Freeradius+Cisco2500AC+OpenLdap認證

爲了將公司內部認證統一化，啓用了802.1x認證，認證流程以下：

UserClient->AC控制器->Freeradius->OpenLdap

其中：

Freeradius作認證使用

OpenLdap存儲用戶帳戶密碼

如今開始配置：

環境：

Centos7

OpenLdap2.4.4

Freeradius 3.0.13

1.安裝Freeradius

#yum -y install freeradius* //Free RADIUS Version 3.0.13

2.修改配置文件
vim/etc/raddb/users
最後一行添加

testuser Cleartext-Password := "test123"  

說明：這一步僅僅是添加一個測試用戶，測試Freeradius是否正常啓動的，若是不想測試，能夠不建這個用戶

3.vim/etc/hosts若是設置host這裏應該設置hostname的值。
[ip][hostname]

4.測試
再打開一個終端，執行
radtest testuser test123 127.0.0.1 0 testing123

其中 testuser 是用戶  test123是密碼 ，就是步驟2中新建的用戶  testing123是共享密鑰

若是看到

SendingAccess-Requestofid87to127.0.0.1port1812
User-Name="testuser"
User-Password="testpassword"
NAS-IP-Address=192.168.50.65
NAS-Port=1812
Message-Authenticator=0x00000000000000000000000000000000
rad_recv:Access-Acceptpacketfromhost127.0.0.1port1812,id=87,length=20
則表示radius服務器配置成功。 

5.編輯eap文件

配置文件以下

cat /etc/raddb/mods-enabled/eap|grep -v "#"|grep -v "^$"
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
cipher_server_preference = no
ecdh_curve = "prime256v1"
cache {
enable = no
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = peap
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}

6.啓用ldap功能，由於帳戶密碼存儲在ldap上，因此freeradius須要配置ldap的鏈接信息

# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

7 編輯ldap配置文件

cat mods-enabled/ldap|grep -v "#"|grep -v "^$"
ldap {
server = '127.0.0.1'
port = 389
identity = 'cn=root,dc=domain,dc=com'
password = 'your_password'
base_dn = 'ou=OP,dc=domain,dc=com'
sasl {
}
update {
control:Password-With-Header	+= 'userPassword'
control:NT-Password	:= 'sambaNTPassword' //重要，必定要記得更改這一行，下面會說緣由
control:	+= 'radiusControlAttribute'
request:	+= 'radiusRequestAttribute'
reply:	+= 'radiusReplyAttribute'
}

 若是Freeradius的eap配置中 default_eap_type = peap 若是配置成peap的話，OpenLdap中的用戶密碼存儲的時候能夠採用兩種方式

1.）明文存儲，Freeradius認證沒問題，可是很不安全，由於能看到用戶的明文密碼

2.）使用NT-Password加密存儲，他實際上是xp系統中用的MD4加密，因此OpenLdap中就須要添加samba的支持，而後將sambaNTPassword存儲的密碼字段映射爲Freeradius中的NT-Password字段

我採用的是方式2

這段配置能夠參考資料 https://hub.packtpub.com/storing-passwords-using-freeradius-authentication/

 

8.vim sites-available/inner-tunnel 取消裏面的全部的ldap註釋

9 vim sites-available/default 取消裏面的全部的ldap註釋

 

至此，Freeradius的配置部分就完成了

啓動radius可使用 

radiusd -X  //帶有debug模式啓動，能夠查看調試信息

 

第二部分 OpenLdap配置

1.安裝不寫了，參考個人文章 http://www.cnblogs.com/Kevin-1967/p/8931304.html

2.安裝完成後，須要按照上述步驟7中說的那樣，添加samba支持，方法以下：

#yum install -y samba-common samba samba-client
#cp /usr/share/doc/samba-4.6.2/LDAP/samba.schema /etc/openldap/schema/
#cp /usr/share/doc/samba-4.6.2/LDAP/samba.ldif /etc/openldap/schema/
#ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/samba.ldif
#systemctl restart slapd

重啓完OpenLdap的進程後，添加用戶entry的時候就可使用sambaSamAccount 的objectclass了，我添加用戶的ldif文件模板以下

dn: uid=testuser,ou=OP,dc=domain,dc=com
objectClass: top
objectClass: sambaSamAccount
objectClass: inetOrgPerson
cn: 測試用戶1
sambaSID: testuser
sn: testuser
uid: testuser
mail: testuser@163.com
sambaNTPassword: C941B8F73337FAC694888A9AA7376678
telephoneNumber: 18812341234
userPassword: e1NTSEF914cxeVRDWdeuR2NZdjl0e991bWtzNn0kn3pVNQ==

　說明：

Freeradius認證拿的是SambaNTPassword字段的值，若是你還須要openldap完成其餘認證，就須要同步修改userPassword字段

因此，你須要寫個網頁，用戶自助修改密碼的時候同時修改OpenLdap中的sambaNTPassword字段和userPassword字段

而後在cisco無線控制器上添加Freeradius便可，配置無線走802.1x認證，步驟略

配置完。。。

參考資料：
http://www.178pt.com/179.html
https://www.cnblogs.com/lemon-le/p/6207695.html
參考資料：
http://zgssheng.cn/2014/03/FreeRadius%20+%20802.1x:WPA%20+%20OpenLDAP%20wifi%E7%99%BB%E5%BD%95%E4%BD%BF%E7%94%A8%E4%B8%AA%E4%BA%BA%E5%B8%90%E5%8F%B7/