使用 FreeRADIUS authenticate 一个用户

优质
小牛编辑
140浏览
2023-12-01

行动时间 - 使用FreeRADIUS对用户进行身份验证

我们继续前一章的练习,我们在用户文件中对用户进行了认证。我们现在将查看在调试模式下运行的FreeRADIUS服务器的输出,而不是查看radtest命令的反馈。

  1. 确保您是root用户,以便编辑用户文件。

  2. 将Alice定义为FreeRADIUS测试用户。在用户文件的顶部添加以下行。确保第二行由单个制表符缩进。

“alice”Cleartext-Password:=“passme”
    Reply-Message =“你好,%{用户名}”
  1. 以调试模式启动FreeRADIUS服务器。通过启动脚本将其关闭,确保尚未运行实例。我们假设在这种情况下使用Ubuntu。
$> sudo su
#> /etc/init.d/freeradius停止
#> freeradius -X
  1. 使用以下命令验证Alice:
$> radtest alice passme 127.0.0.1 100 testing123
  1. FreeRADIUS的调试输出将显示Access-Request数据包如何到达以及FreeRADIUS服务器如何响应此请求。

刚刚发生了什么?

您已向FreeRADIUS发送了一个Access-Request数据包。 您已收到Access-Accept数据包。 没什么好激动的,但是观察FreeRADIUS的调试输出是非常有趣的。 这显示了返回Access-Accept数据包所涉及的内容。

如果你想使用FreeRADIUS在调试模式下运行的终端,在保持活动状态的同时你可以使用Ctrl + Z暂停当前作业(radiusd -X),然后执行bg命令在后台运行它。 终端现在应该可供您使用。 要在前台再次运行FreeRADIUS,只需执行fg命令即可。

访问请求到达

当数据包到达FreeRADIUS服务器时,由以下部分指示:

rad_recv: Access-Request packet from host 127.0.0.1 port 48698, id=73,length=57
    User-Name = "alice"
    User-Password = "passme"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 100

我们看到传入的请求包含四个AVP。 虽然此处以明文形式显示AVP用户密码,但它未以明文形式传送到服务器。 FreeRADIUS使用共享密钥来加密和解密User-Password AVP的值。

授权

收到请求后,授权部分负责处理请求:

# Executing section authorize from file /etc/freeradius/sites-enabled/
default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "alice", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry alice at line 137
[files] expand: Hello, %{User-Name} -> Hello, alice
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP

授权部分在虚拟服务器中定义。让我们首先看一下有关FreeRADIUS中虚拟服务器的一些要点:

  • 虚拟服务器在sites-available目录下定义,该目录位于FreeRADIUS的配置目录下。
  • 每个虚拟服务器由单个文本文件表示。
  • 通过创建从sites-available目录中的文件到具有相同名称的sites-enabled目录中的文件的软链接来激活虚拟服务器。
  • 此方法类似于Apache Web服务器使用的方法。
  • 名为default的虚拟服务器处理所有典型请求。
  • 虚拟服务器基本上就像拥有多个RADIUS服务器。一个虚拟服务器甚至可以将请求转发到另一个虚拟服务器。这使得FreeRADIUS安装功能非常强大。
  • 每个虚拟服务器,包括默认服务器,具有各种部分。虚拟服务器可以包含嵌套在虚拟服务器定义内的以下部分:监听,客户端,授权,身份验证,授权后,预代理,后代理,预备,计费和会话。
  • 访问请求首先由授权部分处理。

授权设置Auth-Type

当授权部分处理请求时,各种FreeRADIUS模块会查看Access-Request中包含的AVPs。 这些模块尝试确定用于验证用户的机制和模块。 在我们的示例中,授权部分将Auth-Type设置为PAP。 例如,如果访问请求包含MS-CHAP属性而不是用户密码,则mschap模块将检测到此并设置Auth-Type = MS-CHAP。

授权生效

授权部分可以基于对指定AVP的存在或值的决定来决定完全拒绝请求。 这将导致返回到客户端的Access-Reject数据包。 那时就没有必要进行身份验证。

认证

在设置Auth-Type的值后,请求将传递给authenticate部分:

# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group PAP {...}
[pap] login attempt with password "passme"
[pap] Using clear text password "passme"
[pap] User authenticated successfully
++[pap] returns ok

在这里,我们看到authenticate部分中的pap子部分正在处理此请求并返回ok。

后验证

认证后部分是在认证之后完成的。您可以使用它来执行某些操作:

# Executing section post-auth from file /etc/freeradius/sites-enabled/
default
+- entering group post-auth {...}
++[exec] returns noop

结束

结果现在发送回客户端:

Sending Access-Accept of id 73 to 127.0.0.1 port 48698
Reply-Message = "Hello, alice"
Finished request 3.

结论

查看调试输出时请记住以下几点:

  • 授权,验证和后验证等主要部分以#Execution开头。
  • 这些部分还指示它们驻留在哪个虚拟服务器中。
  • 授权部分设置Auth-Type的值。这又决定了将使用身份验证部分中的哪个模块。
  • FreeRADIUS模块的调试输出可分为两种类型。它们是调试消息和返回值。
  • 调试消息以模块名称开头,例如 [files] users: Matched entry alice at line 137.
  • 返回值以++ [module_name]开头,例如 ++[files] returns ok.

尝试看看 - 使用其他身份验证协议

从FreeRADIUS 2.1.10版开始,radtest客户端程序允许您指定要使用的身份验证协议。

如果您的FreeRADIUS安装比2.1.10更新,您可以使用-t选项指定chap和mschap并再次执行身份验证请求。请注意当使用其他身份验证协议时,FreeRADIUS的调试反馈现在是多么不同。

下一部分将介绍我们可以存储用户密码的不同格式。