FreeRadius 2.1.6安装.docx

FreeRadius 2.1.6的安装2008-9-7Linux: RedHat Enterprise Linux AS 5红帽子企业版安装了freeradius-1.1.3-1.2.el5，先卸载：# rpm -ev freeradius1.下载/download.html目前的版本是2.1.6，文件名是freeradius-server-2.1.6.tar.bz2编译#cd /opt#mkdir host#tar xjvf /opt/download/freeradius-server-2.1.6.tar.bz2#cd freeradius-server-2.1.6#./configure#make#make install安装的文件所在的系统目录：1)/usr/local/sbin：checkradradiusdradminradwatchrc.radiusd2)/usr/local/bin：radlastradtestrandpktrlm_dbm_parserradclientradsniffradwhoradeapclientradsqlrelayradzaprlm_dbm_cat3)/usr/local/etc/raddb：配置文件4)/usr/local/share/man：man手册5)/usr/local/var/run/radiusd：运行时生成的文件存放目录6)/usr/local/var/log/radius：日志文件存放目录7)/usr/local/var/log/radius/radacct8)/usr/local/share/freeradius：存放各个属性定义9)/usr/local/lib：freeradius使用的库文件测试是否安装成功：1)#radiusd Xf.2)在另外一个终端上运行：# radtest test test localhost 0 testing123Sending Access-Request of id 18 to port 1812User-Name = testUser-Password = testNAS-IP-Address = NAS-Port = 0rad_recv: Access-Reject packet from host port 1812, id=18, length=20说明可以正常和radiusd进行通信。2.配置radius1)修改radius.conf去掉$INCLUDE sql.conf的注释；auth_badpass = yesauth_goodpass = yes2)修改sql.confserver = localhost#port = 3306login = radiuspassword = radpass3)修改clients.conf：增加client /16 secret= testing123shortname= private-networknastype= other4)修改eap.confdefault_eap_type = peap5)修改sites-enable/ default和site-enable/ inner-tunnel在authorize、authenticate、accounting和session中去掉sql前面的注释。去掉auth_log的注释，注释掉unix6)这样192.168.x.x的AP都可以访问Radius服务器。3.生成证书(如果使用外部证书可以跳过这步)生成随机数：# cd /usr/local/etc/raddb/certs# make dh# make random编辑f、f、f文件中的input_password和output_password字段，设置密码，分别编辑certificate_authority，server，和client字段为证书的信息，default_days字段为证书有效期。修改Makefile：a)不知道为什么对于f日期的修改不生效，生成的根证书有效期总是一个月，所以只好在生成根证书的命令行加上一个-days 3650修改后如下:#more Makefileca.key ca.pem: fopenssl req -new -x509 -days 3650 -keyout ca.key -out ca.pem -config ./fb)由于客户端证书是用server证书签名，增加导出server证书的Make目标：server.der: server.pemopenssl x509 -inform PEM -outform DER -in server.pem -out server.der同时修改：server: server.derc)还可以增加一个删除所有证书的Make目标：allclean:rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*# make ca server client验证根证书：# openssl x509 -in ca.pem -text noout安装客户端证书：d)导入根证书：生成的ca.der为根证书，需要先导入到客户端，注意存放的位置要选受信任的根证书颁发机构。e)导入客户端证书：生成的.pem是客户端证书（如果更改了f中的commonName，则不是这个名字），不过使用client.p12文件更容易导入Windows系统。服务器端配置：注意，如果修改了f的input_password，则需要修改eap.conf文件中的tls字段的private_key_password信息。4.设置为开机自动启动# cp freeradius-server-2.1.6/scripts/rc.radiusd /etc/init.d/radiusd# vi /etc/init.d/radiusd在#!/bin/sh一行后面加入：# radiusdThis shell script takes care of starting and stopping#standalone radiusd.# chkconfig: - 70 70# description: free radius server.# processname: /usr/local/sbin/radiusd# config: /usr/local/etc/raddb使用命令：#chkconfig -add radiusd#chkconfig radiusd on5.配置apache HTTP server允许在没有index.html等文件时列出目录# vi /etc/httpd/conf.d/welcome.conf去掉Indexes前面的减号Options IndexesErrorDocument 403 /error/noindex.html6.配置mysqla)安装phpMyadmin（如果使用命令行方式配置，可以省略该步骤）下载：phpMyAdmin--all-languages.tar.bz2高版本的需要php-5.2以上版本，RHEL 5只带了php-5.1.6解压：tar xjvf phpMyAdmin--all-languages.tar.bz2创建一个config目录mkdir config ; chmod o+rw config做符号链接到httpd目录：ln phpMyAdmin--all-languages /var/www/html/phpMyAdmin设置：http:/localhost/phpMyAdmin/ /scripts/setup.php设置认证方式为cookie，配置完并保存后，移动config /config.in.php到上一级目录。解决phpMyAdmin的警告：i)安装mbstringrpm -Uvh php-mbstring-5.1.6-20.el5.i386.rpmii)使用phpMyAdmin管理mysql，如果出现以下提示Cannot load mcrypt extension在下载以下RPM包即可解决上述问题php-mcryptphp-mhashlibmcryptlibmcrypt-devellibmhashlibmhash-devel修改/etc/php.ini增加：; Dynamic Extensions ;extension=mbstring.soextension=mcrypt.sob)创建并配置数据库radius (可以使用phpMyAdmin来配置，下同)# mysqladmin -u root -p create radius# cd /usr/local/etc/raddb/sql/mysql# mysql -u root -p radius admin.sql# mysql -u radius -p radius schema.sql可选创建其他表，可以使用的SQL脚本：ippool.sql, nas.sql, wimax.sql7.配置freeradius的管理WEB页面dialup_admina)复制dialup_admin到/usr/local/opt/# cpfreeradius-server-2.1.6/dialup_admin/ dialup_admin/ -ab)创建符号链接# ln -s /usr/local/opt/dialup_admin/htdocs/var/www/html/dialup_adminc)创建mysql数据表#cd dialup_admin/sql# mysql -u radius -p radius badusers.sql还有mtotacct.sql, totacct.sql, userinfo.sql导入userinfo.sql出错：ERROR 1067 (42000) at line 4: Invalid default value for id在userinfo.sql文件中去掉DEFAULT 0d)修改配置文件修改admin.conf中以下设置：general_base_dir: /usr/local/opt/dialup_admingeneral_radius_server_auth_proto: chap/将pap改成chapgeneral_encryption_method: clear/将crypt改成cleargeneral_radiusd_base_dir: /usr/localgeneral_domain: xxxxsql_username: xxxxsql_password: xxxxsql_usergroup_table: radusergr