知

AC配合freeradius与第三方AAA实现eduroam功能的配置案例

2017-07-25 发表

0关注
2收藏 3432浏览

粉丝：0人关注：1人

部分高校及科研院所会加入无线全球漫游联盟eduroam，无线名称eduroam。成员单位需要提供eduroam的无线服务，成员单位的账号在其它成员单位也可以连接无线网络。本案例附加要求：本校账号不能在本校登录，本校的账号由城市热点提供，需要freeradius做本地账号的radius代理服务器，本案例描述AC配置，freeradius配置，城市热点配置由城市热点完成（将freeradius添加为radius client）。

AC+FITAP结构提供WPA2-企业的无线认证SSID：eduroam。无线AC做为NAS认证设备，AC上配置指定freeradius为radius服务器，freeradius做为radius代理将radius报文根据域名如果是hy.***.***将转发给本地城市热点做认证，如果是其它域名转发给北大radius代理服务器FLR进行转发到相应的代理服务器，最终到达用户母校的radius服务器做验证。

AC配置（本案例使用的无线AC为V5产品，V7产品请参考 V7配置手册）：

配置基本的WPA2-RSN的认证：

wlan service-template 7 crypto

ssid eduroam

bind WLAN-ESS 6

cipher-suite tkip

cipher-suite ccmp

security-ie rsn

security-ie wpa

service-template enable

interface WLAN-ESS6

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 2012 untagged

port hybrid pvid vlan 2012

port-security port-mode userlogin-secure-ext

port-security tx-key-type 11key

undo dot1x handshake

dot1x mandatory-domain freeradius

undo dot1x multicast-trigger

#指定freeradius为radius服务器

radius scheme freeradius

primary authentication x.x.x.237

primary accounting x.x.x.237

key authentication cipher $c$3$RoOhZruVGJkGl1jFMu6jTKYwV5

key accounting cipher $c$3$W53uDOB2+YjLvZqE7vAweKwha

user-name-format without-domain

nas-ip x.x.x.2

domain freeradius

authentication lan-access radius-scheme freeradius

authorization lan-access radius-scheme freeradius

accounting lan-access radius-scheme freeradius

access-limit disable

state active

idle-cut disable

self-service-url disable

freeradius配置（文件的相对路径为安装目录）：

修改client.conf文件：

配置AC为radius的client

client AC_6108_M1 { //给AC起个名字

ipaddr = x.x.1.2 //AC的IP地址

proto = *

secret = h3c //radius对接密码与AC侧要一致

shortname = AC6108M1 //给这个AC起个别名，后面要用

require_message_authenticator = no

}

client AC_6108_S1 {

ipaddr = x.x.2.2

proto = *

secret = h3c

shortname = AC6108S1

require_message_authenticator = no

}

client AC_6108_M2 {

ipaddr = x.x.3.2

proto = *

secret = h3c

shortname = AC6108M2

require_message_authenticator = no

}

client AC_6108_S2 {

ipaddr = x.x.4.2

proto = *

secret = h3c

shortname = AC6108S2

require_message_authenticator = no

}

配置北大radius服务器FLR也做为client，本部分为固定配置由联盟管理员提供。

client ***.*** {

ipaddr = xxx.xxx.129.2

proto = *

secret = xxxxxxxxxxxxx

require_message_authenticator = no

}

client backup.***.*** {

ipaddr = xxx.xxx.129.5

proto = *

secret = xxxxxxxxxxx

require_message_authenticator = no

}

修改proxy.conf文件:

配置北大radius服务器为freeradius的radius服务器，这部分也由联盟管理员提供。

home_server ***.*** {

type = auth

ipaddr = xxx.xxx.129.2

port = 1812

secret = xxxxxxxxxx

response_window = 20

zombie_period = 40

status_check = status-server

check_interval = 120

num_answers_to_alive = 3

max_outstanding = 65536

}

home_server backup.***.*** { //备机

type = auth

ipaddr = xxx.xxx.129.5

port = 1812

secret = xxxxxxxxxxxxx

response_window = 20

zombie_period = 40

status_check = status-server

check_interval = 120

num_answers_to_alive = 3

max_outstanding = 65536

}

home_server_pool ***.***-Failover { //将主备要做个服务器池

type = fail-over

home_server = ***.***

home_server = backup.***.***

}

配置城市热点为本校的radius服务器用来最终验证账号

home_server dr.hy.***.*** { //给服务器取个名字

type = auth

ipaddr = "x.x.29.2" //城市热点radius服务器

port = 1812

secret = xxxxxxxxx //对接密码

}

home_server_pool hy.***.***-Failover { //做个服务器池，添加创建的服务器，这只有一台

type = fail-over

home_server = dr.hy.***.***

}

配置不同的域名转不同的服务器处理

realm hy.***.*** { //配置域名调用的服务器池，必须与报给联盟的域名一致

auth_pool = hy.***.***-Failover //调用本地服务器池

nostrip //转发radius报文里带域名

}

realm DEFAULT { //默认域名转发到FLR

auth_pool = ***.***-Failover

nostrip

}

(可选)城市热点可能要求配置NAS-IP-ADDRESS字段为freeradius的IP

修改文件sites-available/default

pre-proxy { //修改代理服务器替换某些字段

files //将files前的#去掉，在FILES中定义要替换的内容

# attr_filter.pre-proxy

# pre_proxy_log

}

修改文件preproxy_users

#DEFAULT Realm == "extisp"

# NAS-IP-Address := 10.1.2.3

//增加两行配置针域名hy.***.***修改代理radius报文中的NASIP为本机IP

DEFAULT Realm == "hy.***.***"

NAS-IP-Address := x.x.x.237

满足附加条件：本校账号不能访问本校的eduroam.

修改文件sites-available/default

在authorize中增加下面红色条件语句

authorize {

if(Realm == "NULL" || (Realm == "hy.***.***" && "%{clint:shortname}" == "AC6108M1") || (Realm == "hy.***.***" && "%{client:shortname}" == "AC6108S1") || (Realm == "hy.***.***" && "%{client:shortname}" == "AC6108M2") || (Realm == "hy.***.***" && "%{client:shortname}" == "AC6108S2")) {

reject

}

//条件语句的意思解释为：如果满足if的条件拒绝登录，条件是域名为空,或者域名为hy.***.***时认证设备的别名为AC6108M1/ AC6108S1/ AC6108M2/ AC6108S2(即本校的AC)。

Freeradius的安装可以在线安装比较简单，这里不讲解。

启动freeradius: radiusd –X

如果忘记安装目录在启动时会提示

[root@localhost radius]# radiusd -X

radiusd: FreeRADIUS Version 2.2.6, for host x86_64-redhat-linux-gnu, built on Sep 22 2015 at 15:27:25

There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A

PARTICULAR PURPOSE.

You may redistribute copies of FreeRADIUS under the terms of the

GNU General Public License.

For more information about these matters, see the file named COPYRIGHT.

Starting - reading configuration files ...

including configuration file /etc/raddb/radiusd.conf //红色为安装目录

including configuration file /etc/raddb/proxy.conf

including configuration file /etc/raddb/clients.conf

城市热点AAA需要支持802.1X PEAP MS-CHAPv2的认证，部分版本不支持的话需要升级热点系统内核。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-12对此案例进行了修订

1 个评论

zhiliao_58588

zhiliao_58588 知了小白

粉丝：0人关注：0人

我也做了一所高校。v7的通用配置为：

dot1x authentication-method eap

wlan service-template 20

ssid eduroam

akm mode dot1x

ipher-suite ccmp

cipher-suite tkip

security-ie rsn

security-ie wpa

client-security authentication-mode dot1x

dot1x domain eduroam

service-template enable #

radius scheme eduroam

primary authentication 202.200.106.110 key simple admin@123

primary accounting 202.200.106.110 key simple admin@123

timer realtime-accounting 0

domain eduroam

authentication lan-access radius-scheme eduroam

authorization lan-access radius-scheme eduroam

accounting lan-access radius-scheme eduroam

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

AC配合freeradius与第三方AAA实现eduroam功能的配置案例

编辑评论

提出建议