ftp服务器怎么搭建
方法如下:
操作设备:戴尔笔记本电脑
操作系统:win7
操作程序:管理选项10
一、首先选择“管理选项”打开“本地用户和组”可以在列表中看到用户选项,如下图所示:
二、然后从下拉菜单中选择新用户,开始构建填写用户名和密码,如下图所示:
三、之后找到“控制面板”选项并将其打开,如下图所示:
四、单击下面的卸载程序按钮进入安装程序列表界面,如下图所示:
五、在左上角的菜单栏中打开或关闭Windows,单击进入,如下图所示:
六、转到Windows功能界面打开或关闭,勾选其子菜单的FTP服务和FTP可扩展性,然后单击按下OK按钮,如下图所示:
七、添加IIS服务后,单击Internet信息服务管理 - 此时我们可以看到连接右框架,如下图所示:
八、然后右键单击该网站以选择添加网站,如下图所示:
九、然后在弹出的添加网站框中输入我们的网站名称,然后选择添加,如下图所示:
十、创建我们的FTP后,启动绑定和SSL设置,端口号选择2121IP地址填写本地IP地址,如下图所示:
cisco思科是全世界领先且顶尖的通讯厂商,出产的路由器功能也是很出色的,那么你知道软路由怎么搭建服务器吗下面是我整理的一些关于软路由怎么搭建服务器的相关资料,供你参考。
什么是软路由
软路由是指利用 台式机 或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能;而硬路由则是以特有的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。
软件路由器并不复杂,非常简单,会用普通操作PC就可以安装软件路由,顾名思义就是系统软件设置完成路由功能
根据使用的操作不同可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器,基于Windows平台的软件防火墙比较常见的有ISA Server、Winroute Firewall、小草上网行为管理软路由等,这些软件有些是商业化的,通常根据授权用户数不同收费而不同,购买正版的软件防火墙的费用对许多中小型企业来说无疑是一笔不小的开支,小草上网行为管理软路由是目前有限的基于windows平台而且又主打免费的一款软路由软件;而基于Unix/Linux平台的软件防火墙大家一般接触较少,受益于开放源码运行,目前基于Unix/Linux平台的软件防火墙如雨后春笋般不断推出,这些软件防火墙大多是免费的,常见的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1] 等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,这对很多有淘汰下来的低档电脑的朋友来说,意味着拿一台淘汰的电脑,安装一套免费的防火墙软件,不花一分钱就 DIY 出一台专业的防火墙,而且这些系统自身也包含了NAT功能,同时可以实现宽带共享,这意味着这台免费的防火墙其实也是一台出色的宽带路由器,这是多么令人激动的事情,不过就目前来看这类免费的软路由通常为了生存下去或因过多 广告 的插入导致用户的不满。
软路由搭建服务器的 方法 :
1工作组情况下的身份验证使用本地计算机来完成的;域环境下的身份验证是由DC来完成的,因此服务器也必须加入到域中成为域成员,不要把DC和服务器搭建在一台服务器,还有就是客户进行连接是不用输入域名。
2远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8常用的拨号方式:PPTP、L2TP。
9身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2
10相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11PPTP和L2TP的端口默认是128个,但是可以自己修改。
12服务器可以随时断开与客户的连接。
13在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是弹出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。
一、Windows Server 2012 R2 Remote Desktop Services授权模式
客户端(用户或设备)连接到RD 会话主机服务器时,RD 会话主机服务器将确定是否需要 RDS CAL。然后,RD 会话主机服务器尝试连接到RD 会话主机服务器的客户端向远程桌面授权服务器请求 RDS CAL。如果许可证服务器中有适合的 RDS CAL,则将该 RDS CAL 颁发给客户端,客户端将能够连接到RD 会话主机服务器。
尽管在授权宽限期内不需要任何许可证服务器,但是在宽限期结束之后,必须先由许可证服务器为客户端颁发有效的 RDS CAL,客户端才能登录到RD 会话主机服务器。若要使用远程桌面服务,必须在您的环境中部署至少一台许可证服务器。对于小型部署,可以在同一台计算机上同时安装RD 会话主机角色服务和RD 授权角色服务。对于较大型部署,建议将RD 授权角色服务与RD 会话主机角色服务安装在不同的计算机上。
只有正确配置 RD 授权,RD 会话主机服务器才能接受来自客户端的连接。为了使您有足够的时间部署许可证服务器,远程桌面服务为RD 会话主机服务器提供授权宽限期,在此期限内不需要任何许可证服务器。在此宽限期内,RD 会话主机服务器可接受来自未经授权的客户端的连接,不必联系许可证服务器。宽限期的开始时间以RD 会话主机服务器接受客户端的时间为准。只要下列任一情况先发生,宽限期即结束:
许可证服务器向连接到RD 会话主机服务器的客户端颁发了永久的 RDS CAL。
宽限期的天数已过。
默认情况下,在以RD 会话主机服务器上的本地管理员身份登录之后,桌面右下角会出现一条消息,注明在RD 会话主机服务器的授权宽限期过期之前的天数。在 RD 授权 宽限期结束之前,必须为每个需要连接到RD 会话主机服务器的设备或用户购买并安装适当数量的 RDS CAL。此外,必须确认在RD 会话主机服务器上指定的远程桌面授权模式与许可证服务器上提供的 RDS CAL 类型匹配。远程桌面授权模式能够确定RD 会话主机服务器代表连接到RD 会话主机服务器的客户端向许可证服务器请求的 RDS CAL 的类型。
RD 会话主机服务器上正在运行的操作系统
有两种类型的远程桌面服务客户端访问许可证 (RDS CAL):
RDS设备CAL:允许一个设备(由任何用户)使用任何服务器的远程桌面服务功能。
RDS用户CAL:允许一个用户(使用任何设备)使用任何服务器的远程桌面服务功能。
在远程桌面会话主机(RD 会话主机)服务器上配置的远程桌面授权模式必须与许可证服务器上可用的 RDS CAL 的类型匹配。如果使用每设备授权模式,并且客户端计算机或设备初次连接到RD 会话主机服务器,默认情况下,向该客户端计算机或设备颁发一个临时许可证。在客户端计算机或设备第二次连接到RD 会话主机服务器时,如果许可证服务器已激活,并且有足够的 RDS-每设备 CAL 可用,许可证服务器将向该客户端计算机或设备颁发永久 RDS-每设备 CAL。
RDS-每用户 CAL 向一个用户授予通过任意数量的客户端计算机或设备访问RD 会话主机服务器的权限。RD 授权不强制使用 RDS-每用户 CAL。因此,无论许可证服务器上安装了多少个 RDS-每用户 CAL,都可以建立客户端连接。这样,管理员不必考虑 Microsoft 软件许可条款对每个用户都需要有效的 RDS-每用户 CAL 的要求。使用每用户授权模式时,如果不是每个用户都有 RDS-每用户 CAL,将会违反许可条款。
为了确保遵守许可条款,应确保跟踪组织中正在使用的 RDS-每用户 CAL 数,并确保许可证服务器上安装的 RDS-每用户 CAL 数足以为每个需要连接到RD 会话主机服务器的用户提供 RDS-每用户 CAL。可以使用远程桌面授权管理器(RD 授权管理器)工具跟踪并生成有关颁发 RDS-每用户 CAL 的报告。
如果将RDS发布到公网中,则还需要购买RDS外部连接器(RDS External Connector),RDS外部连接器允许多个外部用户访问一个远程桌面服务器。如果您有多个服务器,则需要多个外部连接器。
二、安装RD授权服务器
在远程桌面环境当中,客户端登录服务器的远程桌面或者是使用 RemoteApp 程序,那么它必须去获得远程桌面的许可,许可的颁发就是由远程桌面授权角色服务器来完成的,我们必须去安装和配置远程桌面授权服务角色,否则120天后客户端将无法使用远程桌面服务。
在接下来就来安装RD授权服务器,在安装RD授权服务器之前,首先需要将RD授权服务器加入到域中,通过将其加入到服务器的池中,以管理员的身份登录到RD连接代理服务器中,并打开服务器管理器。
步骤1、在服务器管理器中,点击远程桌面服务-概述,在概述页面中,可以看到部署概述,然后点击RD授权。
步骤2、在添加RD授权服务器向导中,首先在服务器池中选择要安装RD授权的服务器,要安装RD授权的服务器事先要加入到内网的域中,点击箭头将RD网关服务器添加到右边,然后点击下一步。
步骤3、在添加RD授权的确认选择页面中,查看将要在服务器上安装RD授权角色服务器,并将会此服务器添加到部署中,然后点击添加。
步骤4、在添加RD授权中的结果页面里,可以看见远程桌面授权角色服务已经安装成功,安装完成后,后续还需要进简单的配置。至此安装RD授权服务器的任务就完成了。
三、配置RD授权服务器
完成部署安装RD授权服务器后,接下来就是需要进行配置RD授权了,配置RD授权服务器需要以域管理员的身份登录到RD授权服务器中,使用远程桌面授权管理器进行配置,除此之外,还需要对服务器的防火墙进行配置,打开相应的端口,关闭不用的端口。如果没有配置RD授权服务器,则授权服务器是无法进行使用的,在安装了RD授权服务器的同时,也会安装远程桌面授权管理器。我要也可以通过添加角色和功能,单独安装远程桌面授权管理器,当我们安装完成后,在RD授权服务器中,打开控制面板,选择系统和安全,点击管理工具,然后点击远程桌面服务,在远程桌面服务文件夹中,就可以看到远程桌面授权管理器。
步骤1、打开RD授权管理器,点开树状结构图,就可以看见RD-LIC授权服务器,点击RD-LIC授权服务器,在右侧的界面中。
步骤2、由于我们只将RD授权服务器加入到域中,并没有把RD授权功能加入到域中,所以会出现一个**的感叹号,显示此许可证服务器不是AD域服务中终端服务器许可证服务器组的成员,所以需要点击添加到组。
步骤3、在弹出的警告中显示若将此许可服务器的计算机账户添加到Active Director域服务(AD DS)中的Terminal Server License Servers组,必须在AD DS中具有管理员权限,然后点击继续。
步骤4、点击继续后,会显示已将许可证服务器RD-LIC的计算机账户添加到Active Director域服务中的中断服务器许可服务器组,然后点击确定。
步骤5、此时,RD-Lic授权服务满足域服务终端服务器许可证服务器组的成员,点击确定退出设置。
步骤6、再次回到RD授权管理器,我们可以看到所有服务器树状结构中多了Windows 2000 server内置TS每设备CAL和报告选项。
四、激活RD授权服务器
设置完成后,还需要进行RD授权服务器的激活工作,在激活工程中,RD授权服务器需要连接到公网,如果没有条件连接到公网,可以通过Web网页和电话的形式进行激活。下面就以自动连接的方式进行激活。
步骤1、在RD授权管理器中,右键选择RD-Lic服务器,在弹出的菜单中选择激活服务器。
步骤2、在服务器激活向导页面中,点击下一步。
步骤3、在服务器激活向导中连接方法页面中,选择最合适的连接方法,因为激活服务器时,需要连接到Microsoft clearinghouse,可以通过三种方式进行连接,一种是服务器本身可以连接,二是通过web浏览器的方式进行激活,三是通过电话的方式进行激活,选择好方式后点击下一步。
步骤4、在服务器激活向导中公司信息页面中,需要提供所需的公司信息,需要输入姓名、公司名称和国家地区等信息,这里输入的信息建议与公司购买产品的下单名称相同。然后点击下一步。
步骤5、在服务器激活向导中公司信息页面中,需要提供所需的公司信息,需要输入电子右键、组织信息、邮编、省份、市县和公司地址,然后点击下一步。
步骤6、点击下一步后,此时服务器会自动连接到Microsoft clearinghouse进行注册,注册成后会显示正在完成服务器激活向导页面,并在状态栏中显示已成功激活许可证服务器。接下来的步骤是进行许可正的安装,勾选立即启动许可证安装向导,然后点击下一步进行安装。至此RD授权服务器的激活就完成了。
五、安装许可证
许可证需要在已激活的许可服务器上进行激活安装,在激活过程中,需要提供许可证购买信息(例如零售许可证代码或者批量许可证协议号)才能完成激活过程。在激活过程中,激活服务器需要自动连接到Microsoft clearinghouse进行注册,所以激活服务器必须能连接到互联网。
步骤1、在服务器激活向导欢迎使用许可证安装向导中,点击下一步。
步骤2、在服务器激活向导许可证计划页面中,选择适当的许可证计划,连接到远程桌面会话主机服务器或Microsoft虚拟桌面基础结构中的虚拟桌面的每个客户端都必须具有有效的许可证。
步骤3、在服务器激活向导许许可证代码页面中,输入在许可证代码,输入每个所购买许可证的许可代码,并在输入每个许可证代码后面单击添加,许可证代码的格式是五个5位数字字母的组合。
步骤4、经过一段时间后,就可以进入许可证安装向导完成页面,根据许可证的代码,在已安装的页面中可以看到授权的RDS CAL。
步骤5、成功安装许可证后,就可以在RD授权管理器中就可以看到已激活的Windows Server 2012 R2的RDS每设备CAL
步骤6、在部署属性RD授权设置中,选择远程桌面授权模式,按照RD授权管理器中显示的已激活的Windows Server 2012 R2的RDS CAL。如果环境中有多个授权服务器,则可以选择远程桌面授权服务器的顺序,RD会话主机服务器或RD虚拟化主机服务器按照列出的顺序向指定的授权服务器发送授权请求。
作为一名网络管理员,您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户,具体来说是通过一个LDAP服务器进行验证,可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息,从而既可以减少用户管理上的管理开销,又可以使远程登录过程更加安全。
数据安全作为现代系统中网络安全的一部分,与系统安全一样的重要,所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。
在本文中,我将谈到数据安全性的机密性方面:确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器(RADIUS),以执行对用户的验证、授权和记帐(AAA)。
各组成元素介绍
首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作,另外还有LDAP协议。
Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的(请参阅参考资料获得相关链接)。它允许网络访问服务器(NAS)执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点(访问点是网络上专门配置的节点;WAP是无线版本)。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。
RADIUS和AAA
如果NAS收到用户连接请求,它会将它们传递到指定的RADIUS服务器,后者对用户进行验证,并将用户的配置信息返回给NAS。然后,NAS接受或拒绝连接请求。
功能完整的RADIUS服务器可以支持很多不同的用户验证机制,除了LDAP以外,还包括:
PAP(Password Authentication Protocol,密码验证协议,与PPP一起使用,在此机制下,密码以明文形式被发送到客户机进行比较);
CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议,比PAP更安全,它同时使用用户名和密码);
本地UNIX/Linux系统密码数据库(/etc/passwd);
其他本地数据库。
在RADIUS中,验证和授权是组合在一起的。如果发现了用户名,并且密码正确,那么RADIUS服务器将返回一个Access-Accept响应,其中包括一些参数(属性-值对),以保证对该用户的访问。这些参数是在RADIUS中配置的,包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控制列表(ACL)或要在NAS上应用的静态路由,另外还有其他一些值。
RADIUS记帐特性(在RFC 2866中定义;请参阅参考资料获得相关链接)允许在连接会话的开始和结束发送数据,表明在会话期间使用的可能用于安全或开单(billing)需要的大量资源--例如时间、包和字节。
轻量级目录访问协议
轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)是一种开放标准,它定义了用于访问和更新类X500 目录中信息的一种方法。LDAP可用于将用户信息保存在一个中央场所,从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。
LDAP在一个集中的目录中管理用户,从而简化了用户管理工作。除了存储用户信息外,在LDAP中定义用户还可以使一些可选特性得到启用,例如限制登录的数量。在本文中,您将学习如何配置RADIUS服务器,以便基于LDAP验证用户--由于本文的重点在于RADIUS,我不会描述关于LDAP服务器的安装和配置的细节。
OpenLDAP是LDAP的一种开放源码实现。在OpenLDAPorg上可以找到关于它的详细信息(请参阅参考资料获得相关链接)。
场景
想像以下场景:
用户在家里可以通过拨号验证访问他公司的内部网。
带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。
管理员使用他们的工作站通过管理用户验证以telnet或HTTP登录到网络设备。
所有这些验证任务都可以通过一个RADIUS服务器基于一个中央LDAP服务器来完成(见图 1)。
图1 通过RADIUS和LDAP进行验证
在本文中,我将重点描述对最后一种选项的实现,作为对该解决方案的一个介绍。首先安装RADIUS服务器。
安装 RADIUS
RADIUS服务器软件可以从多个地方获得。在本文中,我将使用FreeRADIUS(请参阅参考资料获得相关链接),但Cisco Secure Access Control Server (ACS)是一种集中式用户访问控制框架,可用于跨UNIX和Windows上多个Cisco设备的用户管理,并支持Cisco 特有的协议TACACS+(据说在支持TACACS+的设备上可拥有更多的特性)。
FreeRADIUS是来自开放源码社区的一种强大的Linux上的RADIUS服务器,可用于如今的分布式和异构计算环境。FreeRADIUS 102 支持LDAP、MySQL、PostgreSQL和Oracle数据库,并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型生产网络系统中。
下面的步骤演示如何在Red Hat Enterprise Linux Advanced Server 30上安装和测试FreeRADIUS 102:
清单1 安装和测试FreeRADIUS
tar -zxvf freeradius-102targz - extract it with gunzip and tar
/configure
make
make install - run this command as root
radiusd or - start RADIUS server
radiusd -X - start RADIUS server in debug mode
radtest test test localhost 0 testing123 - test RADIUS server
如果radtest收到一个响应,则表明FreeRADIUS服务器工作正常。
同时我还推荐另一种免费工具,那就是NTRadPing,它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应,例如属性值。
现在让我们来配置FreeRADIUS。
配置FreeRADIUS
RADIUS服务器的配置包括对服务器、客户机和用户的配置(都是用于验证和授权)。出于不同的需要,对RADIUS服务器可以有不同的配置。幸运的是,大多数配置都是类似的。
配置服务器
FreeRADIUS配置文件通常位于/etc/raddb文件夹下。首先,我们需要像下面这样修改radiusdconf文件。
清单2 修改radiusdconf
1) Global settings:
log_auth = yes - log authentication requests to the log file
log_auth_badpass = no - don't log passwords if request rejected
log_auth_goodpass = no - don't log passwords if request accepted
2) LDAP Settings:
modules {
ldap {
server = "bluepagesibmcom" - the hostname or IP address of the LDAP server
port = 636 - encrypted communications
basedn = "ou=bluepages,o=ibmcom" - define the base Distinguished Names (DN),
- under the Organization (O) "ibmcom",
- in the Organization Unit (OU) "bluepages"
filter = "(mail=%u)" - specify search criteria
base_filter = "(objectclass=person)" - specify base search criteria
}
authenticate { - enable authentication against LDAP
Auth-Type LDAP {
ldap
}
参数被设为使用 IBM BluePages,这是LDAP服务的一个实例。对于其他LDAP服务器,参数可能有所不同。
配置客户机
客户机是在/etc/raddb/clientsconf 文件中配置的。有两种方式可用于配置RADIUS客户机。您可以按IP subnet将NAS分组(清单 3),或者可以按主机名或 IP 地址列出NAS(清单4)。如果按照第二种方法,可以定义shortname和nastype。
清单3 按IP subnet将NAS分组
client 19216800/24 {
secret = mysecret1 - the "secret" should be the same as configured on NAS
shortname = mylan - the "shortname" can be used for logging
nastype = cisco - the "nastype" is used for checkrad and is optional
}
清单4 按主机名或 IP 地址列出 NAS
client 19216801 {
secret = mysecret1
shortname = myserver
nastype = other
}
为验证而配置用户
文件 /etc/raddb/user 包含每个用户的验证和配置信息。
清单5 /etc/raddb/user 文件
1) Authentication type:
Auth-Type := LDAP - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
- authenticate against the
- password set in /etc/raddb/user
Auth-Type := System - authenticate against the system password file
- /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login, - for administrative login
为授权而配置用户
下面的验证服务器属性-值对(AV)应该为用户授权而进行配置。在验证被接受后,这个属性-值对被返回给NAS,作为对管理员登录请求的响应。
对于Cisco路由器,有不同的权限级别:
级别1是无特权(non-privileged)。提示符是 router>,这是用于登录的默认级别。
级别15是特权(privileged)。 提示符是 router#,这是进入 enable 模式后的级别。
级别2到14 在默认配置中不使用。
下面的命令可以使一个用户从网络访问服务器登录,并获得对EXEC命令的立即访问:
cisco-avpair ="shell:priv-lvl=15"
下面的代码处理相同的任务,这一次是对于Cisco无线访问点:
Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"
任何功能组合都和这个属性一起返回:
Cisco:Avpair = "aironet:admin-capability=ident+admin"
Cisco:Avpair = "aironet:admin-capability=admin"
请与 Cisco 联系,以获得关于这些命令的更多信息。
配置网络访问服务器
接下来我们将配置NAS,首先是配置一个Cisco路由器,然后轮到一个Cisco WAP。
对于Cisco IOS 121路由器,我们将启用AAA,然后配置验证、授权和记帐。
清单6 启用AAA
aaa new-model
radius-server host 1921680100
radius-server key mysecret1
AAA 在路由器上应该被启用。然后,指定能为 NAS 提供 AAA 服务的 RADIUS 服务器的列表。加密密钥用于加密 NAS 和 RADIUS 服务器之间的数据传输。它必须与 FreeRADIUS 上配置的一样。
清单7 配置验证
aaa authentication login default group radius local
line vty 0 4
login authentication default
在这个例子中,网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用,则使用 NAS 的本地用户数据库密码。
清单8 配置授权
aaa authorization exec default group radius if-authenticated
允许用户在登录到 NAS 中时运行 EXEC shell。
清单9 配置记帐
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius
必须对路由器进行特别的配置,以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。
这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 1201T1的Cisco 1200 Series AP。如图2中的屏幕快照所示,您:
输入服务器名或 IP 地址和共享的秘密。
选择“Radius”作为类型,并选中“User Authentication”。
图2 为WAP配置NAS
实际上,在这里您还可以配置EAP Authentication,使FreeRADIUS可用于验证无线LAN的一般用户。
记帐:工作中的RADIUS
现在所有配置都已经完成,FreeRADIUS服务器可以开始记录NAS发送的所有信息,将该信息存储在/var/log/radius/radiuslog文件中,就像这样:
清单10 /var/log/radius/radiuslog文件
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
mylan port 1 cli 192168094)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
client mylan port 1 cli 192168094)
详细的记帐信息被存放在/var/log/radius/radacct目录中。清单11表明,David在2005年3月4日19:40到19:51这段时间里从 192168094登录到了路由器19216801。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。
清单11 RADIUS 提供的记帐细节示例
Fri Mar 4 19:40:12 2005
NAS-IP-Address = 19216801
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192168094"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0
Client-IP-Address = 19216801
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412
Fri Mar 4 19:51:17 2005
NAS-IP-Address = 19216801
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192168094"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0
Client-IP-Address = 19216801
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077
结束语
通过遵循本文中列出的简单步骤,您可以建立一个Remote Authentication Dial-In User Service服务器,该服务器使用一个外部的LDAP服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务:
对RADIUS和LDAP服务器以及AAA概念的介绍。
一个融入了安装和配置任务的场景。
关于安装和配置RADIUS服务器的说明。
关于配置网络访问服务器的细节。
RADIUS将提供和管理的详细信息的一个示例。
这些指示可以快速确保受保护的数据只能由Linux系统上已授权的实体访问。
Windows Server 2008服务器配置FTP站点的方法:
首先,安装FTP服务
打开服务器管理器,点击角色,添加角色,如果安装过iis,角色摘要里面会有个Web服务器(IIS),点击后面的添加角色,滚动条拉到最后勾选FTP服务器,根据步骤安装。
添加FTP站点
打开IIS管理器,依次操作, IIS列表右键站点目录,添加FTP站点,填写名称和路径,下一步填写绑定IP和SSL设置,继续选择授权访问的用户,点击完成,至此创建站点完成。
创建FTP账户
开始-运行-cmd-lusrmgrmsc,出现本地用户和组窗口,新用户添加新用户。
配置权限
在IIS左边选择刚添加的站点,点击编辑权限,选择安全-编辑-添加,添加上一步所创建的ftp账户,赋予完全控制权限,点击确定即可配置完毕。
最后还需要在防火墙中开启相应的连接许可,进入“控制面板》系统和安全》Windows 防火墙》允许的程序”,在“允许另一个程序”中添加“C:\Windows\System32\svchostexe”这个程序。 勾选允许防火墙通过的网络。
Windows下除了系统自带的ftp服务器外,还可以使用诸如Serv-U、WinFtp Server Ftp、FileZilla Server等第三方软件来搭建ftp服务器;ftp服务器搭建好后,就可以使用如FlashFXP、Core FTP、8uFTP等常用的工具进行上传下载操作了。
泰拉瑞亚14版本在Steam上虽然可以直连,但是很不稳定,那么玩家如何搭建自己的服务器呢,下面就给大家带来泰拉瑞亚14服务器搭建攻略,以供玩家参考。
steam直连虽然简单易操作但还是有很多弊端,例如:怪物闪现、掉落物无法拾取、或经常出现在加入别人的世界时卡在某个位置无法进入等等,当然最大的缺点就是:一旦作为主机的人关闭了电脑其他人就无法再进行游戏了,下面我将详细讲述如何搭建terraria服务器
首先你需要一台云电脑(我这里就以阿里云电脑作为演示,因为学生认证九块五一个月实在是太香了)
1打开阿里云网站:
步骤一
在弹性计算中找到上图所指位置并进入购买云服务器ECS 学生专享(可以另行选购其他价位的云服务器ECS)
步骤二
2操作系统选择Windows Server 版本推荐选择2012版本
步骤三
步骤三
3购买完成后按照上图顺序开始调试云电脑
步骤四
4重置实例密码。这个密码就是一会你的电脑远程控制云电脑需要的接入密码,千万不要忘记
步骤五
步骤五
步骤五
5按照如图步骤找到“添加安全规则”,然后开始设置端口范围填入7777(填入7777是因为泰拉瑞亚服务器建议使用这个端口,当然也可以选择别的)授权对象填入:0000/0(意思就是允许或拒绝所有IP的访问),描述随便写一个就可以了。其他的配置千万不要动,就用他给你默认的配置即可。
步骤六
6去terraria官网下载服务器 PC Dedlicated Server然后将其解压,这时还需要一个名为xnafx40_redistmsi的文件,文件的位置就在steamsteamappscommonTerraria路径下,steam安装在哪个盘就去哪里找
步骤七
步骤七
7win+r输入:mstsc 进入桌面远程连接,然后输入云电脑公网IP(一定要是公网IP),之后需要你输入用户名及密码,用户名是默认的administrator ,密码就是刚才步骤四的那个重置实例密码
步骤八
步骤八
8然后按照上图操作找到驱动器,选择的那个盘就是你刚才在terraria官网下载服务器的那个盘,剩下的步骤就一直往下点继续就可以了
步骤九
9。在“这台电脑”中找到你刚才下载服务器的位置,然后把它们复制到云电脑上(因为是远程控制所以被控制的电脑无法直接使用操作端的文件)
10安装“xnafx40_redistmsi”这个文件。不认识也无所谓,一直往下点就可以。
步骤十一
11然后按照上图路径进入,打开该文件,它会提示你进行解压才能正常运行,点击全部提取即可。然后在解压完的文件夹中再次找到这个文件开始运行
步骤十二
步骤十二
12输入n创建世界,然后就是一些选择世界大小,世界难度,世界名字,选择世界猩红或者腐化(如果不选择就默认为随机),图二就是已经在生成世界了(可以把你已有的地图也一起复制过来,具体操作可以参考复制存档刷物品)
步骤十三
13这个步骤就是输入服务器端口。官方建议端口7777,所以上面的设置安全规则填写了7777。你可以设置为其他端口,但一定要保持安全规则和服务器端口一致
步骤十四
14设置服务器密码。这个就不用多说了,当然你也可以不设置密码
运行效果
试运行成功了
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。
搭建Radius服务器的方法:
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营商所在地也可以得到服务,也可以实现虚拟运营。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安全。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。
0条评论