1. 系统环境
1.1.操作系统
Debian、Ubuntu-20.04.1 (kernel: 5.15.0-58-generic)
1.2.所需软件
FreeRADIUS
MariaDB
1.3.注意事项
本文提到的所有操作,都是以root 身份执行;
2. FreeRADIUS的安装
2.1. 安装FreeRADIUS服务器程序
以root身份登录到终端,执行如下命令:
apt install freeradius
安装FreeRADIUS工具包,以root身份登录到终端,执行如下命令:
apt install freeradius-utils
注:该工具包用于测试freeradius。
2.2 修改用户管理配置文件
2.2.1 FreeRADIUS的测试
打开/etc/freeradius/3.0/users文件,查找"steve Cleartext-Password := "testing"(73-81)", 取消该段内容的注释。
2.2.2 防火墙配置
安装防火墙iptables
sudo apt-get install iptables
修改防火墙配置,允许freeradius所使用的端口1812和1813。命令如下所示:
iptables -A INPUT -p udp --dport 1812 -j ACCEPT
iptables -A INPUT -p udp --dport 1813 -j ACCEPT
2.3 以调试方式启动freeradius
执行如下命令:
freeradius -X
正常情况下,终端会输出如下信息:
2.4.使用测试工具测试
打开一个新的终端,以root 身份登录,执行如下命令:
radtest steve testing localhost 0 testing123
正常情况下,终端会输出如下信息:
输出"Access-Accept"表示成功,"Access-Reject"表示失败。
3. MariaDB的安装
3.1. 安装MariaDB服务器程序
以root 身份登录到终端,执行如下命令:
apt install mariadb-server
安装成功后,使用systemctl命令可以查看到mariadb服务是否已经开启。
3.2. 安装MariaDB客户端程序
以root 身份登录到终端,执行如下命令:
apt-get installmariadb-client
3.3 MariaDB的测试
3.3.1 创建数据库
以root身份登录到终端,执行如下命令:
mysql -u root -p
要求输入密码时,直接回车即可。
mysql> create database radius;
mysql> grant all on radius.* to radius@localhost identified by "radpass";
mysql> exit;
3.3.2 导入表结构
以root身份登录到终端,执行如下命令:
mysql -u root radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql
上面的指令,共导入8个表,分别是:
nas,网络设备表
radacct,计费情况表
radcheck,用户检查信息表
radgroupcheck,用户组检查信息表
radgroupreply,用户组回复信息表
radpostautch,认证后处理信息,可以包括认证请求成功和拒绝的记录radreply 用户回复信息表
radusergroup,用户和组关系表
可以进入radius 数据库,查看导入的表结构,执行如下命令:
mysql -u root radius
mysql> show tables;
3.3.3 建立组信息和用户信息
在终端输入”mysql -u root radius“,打开数据库,执行如下命令:
1. 新建'user'组
mysql> insert into radgroupcheck (groupname,attribute,op,value) values ('usr','Auth-Type',':=','Local');
mysql> insert into radgroupcheck (groupname,attribute,op,value) values ('usr','Service-Type',':=','Framed-User');
mysql> insert into radgroupcheck (groupname,attribute,op,value) values ('usr','Framed-IP-Address',':=','255.255.255.255');
mysql> insert into radgroupcheck (groupname,attribute,op,value) values ('usr','Framed-IP-Netmask',':=','255.255.255.0');
2. 查看新建组
MariaDB [radius]>select * from radgroupcheck;
3. 新建'test'用户
mysql> insert into radcheck (username,attribute,op,value) values ('test','CleartextPassword',':=','testpwd');
4. 查看新建用户
MariaDB [radius]>select * from radcheck;
5. 将用户加入组中
mysql> insert into radusergroup (username,groupname) values ('test','user');
6. 查看用户和组信息
MariaDB [radius]>select * from radusergroup;
4. FreeRADIUS与MariaDB的对接
4.1 安装freeradius-mysql组件
以root身份登录到终端,执行如下命令:
apt installfreeradius-mysql
4.2. 重启MariaDB服务
以root身份登录到终端,执行如下命令:
systemctl restart mariadb
4.3 使能FreeRADIUS中的mysql认证配置
默认mods-enabled目录下没有该配置,需要创建一个软链接到mods-available目录下的sql文件,执行如下命令:
cd /etc/freeradius/3.0/mods-enabled
ln -s ../mods-available/sql
4.4. 修改FreeRADIUS中的mysql认证配置
直接修改/etc/freeradius/3.0/mods-available/sql文件,将dialect = "sqlite"这一行,修改为dialect = "mysql"。
将driver = "rlm_sql_null"这一行,修改为driver = "rlm_sql_mysql"。
将tsl相关的内容屏蔽,具体如下:
同时需要取消"Connection info"部分注释,具体如下:
4.5. 测试通过数据库做用户认证
1. 重新以调试方式运行freeradius,执行如下命令:
systemctl stop freeradius
freeradius -X
正常情况下,终端会输出如下信息:
2. 打开一个新的终端,以root 身份登录,执行如下命令:
radtest test testpwd localhost 1812 testing123
正常情况下,终端会输出如下信息:
5. 常见错误
1. Failed binding to auth address * port 1812 bound to serverdefault: Address already in use /usr/local/etc/raddb/sites-enabled/default[59]:Error binding to port for 0.0.0.0 port 1812
原因:已经有一个FreeRADIUS 实例在运行了
解决:systemctl stop freeradius.service
2. 安装mariadb-server 报错
Job for mariadb.service failed because thecontrol process exited with error code.
See "systemctl status mariadb.service"and "journalctl -xe" for details.
原因:查看/var/log/mysql/error.log 文件,提示:
[ERROR] Unknown/unsupported storage engine: InnoDB
解决:sudo apt remove --purgemysql-server mysql-client sudo rm -rf /var/run/mysql*
sudo apt autoremovesudo apt autoclean
3. 安装mariadb-server报错
Job for mariadb.service failed because atimeout was exceeded.
See "systemctl status mariadb.service" and"journalctl -xe" for details.
原因:系统之前安装了mysql,它会激活一个与mariadb不兼容的apparmor配置文件,apt remove –purge操作只能删除配置文件,但不会停用/卸载它。只有手动卸载它,mariadb才能不受apparmor的阻碍,正常工作。
解决:echo "/usr/sbin/mysqld{ }" >> /etc/apparmor.d/usr.sbin.mysqld
apparmor_parser -v -R/etc/apparmor.d/usr.sbin.mysqld
