounting-request)。

  ③RADIUS服务器返回计费结束响应报文(accounting-response),并停止计费。

  ④用户访问结束。

  在iMaster NCE-Campus上强制用户下线流程:

  ①RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM(disconnect message)-request,该报文中包含session id、账号和终端IP地址等信息。

  ②RADIUS客户端根据DM-request报文中的信息查找在线用户列表,将符合条件的用户下线,并向RADIUS服务器发送下线成功响应报文DM-ACK。

  ③RADIUS客户端向RADIUS服务器发送计费停止请求报文(accounting-request)。

  ④RADIUS服务器返回计费结束响应报文(accounting-response),并停止计费。

  ⑤用户访问结束。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » radius作用

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情