在Linux系统上搭建RADIUS服务器是一个涉及多个步骤的过程,包括安装软件、配置服务和验证功能,以下是一个详细的指南:
一、安装FreeRADIUS软件包
在Linux系统上,可以使用系统自带的包管理器来安装FreeRADIUS软件包,以下是针对不同发行版的安装命令:
Ubuntu/Debian:
sudo apt-get install freeradius
CentOS/Fedora:
sudo yum install freeradius
二、配置FreeRADIUS
安装完成后,需要对FreeRADIUS进行一些基本配置以满足具体需求,配置文件位于/etc/freeradius
目录下,常用的配置文件和目录包括:
/etc/freeradius/clients.conf
: 定义RADIUS客户端的IP地址、密钥等。
/etc/freeradius/users
: 定义用户、密码等信息。
/etc/freeradius/radiusd.conf
: 定义RADIUS服务器的基本配置。
/etc/freeradius/sites-enabled/default
: 定义RADIUS的授权和认证方式。
配置示例
1、配置客户端:
编辑/etc/freeradius/clients.conf
文件,添加允许访问的客户端IP段和共享密钥。
client 192.168.0.0/24 { secret = testing123 }
2、添加用户:
编辑/etc/freeradius/users
文件,添加用户信息。
# 用户1 admin Cleartext-Password := "admin123" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.3.33, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP # 用户2 aa Cleartext-Password := "admin" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.3.33, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP
3、配置服务器基本设置:
编辑/etc/freeradius/radiusd.conf
文件,根据需要进行基本配置。
4、配置授权和认证方式:
编辑/etc/freeradius/sites-enabled/default
文件,定义授权和认证的方式。
authorize { preprocess {...} chap {...} ... } authenticate {...}
三、启动FreeRADIUS服务
完成配置后,需要启动FreeRADIUS服务,对于不同的Linux发行版,启动命令略有不同:
Ubuntu/Debian:
sudo service freeradius start
CentOS/Fedora:
sudo systemctl start radiusd
四、测试FreeRADIUS服务
启动服务后,可以使用radtest
工具来测试RADIUS服务器的功能。radtest
工具通常与FreeRADIUS一起安装,以下是一个简单的测试命令:
radtest testing password localhost 0 testing123
如果返回结果中包含“Access-Accept”字样,则表示RADIUS服务器配置正确并正常运行。
五、常见问题及解答(FAQs)
问题1: FreeRADIUS服务无法启动怎么办?
解答: 如果FreeRADIUS服务无法启动,首先检查配置文件是否有语法错误或拼写错误,使用radtest
命令可以快速检测配置文件的正确性,确保防火墙设置允许UDP端口1812和1813的流量通过,如果是端口被占用导致的问题,可以尝试更换端口或停止占用端口的服务。
问题2: 如何更改RADIUS服务的默认端口号?
解答: 要更改RADIUS服务的默认端口号(认证端口1812和计费端口1813),需要修改/etc/freeradius/eap.conf
文件中的相关配置项,找到类似auth_port = 1812
和acct_port = 1813
的行,并将端口号更改为所需的值,确保防火墙规则也相应更新以允许新的端口号通过,完成更改后,重启FreeRADIUS服务使配置生效。