可能这是个伪需求,在实际环境中很少这样用,如果需要对网络设备进行radius登录认证,大多用的也是商业的认证服务器,这里仅通过实验学习网络设备认证配置以及熟悉radius认证流程。
在Ubuntu系统下安装FreeRADIUS。
1、添加apt source list
echo “deb http://packages.networkradius.com/freeradius-3.0/ubuntu/focal focal main” | \
sudo tee /etc/apt/sources.list.d/networkradius.list > /dev/null
2、添加pgp public key
curl -s ‘https://packages.networkradius.com/pgp/packages%40networkradius.com’ | \
sudo tee /etc/apt/trusted.gpg.d/packages.networkradius.com.asc > /dev/null
3、如果没有安装curl,还需要安装curl
4、安装FreeRADIUS
sudo apt-get update
sudo atp-get install freeradius
配置FreeRADIUS
1、添加client,也就是添加交换机/路由器,主要配置交换机的IP地址和与交换机交互数据的secrect,一切为了安全。
vi /etc/freeradius/clients.conf
根据示例,添加或者修改:
client switch {
ipaddr = 192.168.2.1
secret = 111
}
2、添加用户,这里用户就是你通过ssh登录交换机/路由器,输入的用户名和密码。
vi /etc/freeradius/users
添加:
“admin” Cleartext-Password := “123456”
Reply-Message := “Hello, %{User-Name}”
3、然后重启FreeRADIUS
systemctl restart freeradius
配置交换机/路由器
我这里是用的一台H3C路由器真机做的测试,FreeRADIUS是安装在虚拟机里的Ubuntu系统上的,配置路由器与Ubuntu互通,这个不会配置的可以网上参考其他文章,主要配置桥接。如下图,路由器可以ping通Ubuntu。
接下来配置路由器通过FreeRADIUS进行radius登录认证
public-key local create rsa
public-key local create dsa
ssh server enable
line vty 0 63
authentication-mode scheme
quit
role default-role enable network-admin
radius scheme rad
primary authentication 192.168.2.10
key authentication simple 111 //与认证服务器的secret相同
user-name-format without-domain
domain wlts.cc
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login none
测试
我们直接通过console口登录路由器,然后运行ssh登录到本机,注意登录后用户名为admin@wlts.cc这种形式。
成功通过FreeRADIUS对网络设备登录进行radius认证。