跳到主要內容

FreeRADIUS架設(Ubuntu16.04)

邊做邊學,順便留個筆記,錯誤請不吝指教。

本次實作系統環境為Ubuntu16.04版本
FreeRADIUS版本為2.2.8

1.      下載、安裝FreRADIUS
sudo apt-get install FreeRADIUS

2.      以除錯模式運行
sudo freeradius –X
若正常運行則應該顯示已準備好接受請求如下
Ready to process requests

3.      若出現埠口以占用之情形請將該進程關閉
以下指令用來查詢進程代碼
ps -ef | grep freeradius
並使用以下指令關閉該進程
kill -9 <PROCESS ID HERE>
若還是不行可以嘗試關閉服務
sudo service freeradius stop

4.      修改 /etc/freeradius/users新增使用者
sudo vim /etc/freeradius/users
於文件中加入使用者信息,格式如下
"User-name"    Auth-Type := Local , Cleartext-Password := "password"
Reply-Message = "Reply-Message"
        紅字部份分別是使用者名稱、認證方式、密碼以及回傳訊息
        這邊選擇的Local是直接搜尋本文件中的使用者信息進行認證

5.      修改/etc/freeradius/clients.conf允許外部連線
sudo vim /etc/freeradius/clients.conf
於文件底部加入內容如下
client 0.0.0.0/0 { 
        secret = "secret"
 shortname = name
}
這部分即允許來自所有ip的連線,也可以具需求配置允許來自特定網段之連線。連線密碼是用來確認使用此認證之設備。
6.      再次以除錯模式運行並以先前設定之使用者進行測試
sudo freeradius –X
並以另一個指令視窗進行測試,測試指令如下
sudo radtest " User-name " " password " <ip-address> 0 "secret"
若正常運作則應收到包含Access-Accept之訊息,表示認證成功。

7.      修改/etc/freeradius/radiusd.conf以生成認證紀錄檔
sudo vim /etc/freeradius/radiusd.conf
找到下列內容,預設為no,改成yes,修改後內容如下
auth = yes
auth_badpass = yes
auth_goodpass = yes

8.      直接開啟freeradius server並嘗試認證
sudo freeradius
sudo radtest " User-name " " password " <ip-address> 0 "secret"

9.      使用tail 指令查詢最近的10筆認證紀錄
sudo tail –n 10 /var/log/freeradius/radius.log | grep Auth
若有顯示剛剛的認證紀錄及代表設置成功了
要注意的是使用除錯模式下進行的認證紀錄不會記錄在log檔裡
所以請如第8步直接執行freeradius

參考資料:
[1] blog.moatazthenervous.com , “Installing freeradius on Ubuntu 14.04” , http://blog.moatazthenervous.com/installing-radius-on-ubuntu-14-04/

[2] FreeRADIUS 安裝 , http://rd.tyc.edu.tw//manual/15/FreeRADIUS%A6w%B8%CB%BBP%BA%DE%B2z.pdf

留言

張貼留言

這個網誌中的熱門文章

Windows系統下實作 Mosquitto MQTT broker SSL/TLS 加密

一、使用openssl生成憑證  1.在開始之前我們需要安裝openssl來生成憑證,直接到openssl的網站就能下載到了,或是大部分的情況下在安裝mosquitto的時候就已經安裝了。  2.以系統管理員身分打開cmd並使用cd指令移動到openssl目錄下的bin資料夾,通常是C:\OpenSSL-Win32\bin。  3.直接在cmd輸入openssl來執行opnssl。   4.接下來的指令是用來生成一些憑證相關的文件,期間會要求輸入許多資料,需特別注意的是common name需填入伺服器的ip或是hostname。  5.使用genrsa -des3 -out ca.key 2048指令生成ca.key。  6.使用req -new -x509 -days 1826 -key ca.key -out ca.crt指令生成ca.crt。  7.使用genrsa -out server.key 2048生成server.key  8.使用req -new -out server.csr -key server.key生成server.csr  9.使用x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360生成servr.rt。 10.完成後可以在bin資料夾中找到剛剛生成的文件,我們要把其中的ca.ctr、server.ctr及server.ky複製到mosquitto的cert資料夾中,憑證生成的部分也就完成了。 二、Mosquitto認證設置  1.在這邊主要完成的是修改mosquitto資料夾中的mosquitto.conf配置檔。首先找到 Port to use for the default listener. 並在下面加入port 8883。  2. 來是找到#capath並在下面加入 cafile C:\Program Files (x86)\mosquitto\certs\ca.crt keyfile C:\Program Fi...
張貼留言
閱讀完整內容

在Windows系統下使用Mosquiito MQTT broker

Mosquitto 是一個開放原始碼MQTT broker,可以安裝於Windows環境下但會缺少許多dll文件,詳細的安裝方式可以參考 http://www.steves-internet-guide.com/install-mosquitto-broker/ 。安裝完成後開啟mosquitto.exe就開始執行broker了。另外需要以管理員身分開啟兩個CMD命令視窗用來模擬Subscriber及Publisher。 Subscriber: 使用命令  cd C:\Program Files (x86)\mosquitto  進入mosquitto資料夾,在該路徑下輸入  mosquitto_sub -t test 來進行對topic的subscribe,這裡我subcribe的topic是test。 Publisher: 使用命令  cd C:\Program Files (x86)\mosquitto  進入mosquitto 資料夾,在該路徑下輸入 mosquitto_pub -h 127.0.0.1 -p 1883 -t test -m "test" 來publish資料,其中 –h 後接的是broker的ip位址,在這裡我直接使用local host;-p 後接的是連接埠,MQTT預設的埠口是1883;-t後接的是topic名稱;-m後接的則是要傳送的massage。 若要讓外部成功連上MQTT broker 需要在防火牆上允許連接埠1883的輸入輸出。在防火牆->進階設定中新增允許1883 port的TCP接入就能讓外部的MQTT client接上MQTT broker了。 本次測試使用的client為android平台上的MQTT Dash,在該App上直接設置MQTT broker的ip及port就能連上剛剛建立的Mosquito MQTT broker了。 也可以選擇在其他PC上運行Chrome的MQTTlens作為client進行測試。或是在其他PC上運行mosquitto的client實測。 參考資料: [1]    How to Install The Mosquitto MQTT Broker- Windows and L...
2 則留言
閱讀完整內容

Juniper switch EX2200 Port mirroring

邊做邊學,順便留個筆記,若有錯誤請不吝指教。 埠鏡像 (port mirroring) 即將一個 port 上的流量複製一份到另一個 port 上,以達到監控、除錯等目的。 以下為使用 juniper ex2200 實作之方法: 1.       接入 switch 之後進入配置模式。 Juniper-SW:RE:0% cli Juniper-SW> edit 2.       配置要 mirroring 的 port ,這裡可以選擇要監控的流向 (ingress 、 egress) ,本次實作則是將兩個配置都做了。指令中的 PM1 為該鏡像的名稱,可以視自己管理方便配置。 Juniper-SW# set ethernet-switching-options analyzer PM1 input egress interface ge-0/0/0.0 Juniper-SW# set ethernet-switching-options analyzer PM1 input ingress interface ge-0/0/0.0 3.       配置用來進行監控的 port 。 Juniper-SW# set ethernet-switching-options analyzer PM1 output interface ge-0/0/10.0 4.       配置完成後使用 show 指令進行檢查。 Juniper-SW# show ethernet-switching-options 如果成功則可以看到內容如下 analyzer PM1 {    input {        ingress {            interface ge-0/0/0.0;   ...
張貼留言
閱讀完整內容