FreeRadius AAA Radius 工作原理

 

常见的AAA service

    Radius(Remote Authentication Dial-In User Service)

在 IETF 的RFC 2865 中定义TACACS+

常见的AAA SERVER

  Cisco Secure Access Control Server (ACS)

  可用于跨 UNIX 和Windows ，并支持Cisco 特有的协议TACACS+

FreeRADIUS 是来自GNU

FreeRADIUS 1.0.2 支持 LDAP、MySQL、PostgreSQL和 Oracle数据库

并与诸如 EAP 和Cisco LEAP 之类的网络协议兼容

FreeRADIUS 目前被部署在很多大型生产网络系统中。

RADIUS 服务器可以支持很多不同的用户验证机制

  本地 UNIX/Linux 系统密码数据库（/etc/passwd）；

  PAP（Password Authentication Protocol，密码验证协议，与PPP 一起使用，在此机制下，密码以明文形式发送；

  CHAP（Challenge Handshake Authentication Protocol，比PAP 更安全，它同时使用用户名和密码）；

  LDAP 数据库;其他本地数据库（MYSQL、PostgreSQL、Oracle)

AAA组件

    NAS（比如ROUTER，访问服务器，各种有用户认证功能的产品）

    AAA server

AAA安装原理

ROUTER等要与AAA SERVER建立联系:

    首先要配AAA指令，指向AAA SERVER

    其次要在AAA SERVER也配client.conf（也可以不配，用网段标识，不用地址一对一标识很多人容易忘了在AAA SERVER上加ROUTER（client）这步要保证AAA SERVER与ROUTER上的KEY是相同的

AAA认证原理

   NAS 收到用户连接请求

   NAS会将用户信息放在Access-Request里发往指定的AAA SERVER

   radius server 对用户进行验证，并返回Access-Accept或Access-Reject给NAS，如果是Access-Accept,还会包含用户的配置信息 收到access-accept或access-reject包后，NAS接受或拒绝用户的连接请求。  

Access-Accept 响应用户名匹配，密码匹配, RADIUS服务器将返回一个 Access-Accept响应

授权

RADIUS 中，验证和授权是组合在一起的。

access-accept响应中也包括一些参数（属性-值对），以保证对该用户的访问。

包括：

访问类型

协议类型

用户指定该用户的 IP 地址（DHCP）

一个访问控制列表（ACL）

静态路由

reeradius+mysql模式的安装

注意安装mysql的devel版本，为什么呢？因为freerdius的连接模块编译的时候需要用到mysql的链接库和头文件而只安装server和client的rpm包这些都是没有的

来源：http://bbs.07fly.com/forum.php?mod=viewthread&tid=126&extra=page%3D1