RADIUS原理介紹及其在Linux下的搭建(20210310000616)

1、RADIUS原理介紹及其在 Lin ux下的搭建 RADIUS主要用于對遠(yuǎn)程撥入的用戶進行授權(quán)和認(rèn)證。它可以僅使用單一的數(shù)據(jù)庫”對用戶 進行認(rèn)證（效驗用戶名和口令）。它主要針對的遠(yuǎn)程登錄類型有：SLIP、PPP、telnet 禾口 rlogin等。 其主要特征有： 1 .客戶機/服務(wù)器（C/S）模式 一個網(wǎng)絡(luò)接入服務(wù)器（以下簡稱NAS）作為RADIUS的客戶機，它負(fù)責(zé)將用戶信息傳入 RADIUS服務(wù)器，然 后按照RADIUS服務(wù)器的不同的響應(yīng)來采取相應(yīng)動作。另外， RADIUS服務(wù)器還可以充當(dāng)別的 RADIUS服 務(wù)器或者其他種類認(rèn)證服務(wù)器的代理客戶。 2 .網(wǎng)絡(luò)安全(Network Secu

2、rity ) NAS和RADIUS服務(wù)器之間的事務(wù)信息交流由兩者共享的密鑰進行加密，并且這些信息不會在兩者之間泄 漏出去 3 .靈活認(rèn)證機制( Flexible Authentication Mechanisms) RADIUS服務(wù)器支持多種認(rèn)證機制。它可以驗證來自PPP、PAP、CHAP和UNIX系統(tǒng)登錄的用戶信息的有 效性 4 .協(xié)議可擴展性(Extensible Protocol) 所有的認(rèn)證協(xié)議都是基于 屬性-長度-屬性值”3元素而組成的。所以協(xié)議是擴展起來非常方便。在目前 很多比較高版本的Linux中，它們都把RADIUS的安裝程序包含在系統(tǒng)源碼中。這樣使得我們可以很容易 地通過免費

3、的Linux 系統(tǒng)學(xué)習(xí)RADIUS授權(quán)、認(rèn)證的原理和應(yīng)用。 要弄清楚RADIUS協(xié)議為何能實現(xiàn)授權(quán)和認(rèn)證，我們必須應(yīng)該從四個方面去認(rèn)識RADIUS 協(xié)議：協(xié)議基本原理、數(shù)據(jù)包結(jié)構(gòu)、數(shù)據(jù)包類型、協(xié)議屬性。下面我們就來詳細(xì)地介紹這些 內(nèi)容。 協(xié)議基本原理 NAS提供給用戶的服務(wù)可能有很多種。比如，使用tel net時，用戶提供用戶名和口令信 息，而使用PPP時，則是用戶發(fā)送帶有認(rèn)證信息的數(shù)據(jù)包。 NAS 一旦得到這些信息，就制造并且發(fā)送一個 “ Access - Request ”數(shù)據(jù)包給RADIUS服務(wù) 器，其中就包含了用戶名、口令(基于MD5加密)、NAS的ID號和用戶訪問的端口號。 如果RA

4、DIUS服務(wù)器在一段規(guī)定的時間內(nèi)沒有響應(yīng)，則 NAS會重新發(fā)送上述數(shù)據(jù)包；另外 如果有多個RADIUS服務(wù)器的話，NAS在屢次嘗試主RADIUS服務(wù)器失敗后，會轉(zhuǎn)而使用 其他的RADIUS服務(wù)器。 RADIUS服務(wù)器會直接拋棄那些沒有加共享密鑰”(Shared Secret )的請求而不做出反 應(yīng)。如果數(shù)據(jù)包有效，則 RADIUS服務(wù)器訪問認(rèn)證數(shù)據(jù)庫，查找此用戶是否存在。如果存 在，則提取此用戶的信息列表，其中包括了用戶口令、訪問端口和訪問權(quán)限等。 當(dāng)一個RADIUS服務(wù)器不能滿足用戶的需要時，它會求助于其他的RADIUS服務(wù)器，此時 它本身充當(dāng)了一個客戶端。 如果用戶信息被否認(rèn)， 那么RAD

5、IUS服務(wù)器給客戶端發(fā)送一個“Access - Reject ”數(shù)據(jù)包, 指示此用戶非法。如果需要的話，RADIUS服務(wù)器還會在此數(shù)據(jù)包中加入一段包含錯誤信息 的文本消息，以便讓客戶端將錯誤信息反饋給用戶。 數(shù)據(jù)包給客戶端， 并 相反，如果用戶被確認(rèn)，RADIUS服務(wù)器發(fā)送 “Access - Challenge 且在數(shù)據(jù)包中加入了使客戶端反饋給用戶的信息, 其中包括狀態(tài)屬性。 接下來，客戶端提示 17 RADIUS服務(wù)器提 用戶做出反應(yīng)以提供進一步的信息，客戶端得到這些信息后，就再次向 交帶有新請求ID的“Access - Request” 數(shù)據(jù)包，和起初的“Access - Request

6、” 數(shù)據(jù)包內(nèi) 容不一樣的是：起初“Access - Request數(shù)據(jù)包中的用戶名/ 口令”信息被替換成此用戶 當(dāng)前的反應(yīng)信息（經(jīng)過加密），并且數(shù)據(jù)包中也包含了“Access - Challenge ”中的狀態(tài)屬 性（表示為0或1 ）。此時，RADIUS服務(wù)器對于這種新的“Access - Request 可以有三 種反應(yīng)：“ Access - Accept ” 、 “ Access - Reject ” 或 “Access - Challenge ”。 如果所有的要求都屬合法, 型（SLIP, PPP, Login User 括了 IP地址、子網(wǎng)掩碼、 RADIUS返回一個“Access -

7、 Accept”回應(yīng)，其中包括了服務(wù)類 等）和其附屬的信息。例如：對于SLIP和PPP，回應(yīng)中包 MTU和數(shù)據(jù)包過濾標(biāo)示信息等。 數(shù)據(jù)包結(jié)構(gòu) RADIUS數(shù)據(jù)包被包裝在 UDP數(shù)據(jù)報的數(shù)據(jù)塊（Data field）中，其中的目的端口為1 812。具體的數(shù)據(jù)包結(jié)構(gòu)如表1。 8位 8位 16位 code dentifier Length Authenticator (128 位) Attributes (不定長) -Code Code域長度為8位，具體取值見表2。其中，1、2、3用于用戶認(rèn)證，而4、5則是統(tǒng)計流量用, 12、13用于試驗階段，255作為保留。 code 含義 1 Access-Re

8、quest 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 5Accounting-Response 11 Access-Challenge 12 Status-Server(experimenta) 13 Status-client(experimenta) 255 Reserved Length 長度為 16 位，取值范圍(20=Lengthcreate database radius; /倉U建 radius 數(shù)據(jù)庫 /添加radius 用戶 Mysqlgrant all on radius.* on radiuslocalh

9、ost identified byradius Linux#mysqladmin u root p refresh /刷新數(shù)據(jù)庫內(nèi)容 然后，導(dǎo)入 dictionary 內(nèi)容，使radius.dictionary數(shù)據(jù)表中包含了基本的屬性(ATTRIBUTE) 和 屬性值(VALUE)等信息。 Linux# ./dictimport.pl ./raddb/dictionary Radius數(shù)據(jù)庫結(jié)構(gòu)如表10所示 Radius 數(shù)據(jù)庫 dictionary radgroupcheck hints radgroupreply nas radreply radacct realmgroup radact_summary realms radcheck usergroup 4.啟動 radiusd L