linux基于Pamradius整合身份认证说明v

1、二ian linux基于Pam_radius整合身份认证说明1. 引言1.1. 编写目的本文主要描述DTv3.0基于Pam配置Linux资源系统加入认证服务验证过程及相关实现。本文的读者主要包括:Ø 技术支持人员Ø 现场实施人员Ø 售后服务人员Ø 项目开发人员备注：虽然本文中描述的整合过程是针对DTv3.0版本的，但对以后版本的DT平台产品也具有一定指导意义。2. 环境配置本部分主要是为了Pam_Radius整合提供运行环境，在网关部署的过程中，如本部分配置已经完成（通常Freeradius和Jradius均部署于网关中），可跳过本部分的阅读，直接进入P

2、am_Radius配置。关于Freeradius和Jradius的安装过程将不在这里赘述（请参考其他文档），针对这两部分的配置在本部分进行详细的说明。2.1. 搭建资源机环境略。2.2. 搭建并运行DTv3.0环境略。2.3. Freeradius安装及其配置2.3.1. 安装过程略。2.3.2. 配置：2.3.2.1. 测试Freeradius安装：输入命令：Radtest 系统账号 系统账号密码 localhost 0 testing123下图为执行结果：如果最后一行出现Access-Accept则表示freeradius安装并启动成功。2.3.2.2. 启动Freeradius并测试如果

3、上小节通过Freeradius测试，请输入命令radiusd X启动Freeradius服务并重新进行Freeradius测试；如果测试仍未通过，请重新安装Freeradius。2.4. Jradius安装及其配置2.4.1. 安装过程略。2.4.2. 配置2.4.2.1. 配置jradius.conf进入freeradius源码包中src/modules/rlm_jradius目录并拷贝jradius.conf文件到freeradius服务的安装目录中/usr/local/etc/raddb下。进入/usr/local/etc/raddb目录修改jradius.conf配置信息：因freer

4、adius和jradius安装于同一主机中，故修改本文件中所有IP为本机IP地址（切勿改动端口）。2.4.2.2. 用下述文件（radius.conf）替换掉/usr/local/etc/raddb/目录中的radius.conf文件。2.4.2.3. 配置client.conf文件每台需要进行radius认证的客户端都需要在此文件中进行配置NAS信息，但如果要支持全网段的话，则需要添加表示所有的设备都可以使用同一个共享密钥,其中testing为共享密钥，在pam_radius配置中需要用到。3. Pam_Radius配置3.1. 提供组件：3.2. 测试环境1. RedHat3.42. Fr

5、eeradius2.1.73.3. 配置步骤1. 将pam_radius1.3.17包解压2. 执行make得到pam_radius_auth.so3. 将pam_radius_auth.so文件拷到/lib/security/目录中4. 拷贝pam_radius_auth.conf到/etc/raddb/目录中，并改名为server如果目录不存在则创建5. 编辑/etc/raddb/server文件，填写正确的freeradius服务的IP地址以及共享密钥信息172.16.60.103 testing 1other-server other-secret 3此处以172.16.60.103为

6、例，即frreeradius服务安装于172.16.60.103中，且共享密钥为testing。6. 编辑/etc/pam.d/sshd文件，以auth开头的部分替换为如下：加入：auth sufficient pam_radius_auth.soauth required /lib/security/pam_securetty.soauth required /lib/security/pam_unix_auth.soauth required pam_stack.so service=system-authauth required pam_nologin.so注：1. 因linux发布版

7、本部分差别较大，此处的配置根据linux主机发布版本不同应做出相应的修改，此处仅仅提供RedHat3.4 pam SSH模块配置代码。2. 其他发布版本的linux需在配置过程中根据不同linux发布版本进行相应的调整。4. 资源管理配置4.1. 资源基本配置Ø 进入【账号管理子系统】，点击“账号管理”/“资源管理”进入资源列表；Ø 点击“新建资源”链接，打开资源信息配置窗口；Ø 配置资源信息；Ø 请确保选中“账号同步”，“平台Radius认证”选项；Ø 点击保存，完成资源基本信息配置。4.2. 资源接管Ø 打开资源管理列表(资源基本

8、配置)，并找到资源基本配置中完成的资源信息；Ø 点击资源接管状态中“切换”链接，接管资源；如果资源接管状态变成绿色按钮，则表示资源接管成功。4.3. 账号同步配置：Ø 在资源列表中点击上述配置完成的资源名称，进入资源基本信息管理页面;Ø 点击账号同步配置链接，打开资源账号同步配置页面；Ø 同步方式选择“Linux同步”;Ø 同步模板选择“linux_ssh”；Ø 进行账号同步配置信息补充；请选中“账号同步配置开关”和“是否为资源账号”，否则，配置完成测试中将会失败。如果资源系统不支持root远程登录，请选中 标记部分，并进行对应信息的

9、填写。Ø 点击保存，完成账号同步配置；保存过程中系统会测试当前配置是否通过，如果配置未通过，将不允许保存；请检查账号同步配置信息是否完整；如确定配置正确，请检查当前Pam_Radius配置是否正确，并依次检查Jradius服服务是否启动，Freeradius配置。4.4. 用户门户通过代填访问Pam_Radius整合资源Ø 在上述配置完成资源的资源信息页面点击“账号管理”链接，系统自动进行账号收集，请耐心等待。Ø 系统完成账号收集后，进行账号管理；管理过程略。Ø 代填模板配置；配置过程略。Ø 授权管理；授权管理过程略。Ø 退出后台管理，使用授权账号访问用户门户，从授权资源列表中选择上述配置完成的Pam_Radius整合资源，并点击登录链接，可通过DTClient代填登录并访问此资源。注：如果代填登录失败，请检查授权管理或代填模板配置是否完整。5. 总结DTv3.0整合Pam_Radius资源主机需要整合人员需要一定系统管理基础，即linux系统软件安装，配置等能力，整合过程中，需要反复的针对服务、模块测试配置；资源整合结束后，同样需要整合人员对资源进行全面的测试，