一、服务器要求
Radius服务器:centos6.6、hostname、selinux disabled、stop iptables
AD域服务器:Windows Server 2008 R2 Enterprise、AD-host.example.com(提前搭建好的AD域)
freeradius版本大小:2.2.6
目的:只做用户名密码的认证
域名先解析:#vim /etc/hosts
IP AD-host.example.com
IP hostname
二、RADIUS的工作过程
1. 用户输入用户名密码等信息到客户端
2. 客户端产生一个接入请求报文到RADIUS服务器,其中包含了用户名,密码,客户端ID和用户访问端口的ID,密码都是经过MD5加密的。
3. RADIUS服务器对用户进行认证
4. 如果认证成功,RADIUS服务器想客户端发送允许接入包,否则就发送拒绝接入包。
5. 若客户端接受到允许接入包,则为用户建立连接,对用户进行授权和提供服务;若接受到拒绝接入包,则拒绝用户接入请求。
6. 客户端发送计费请求给RADIUS服务器
7. RADIUS服务器接受到计费请求包后开始计费,并向客户端回送开始计费的响应包。
8. 用户断开连接,客户端发送停止计费包给RADIUS服务器
9. RADIUS服务器接收到停止计费包后停止计费,并向客户端发送停止计费响应包,完成该用户的一次计费,记录计费信息。
三、安装freeradius与AD结合需要用的组件
#yum install samba krb5-server freeradius freeradius-utils freeradius-mysql
四、配置samba
samba作为freeradius和AD域沟通的桥梁装在freeradius服务器上
#vim /etc/samba/smb.conf
[global]
workgroup = example
# ----------------------- Domain Members Options ------------------------
security = ads #ads设置必须在这项里面
realm = example.com
password server = (AD-IP)
samba的ads模式(活动目录模式):
这是linux系统samba服务器的一种新型工作模式,用于把samba服务器加入到windows服务器活动目录域中,并具备活动目录域控制器的功能。这时samba服务器就相当于一台域控制器了,可以自己使用活动目录中的账户数据库对用户的访问进行身份验证。
#/etc/init.d/smb start
#/etc/init.d/nmb start
#chkconfig nmb on
#chkconfig smb on
五、修改系统账号验证
# vim /etc/nsswitch.conf(名字服务切换配置)
此文件规定通过哪些途径以及按照什么顺序通过这些途径来查找特定类型的信息。还可以指定某个方法奏效或者、失效时系统将采取什么动作。配置格式如下:
Info:method[[action]] [method[[action]]…]
Info指定该行所描述的信息的类型,method位用来查找该信息的方法,action是对前面的method返回状态的响应。
工作原理:当需要提供nsswitch.conf文件所描述的信息的时候,系统将检查含有适当info字段的配置行。它按照从左向右的顺序开始执行配置中指定的方法。在默认情况下,如果找到期望的信息,系统将停止搜索。如果没有指定的action,那么当某个方法未能返回结果时,系统就会尝试下一个动作。有可能搜索结束都没找到想要的信息。
nsswitch.conf文件末尾添加以下几行:
passwd: files winbind
shadow: files winbind
group: files winbind
protocols: files winbind
services: files winbind
netgroup: files winbind
automount: files winbind
六、设置kerberos认证机制
#vim /etc/krb5.conf
在配置ads模式samba服务器时/etc/krb5.conf 配置文件是必须配置的。它作为kerberos身份验证模块,可以使samba服务器对windows AD域有更好的支持。
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
EXAMPLE.COM {
kdc = AD-host.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
七、配置KDC服务
# vim /var/kerberos/krb5kdc/kdc.conf
[realms]
EXAMPLE.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3
}
八、测试samba和kdc是否可以正常通信
#kinit
这一步回车正常情况下是会让输入用户的密码Password for :
安装kerberos软件后,必须配置KDC服务器。KDC提供颁发凭证的服务。
#/etc/init.d/winbind start
#chkconfig winbind on
九、将freeradius加入域并测试是否同步域账号
#net rpc join –U administrator
Password:输入密码
。。。
Joined domain test
#wbinfo –t 检查rpc链接是否成功
。。。
checking the trust secret via RPC calls succeeded
# wbinfo –u 获取用户信息
一堆用户出现
#wbinfo –g 获取组信息
一堆组出现
#getent passwd
一堆不知道什么用户密码出现
十、freeradius服务配置
freeradius的配置文件几乎都在/etc/raddb目录下
#vim /etc/radius.conf 这个文件好像也没什么好改的
#vim /etc/users
DEFAULT Auth-Type = ntlm_auth 这个要打开
#vim /etc/clients.conf 设置客户端信息
client IP(anyconnect) {
secret = cisco
shortname = freeRADIUS
nastype = other
}
#vim /etc/raddb/sites-available/default
authorize { ntlm_auth } //最后一行添加
authenticate {Auth-Type ntlm_auth { ntlm_auth } }
#vim /etc/raddb/sites-available/inner-tunnel
authorize { ntlm_auth }
authenticate {Auth-Type ntlm_auth { ntlm_auth } }
#vim /etc/raddb/sites-enabled /default
authorize { ntlm_auth } //最后一行添加
authenticate {Auth-Type ntlm_auth { ntlm_auth } }
#vim /etc/raddb/sites-enabled/inner-tunnel
authorize { ntlm_auth }
authenticate {Auth-Type ntlm_auth { ntlm_auth } }
最后这两个文件夹的四个文件是映射的关系。但是本服务器未做映射,自便
#/etc/raddb/modules/ldap
ldap {
server = “IP(AD的IP地址)”
identity = "CN=zabbix,ou=特殊账户,dc=example,dc=com"
password = "password"
basedn = "DC=example,DC=com"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
#vim /etc/raddb/modules/ntlm_auth
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=EXAMPLE.COM --username=%{mschap:User-Name} --password=%{User-Password}"
}
#vim /etc/raddb/modules/mschap 编辑mschap模块,使用ntlm_auth做MS_CHAP认证
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}:-EXAMPLE.COM} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
#vim /etc/raddb/policy.conf 修改策略
policy {
ntlm_auth.authorize {
if(!control:Auth-Type && User-Paaword){
update control {
Auth-Type := ntlm_auth
}
}
}
}
十一、最终测试
#chown –R root.radiusd /var/lib/samba/winbindd_privileged
#/etc/init.d/winbind restart
#radiusd –X 开启freeradius的debug模式
#radtest –t mschap 域账号 ‘密码’ localhost 0 testing123
用域账号密码本地测试,如果收到Access-Accept的回复,说明freeradius和AD域整合成功!
此次整合是为anyconnect vpn做准备,和anyconnect vpn正常通信的因素:
1) 账号要是域账号里面存在的
2) freeradius服务器要设置client端信息
3) 认证协议要统一,此次认证使用的协议是ms-chap