RADIUS原理介绍及其在Linux下的搭建(20210310000616)

1、RADIUS原理介绍及其在 Lin ux下的搭建 RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的数据库”对用户 进行认证（效验用户名和口令）。它主要针对的远程登录类型有：SLIP、PPP、telnet 禾口 rlogin等。 其主要特征有： 1 .客户机/服务器（C/S）模式 一个网络接入服务器（以下简称NAS）作为RADIUS的客户机，它负责将用户信息传入 RADIUS服务器，然 后按照RADIUS服务器的不同的响应来采取相应动作。另外， RADIUS服务器还可以充当别的 RADIUS服 务器或者其他种类认证服务器的代理客户。 2 .网络安全(Network Secu

2、rity ) NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密，并且这些信息不会在两者之间泄 漏出去 3 .灵活认证机制( Flexible Authentication Mechanisms) RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有 效性 4 .协议可扩展性(Extensible Protocol) 所有的认证协议都是基于 属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前 很多比较高版本的Linux中，它们都把RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易 地通过免费

3、的Linux 系统学习RADIUS授权、认证的原理和应用。 要弄清楚RADIUS协议为何能实现授权和认证，我们必须应该从四个方面去认识RADIUS 协议：协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些 内容。 协议基本原理 NAS提供给用户的服务可能有很多种。比如，使用tel net时，用户提供用户名和口令信 息，而使用PPP时，则是用户发送带有认证信息的数据包。 NAS 一旦得到这些信息，就制造并且发送一个 “ Access - Request ”数据包给RADIUS服务 器，其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。 如果RA

4、DIUS服务器在一段规定的时间内没有响应，则 NAS会重新发送上述数据包；另外 如果有多个RADIUS服务器的话，NAS在屡次尝试主RADIUS服务器失败后，会转而使用 其他的RADIUS服务器。 RADIUS服务器会直接抛弃那些没有加共享密钥”(Shared Secret )的请求而不做出反 应。如果数据包有效，则 RADIUS服务器访问认证数据库，查找此用户是否存在。如果存 在，则提取此用户的信息列表，其中包括了用户口令、访问端口和访问权限等。 当一个RADIUS服务器不能满足用户的需要时，它会求助于其他的RADIUS服务器，此时 它本身充当了一个客户端。 如果用户信息被否认， 那么RAD

5、IUS服务器给客户端发送一个“Access - Reject ”数据包, 指示此用户非法。如果需要的话，RADIUS服务器还会在此数据包中加入一段包含错误信息 的文本消息，以便让客户端将错误信息反馈给用户。 数据包给客户端， 并 相反，如果用户被确认，RADIUS服务器发送 “Access - Challenge 且在数据包中加入了使客户端反馈给用户的信息, 其中包括状态属性。 接下来，客户端提示 17 RADIUS服务器提 用户做出反应以提供进一步的信息，客户端得到这些信息后，就再次向 交带有新请求ID的“Access - Request” 数据包，和起初的“Access - Request

6、” 数据包内 容不一样的是：起初“Access - Request数据包中的用户名/ 口令”信息被替换成此用户 当前的反应信息（经过加密），并且数据包中也包含了“Access - Challenge ”中的状态属 性（表示为0或1 ）。此时，RADIUS服务器对于这种新的“Access - Request 可以有三 种反应：“ Access - Accept ” 、 “ Access - Reject ” 或 “Access - Challenge ”。 如果所有的要求都属合法, 型（SLIP, PPP, Login User 括了 IP地址、子网掩码、 RADIUS返回一个“Access -

7、 Accept”回应，其中包括了服务类 等）和其附属的信息。例如：对于SLIP和PPP，回应中包 MTU和数据包过滤标示信息等。 数据包结构 RADIUS数据包被包装在 UDP数据报的数据块（Data field）中，其中的目的端口为1 812。具体的数据包结构如表1。 8位 8位 16位 code dentifier Length Authenticator (128 位) Attributes (不定长) -Code Code域长度为8位，具体取值见表2。其中，1、2、3用于用户认证，而4、5则是统计流量用, 12、13用于试验阶段，255作为保留。 code 含义 1 Access-Re

8、quest 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 5Accounting-Response 11 Access-Challenge 12 Status-Server(experimenta) 13 Status-client(experimenta) 255 Reserved Length 长度为 16 位，取值范围(20=Lengthcreate database radius; /仓U建 radius 数据库 /添加radius 用户 Mysqlgrant all on radius.* on radiuslocalh

9、ost identified byradius Linux#mysqladmin u root p refresh /刷新数据库内容 然后，导入 dictionary 内容，使radius.dictionary数据表中包含了基本的属性(ATTRIBUTE) 和 属性值(VALUE)等信息。 Linux# ./dictimport.pl ./raddb/dictionary Radius数据库结构如表10所示 Radius 数据库 dictionary radgroupcheck hints radgroupreply nas radreply radacct realmgroup radact_summary realms radcheck usergroup 4.启动 radiusd L