校园网客户端提示:客户端认证失败:radius server not response。怎么办π
只有你的电脑有问题吗?这个意思是计费服务器没有响应,问题可能有以下几个:
1、认证服务器问题,这样所有人都没办法用,解决方案:用别人电脑看看能不能登录;
2、网线端口问题,解决方案:你可以看看你的网线有没有插好,网线有没有问题,如果有问题电脑右下角会有一个小电脑上有一个红色叉叉的图标;
3、帐号问题,解决方案:联系你们的网络管理员给你开通或者重置帐号;
4、接入层交换机问题,解决方案:直接找网管给你解决,这个你自己也解决不了。
希望可以帮助到你。
客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行操作。
RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。
网络安全性 通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码。
灵活认证机制 RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。
可扩展协议 所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
radius服务器搭建参考 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器
服务器端配置: 增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。
CE交换机配置 (使用的是ce5855)
测试telnet(用户名需要带上域名)
去掉认证时的域名
华为有两个默认域,就是 domain default 和domain default_admin。这两个域是不同的:
default域为接入用户(通过NAC进行认证的用户)的缺省域。
default_admin为管理员(通过HTTP,SSH,Telnet,Terminal或FTP方式登录设备的用户)的缺省域
修改AAA命令把radius认证加到default_admin(不是default)
测试不加domain成功 (但是会导致本地认证的用户认证不过)
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS server配置 RADIUS 服务器:在“ISA 服务器管理”的控制台树中,单击“常规”- 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议(UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。
radius 常用词汇
英 ['reɪdiəs] 美 ['reɪdiəs]
n 半径范围;半径;桡骨;辐射区
Nobody is allowed to enter the operation radius
不允许任何人进入工作半径范围以内。
What is the radius of this circle
这个圆的半径有多长
We can compute the circular area with radius
我们能用半径计算出圆的面积。
The radius expands markedly at its lower end
桡骨下端明显扩张。
The police searched all the woods within a six-mile radius
警察搜索了在周围六英里以内的树林各处。
本地用户认证
通过存储本地的profile设置组,您的zyair可以不通过网络上的radius server也能够对无线用户做认证。
一次性口令技术简介 ASPHouse,2001-08-04 00:00:00
常规口令
在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。计算机世界与现实世界非常相似,各种计算资源(如:文件、数据库、应用系统)也需要认证机制的保护,确保这些资源被应该使用的人使用。在大多数情况下,认证机制与授权和记账也紧密结合在一起。
目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统,首先必须在这个NT上设置一个账户,并设定密码。当通过网络访问NT资源时,系统会要求输入你的账户名和密码。在账户和密码被确认了以后,你就可以访问NT上的资源了。
这种以固定口令为基础的认证方式存在很多问题,最明显的是以下几种:
网络数据流窃听(Sniffer) 由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。
字典攻击 由于多数用户习惯使用有意义的单词或数字作为密码,某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。
穷举尝试(Brute Force) 这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。
窥探 攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。
社交工程 攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。
垃圾搜索 攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如果用户将口令写在纸上又随便丢弃,则很容易成为垃圾搜索的攻击对象。
虽然用户可以通过经常更换密码和增加密码长度来保证安全,但这同时也用户带来了很大麻烦。
一次性口令
为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:One Time Password)的密码体制,以保护关键的计算资源。
OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。
例如:登录密码=MD5(用户名+密码 +时间),系统接收到登录口令后做一个验算即可验证用户的合法性。
不确定因子选择与口令生成
这些不确定因子选择方式大致有以下几种:
口令序列(S/KEY) 口令为一个单向的前后相关的序列,系统只用记录第 N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。
挑战/回答(CRYPTOCard) 用户要求登录时,系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。
时间同步(SecureID) 以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。在SecureID 产品中,对时间误差的容忍可达±1分钟。
事件同步(Safe Word) 这种方法以挑战/回答方式为基础,将单向的前后相关序列作为系统的挑战信息,以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后,需要重新同步。
一次性口令的生成方式有以下几种:
Token Card(硬件卡) 用类似计算器的小卡片计算一次性口令。对于挑战/回答方式,该卡片配备有数字按键,便于输入挑战值;对于时间同步方式,该卡片每隔一段时间就会重新计算口令;有时还会将卡片作成钥匙链式的形状,某些卡片还带有PIN保护装置。
Soft Token(软件) 用软件代替硬件,某些软件还能够限定用户登录的地点。
IC卡 在IC卡上存储用户的秘密信息,这样用户在登录时就不用记忆自己的秘密口令了。
RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。
RADIUS认证系统包含三个方面:认证部分、客户协议以及记费部分,其中:
RADIUS 认证部分一般安装在网络中的某台服务器上,即RADIUS认证服务器;
客户协议运行在远程接入设备上,如:远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器,并按照服务器发回的响应做出行动;
RADIUS记费部分收集统计数据,并可以生成有关与网络建立的拨入会话的报告。
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功能相同。为便于实验,下面以一台运行Windows Server 2003的独立服务器为例进行介绍,该计算机的IP地址为172162254。
在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除Windows组件"
在弹出的"Windows组件向导"中选择"网络服务"组件,单击"详细信息"
勾选"Internet验证服务"子组件,确定,然后单击"下一步"进行安装
在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口
创建用户账户在"控制面板"下的"管理工具"中打开"计算机管理",选择"本地用户和组"
为了方便管理,创建一个用户组"8021x"专门用于管理需要经过IEEE 8021x认证的用户账户。鼠标右键单击"组",选择"新建组",输入组名后创建组。
在添加用户之前,必须要提前做的是,打开"控制面板"-"管理工具"下的"本地安全策略",依次选择"账户策略"-"密码策略",启用"用可还原的加密来储存密码"策略项。
否则以后认证的时候将会出现以下错误提示。
接下来添加用户账户"0801010047",设置密码"123"。鼠标右键单击"用户",选择"新用户",输入用户名和密码,创建用户
将用户"0801010047"加入到"8021x"用户组中。鼠标右键单击用户"0801010047",选择"属性"。在弹出的对话框中选择"隶属于",然后将其加入"8021x"用户组中。
设置远程访问策略,新建远程访问策略,鼠标右键单击"远程访问策略",选择"新建远程访问策略"
选择配置方式,这里我们使用向导模式
选择访问方法,以太网
选择授权方式,将之前添加的"8021x"用户组加入许可列表
选择身份验证方法,"MD5-质询"
确认设置信息
只保留新建的访问策略,删掉其他的。
0条评论