Total Pageviews

Friday, 23 August 2013

用户认证系统freeradius与mysql的整合

下载安装freeradius
#wget ftp://ftp.freeradius.org/pub/fre … server-2.1.3.tar.gz
# tar zxvf freeradius-server-2.1.3.tar.gz
# cd freeradius-server-2.1.3 (2.1.3 版本才能够与myql 5.0.45的版本匹配,高于次版本不能够编译成功mysql模块)
./configure –prefix=/usr/local/freeradius
make
make install
vi /etc/profile
export PATH=$PATH:/usr/local/freeradius/sbin:/usr/local/freeradius/bin
source /etc/profile
vi /etc/ld.so.conf
/usr/local/freeradius/lib
ldconfig -v
cd /usr/local/freeradius
vi +76  etc/raddb/users取消注释
radiusd -Xs
radtest steve testing localhost 1812 testing123
出现Access-Accept字样说明成功。
测试成功后把/etc/raddb/users改回去。
四、freeradius和mysql的集成
# mysqladmin -u root -p create radius
mysql -u root -p radius < etc/raddb/sql/mysql/schema.sql
mysql -u root -p radius < etc/raddb/sql/mysql/nas.sql
mysql -u root -p radius < etc/raddb/sql/mysql/ippool.sql
mysql -u root -p radius < etc/raddb/sql/mysql/wimax.sql
mysql -u root -p
mysql> GRANT SELECT ON radius.* TO ‘radius’@'localhost’ IDENTIFIED BY ‘radpass’;
mysql> GRANT ALL on radius.radacct TO ‘radius’@'localhost’;
mysql> GRANT ALL on radius.radpostauth TO ‘radius’@'localhost’;
先加入一些组信息:
mysql> insert into radgroupreply (groupname,attribute,op,value) values (‘user’,'Auth-Type’,':=’,'Local’);
mysql> insert into radgroupreply (groupname,attribute,op,value) values (‘user’,'Service-Type’,'=’,'Framed-User’);
mysql> insert into radgroupreply (groupname,attribute,op,value) values (‘user’,'Framed-IP-Netmask’,'=’,’255.255.255.255′);
mysql> insert into radgroupreply (groupname,attribute,op,value) values (‘user’,'Framed-IP-Netmask’,':=’,’255.255.255.0′);
然后加入用户信息:
mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES (‘sqltest’, ‘Password’, ‘testpwd’);
然后把用户加到组里:
mysql> insert into radusergroup(username,groupname) values(‘sqltest’,'user’);
mysql> select * from radcheck where UserName=’sqltest’;
insert into radgroupreply (groupname,attribute,op,value) values (‘user’,'Simultaneous-Use’,':=’,’1′);
限制一个账户同时只能登陆一个,不做下面限制,可以同时登陆多个
INSERT INTO radgroupcheck (GroupName, Attribute, op, Value) values(“user”, “Simultaneous-Use”, “:=”, “1″);        限制登陆次数
insert into radcheck (username,attribute,op,value) values (‘test’,'User-Password’,':=’,'test’);  添加用户 
INSERT INTO radcheck (UserName, Attribute, Value) VALUES (‘sqltest’, ‘Password’, ‘testpwd’);    添加用户  两种方法都可以,效果一样    
insert into radusergroup (username,groupname) values (‘test’,'user’);            将用户添加到现在组里(user组)
注意:这里使用的freeradius是2.0版本的,1.0版本的数据库sql和2.0的位置不一样.
1.编辑/usr/local /freeradius/etc/raddb/sql.conf
mysql用户名,密码根据自己的情况填写
第88行取消readclients = yes 前的注释
2.编辑/usr/local/freeradius/etc/raddb/sites-enabled/default
第145 行files前加注释
第152 行取消sql前的注释
第308 行files 前加注释
第342 行取消sql前的注释
第374 行取消sql前的注释
第395 行取消sql前的注释
3.编辑/usr/local/freeradius/etc/raddb/sites-enabled/inner-tunnel
第111 行files前加注释
第118行取消sql前的注释
第242行取消sql前的注释
第264行取消sql前的注释
###总之就是去掉files模块,开启sql模块
4.编辑/usr/local/freeradius/etc/raddb/eap.conf
第30行default_eap_type = md5改为default_eap_type = peap
5.测试
# radtest sqltest testpwd localhost 1812 testing123
出现Access-Accept字样说明成功。
参考网址:http://linux.chinaunix.net/bbs/thread-1061085-1-2.html
到目前为止:整合了freeradius+mysql.

测 试:
在数据库里添加一个用户
INSERT INTO radcheck (UserName, Attribute, Value) VALUES (‘user1′, ‘Password’, ’123456′);
在 XP系统上用user1  123456  用户登陆。
现在服务器上测试
[root@localhost ~]# radtest user1 123456 localhost 1812 testing123
Sending Access-Request of id 93 to 127.0.0.1 port 1812
        User-Name = “user1″
        User-Password = “123456″
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=93, length=20
显示如上说明成功
备注:
本文参考了网上几篇文章,亲手安装测试总结而成.可以说是目前网上能找到的比较全的安装使用文档.
参 考文档:
http://linux.chinaunix.net/techd … 06/23/1119944.shtml
http://linux.chinaunix.net/bbs/thread-1061085-1-2.html
对radius库的一些说明
radius 库有10张表
                                                     
         nas                                                                 0          MyISAM           latin1_swedish_ci             1.0 KB
    -
         radacct                                                                 4          MyISAM           latin1_swedish_ci             10.6 KB
    -
         radcheck                                                                 2          MyISAM           latin1_swedish_ci             3.1 KB
    -
         radgroupcheck                                                                 0          MyISAM           latin1_swedish_ci             1.0 KB
    -
         radgroupreply                                                                 4          MyISAM           latin1_swedish_ci             3.2 KB
    -
         radippool                                                                 0          MyISAM           latin1_swedish_ci             1.0 KB
    -
         radpostauth                                                                 14          MyISAM           latin1_swedish_ci             2.6 KB
    -
         radreply                                                                 0          MyISAM           latin1_swedish_ci             1.0 KB
    -
         radusergroup                                                                 1          MyISAM           latin1_swedish_ci             2.0 KB
    -
         wimax                                                                 0          MyISAM           latin1_swedish_ci             1.0 KB
    -
其 中重要的有
radacct   用来用户登陆后,详细信息,包括登陆和下线时间,上传和下载字节数
radcheck   用来记录用户账户、密码
radpostauth  记录所有用户每次登陆的开始时间及状态.
-------------------------------------------------------------------------------------------------------------------

Freeradius+OpenLDAP+PEAP认证


http://www.nabble.com 讨论列表也给了我很大的帮助,很多关于Freeradius和OpenLDAP保存数据的概念都在此讨论区中弄明白的。对于文中所涉及的radius概念或是一些名词请借助google帮助学习,文中没有更详细的解释。

关于:
公司原用认证服务器为Soliton Net'Attest EPS,知道为什么EPS证书一直不能正确导入到VISTA中,这点是从厂商方面得到的证明,不知道是什么特别的原因。再加上EPS更换产品的空白服务 器,让我感觉有些郁闷,所以公司决定更换现在公司的认证系统,包括DHCP服务器。
这是到公司后第二个自己独立完成的比较完整的公司网络改造过程,记录一下方便自己以后查阅,也希望能为准备用Freeradius认证和OpenLDAP的朋友提供一些有用的信息。
介于网络上流行的一些关于Freeradius+OpenLDAP+PEAP认证的一些资料都比较旧,所以在测试的时候Freeradius采用最新的 Freeradius 2.0.5版本。由于2.0以前的版本配置文件格式和文件出入比较大,所以使用Freeradius2.0以前版本的朋友在配置的时候需要特别注意。 CentOS下用yum安装后为1.1.7版。

目的:
Freeradius在公司使用不是做为WLAN接认证,而是做为LAN接入认证用。先要通过认证后才能通论DHCP获得IP,而且会因为Freeradius返回的信息为Client划分VLAN ID以及访问控制。

感谢:
首先是老婆对我生活上的细心照顾,才能让我有更多的时间学习和测试来完成这份文档。Freeradius的测试大部分在下班之后才能进行,所以每天晚上回 家都很晚,老婆也一直等到我回家后才吃晚饭,另外要感谢远在国内的父母,生活在异乡的我们正因为有你们的牵挂,我们会更加努力。

服务器环境:
CentOS 5.1 Linux blackduck 2.6.18-53.el5
#安装时不含任何安装包
yum –y update
#全部更新升级
openssl.i686 0.9.8b-10.el5
openssl-devel.i386 0.9.8b-10.el5
openldap.i386 2.3.27-8.el5_2.4
openldap-clients.i386 2.3.27-8.el5_2.4
openldap-devel.i386 2.3.27-8.el5_2.4
openldap-servers.i386 2.3.27-8.el5_2.4

对于OpenLDAP的配置可以参看我以前的文档《Samba+LDAP+LAM管理工具应用》一文件中OpenLDAP的配置

Freeradius 安装:
下载源码包
#wget ftp://ftp.freeradius.org/pub/fre ... erver-2.0.5.tar.bz2
#tar –jxvf freeradius-server-2.0.5.tar.bz2
#cd freeradius-server-2.0.5
#./configure --with-openssl --with-openssl-includes=/usr/include/openssl/ \
--with-openssl-libraries=/usr/lib/openssl/
#configure文件中说明配置支持OpenSSL但是装完后运行EAP支持的时候会报错。说手动没有支持OpenSSL,所以此处给出OpenSSL的路径。
#make && make install

安装后可以直接执行进行测试
#radiusd –Xf   (2.0以前版本为-AXf  X为Debug模式 f为不运行在deamon状态下 )

安装后可以通过radtest测试
#radtest admin password localhost 0 testing123
返回信息如下说明测试成功,此步很重要,安装后第一步应该测试一下Freeradius是不是可以正常运行,再进行下面的配置。
Sending Access-Request of id 85 to 127.0.0.1 port 1812
        User-Name = "admin"
        User-Password = "password"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=85, length=20


测试通过后配置Freeradius,配置文件在/usr/local/etc/raddb下,2.0之后的配置对于对认证的支持方式采用模块化,所以修改起来也很方便。配置文件忽略注释项

主配置文件radiusd.conf:
#vi radiusd.conf
此文件只是把log选项中的认证log信息打开了其他部分没有做任何修改
log {
        destination = files
file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = no
        auth = yes
        auth_badpass = no
        auth_goodpass = no
}

2.0以后的版本,所以有的认证模块都保存在/usr/local/etc/raddb/modules目录下
用户认证配置文件

  ldap认证模块修改:
#vi ldap
比较重要的为前四行,设置你LDAP服务器的配置,如何过虑User-Name的字段,以前你LDAP的搜索域,如果你的LDAP需要权限控制才能访问,请修改配置文件中被注释的两行。
ldap {
        server = "localhost"
        #identity = "cn=admin,o=My Org,c=UA"
        #password = mypass
        basedn = "dc=yepn,dc=net"
        filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
        base_filter = "(objectclass=radiusprofile)"
        ldap_connections_number = 15
        timeout = 4
        timelimit = 3
        net_timeout = 1
        tls {
               start_tls = no
        }
        dictionary_mapping = ${confdir}/ldap.attrmap
}

红色文件比较重要,这个表示在检索LDAP时查找的字段和返回的信息值,对于Client的网络配置部分都在这文件中表明,后文会详细说明。

Freeradius字典文件修改:
通过LDAP认证时的返回值全部都要在Freeradius Dictionary中说明,否侧不能被Freeradius识别。
Dictionary配置文件保存在/usr/local/etc/raddb目录下
#cat dictionary |grep -v “#”
$INCLUDE        /usr/local/share/freeradius/dictionary

Dictionary文件分部保存在/usr/local/share/freeradius/文件中
#cat dictionary |grep -v “#”
$INCLUDE dictionary.compat
$INCLUDE dictionary.rfc2865
$INCLUDE dictionary.rfc2866
$INCLUDE dictionary.rfc2867
$INCLUDE dictionary.rfc2868
$INCLUDE dictionary.rfc2869
$INCLUDE dictionary.rfc3162
$INCLUDE dictionary.rfc3576
$INCLUDE dictionary.rfc3580
以下略

我的NAS用的是Extreme network summit X450交换机,需要修改的字典文件为dictionary.extreme,如果你使用的是其他NAS可以修改相应的字典文件,或是自己创建一个字典文件也可以。
加入下面两行定义
ATTRIBUTE       Extreme-Netlogin-Extended-Vlan          211     string
ATTRIBUTE       Extreme-Security-Profile                212     string

字典修改后,修改ldap.attrmap让LDAP可以返回extreme认证用的字段。配置文件保存在/usr/local/etc/raddb/下

添加以下属性
replyItem   Tunnel-Type                      radiusTunnelType
replyItem   Tunnel-Medium-Type              radiusTunnelMediumType
replyItem   Tunnel-Private-Group-Id           radiusTunnelPrivateGroupId
replyItem   Extreme-Security-Profile           radiusExtremeSecurityProfile
replyItem   Extreme-Netlogin-Vlan-Tag        radiusExtremeNetloginVlanTag
replyItem   Extreme-Netlogin-Extended-Vlan  radiusExtremeNetloginExtendedVlan
另外需要把NT-Password字段修改如下,如果你希望radius用户使用samba的密码,可以不用修改这部分,因为我希望密码分开管理,而且网络认证的密码不会发给用户,所以我用了其他的字段做为Freeradius的认证密码。

checkItem       NT-Password                     radiusUserPassword

这部分再次说明一下,如果是用Winxp客户端认证的话,一定要用MD4(WinNT)方式加密后再放到radiusUserPassword中

另外Windows通过Freeradius认证时,密码通过MD4(WinNT)的方式加密,所以需要储存在LDAP中的 radiusUserPassword也通过MD4的加密方式保存,这样才能通过认证。另外,通过ntradping验证工具是不能验证MD4是否成功的 需要,通过WinXP客户端进行验证。

配置可使用的认证方式:
修改认证方式配置文件,目录为/usr/local/etc/raddb/sites-available
两个比较重要的文件
default    #默认配置文件
inner-tunnel   #认证虚拟机配置文件,这个文件我没做仔细研究,如果有了解的朋友希望能交流一下

#vi default
用户认证部分只保留了ldap和eap部分,其他的认证用不到我注释掉了,如果你需要其他的认证去掉相应的注释部分。
authorize {
        ldap
        eap
}

验证部分保留了下面的选项,支持MS-CHAP验证方式,LDAP验证和EAP验证
authenticate {
        Auth-Type MS-CHAP {
                mschap
        }
        ldap
        eap
}
authorize    配置用户信息通过那种方式获得,LDAP服务器、Mysql服务器、Unix系统帐号还是files文件。
authenticate 配置验证方式,密码的格式等等
除上述部分外未作任何修改。

配置eap认证方式:
修改内容如下
#cat eap.conf|grep -v “#”
eap {
                default_eap_type = peap
                timer_expire     = 60
                ignore_unknown_eap_types = no
                tls {
                        certdir = ${confdir}/certs
                        cadir = ${confdir}/certs
                        private_key_password = cyberstep
                        private_key_file = ${certdir}/server.pem
                        certificate_file = ${certdir}/server.pem
                        CA_file = ${cadir}/ca.pem
                        dh_file = ${certdir}/dh
                        random_file = ${certdir}/random
                        fragment_size = 1024
                        include_length = yes
                        make_cert_command = "${certdir}/bootstrap"
                }
                peap {
                        default_eap_type = mschapv2
                }
                mschapv2 {
                }
        }
主要修改部分为交eap的默认认证方式改为peap,原为MD5,另外添加对tls的支持,希望客户端和Freeradius通信时采用证书加密。另外将peap默认认证方式改为mschapv2。

Freeradius生成证书
Freeradius2.0.5含有证书制作脚本,只要OpenSSL的路径正确,Freeradius可以自己制作证书,不过需要修改一下相关的信息, 文件在/usr/local/etc/raddb/certs目录下,需要修改的文件为ca.cnf server.cnf client.cnf
#more ca.cnf
default_days            = 3650
default_crl_days        = 3650
[certificate_authority]
countryName             = JP
stateOrProvinceName     = Tokyo
localityName            = Shibuya
organizationName        = Yepn Inc.
emailAddress            = zhou@yepn.net
commonName              = "yepn Certificate Authority"

其中比较重要的是这几部分,days问题你也希望你的证书只能用一个月,或是一年的时间,相信网管都不喜欢这样,所以我把时间设的长一点改成了10年。下 面的certificate_authority是你证书的相关信息这个是方便查询证书的出处,不清楚的地方请找OpenSSL的资料看一下,另外在 cert文件夹中有Makefile文件,我也小修改了一下,不知道为什么前面对于ca.cnf日期的修改在cn.cnf中不生效,所以我只好把命令行那 边加上一个-days 3650
修改后如下
#more Makefile
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.pem -config ./ca.cnf

因为OpenSSL自己也不是特别明白,所以没办法讲的更细了,希望明白的朋友指点一下。

这样生成后的ca.der证书可以导入到Winxp中。

到此为止Freeradius的配置就完成了,可以通过radiusd –Xf 测试一下radius的配置是否正确。可以通过radtest命令来验证一下Freeradius能验证。


OpenLDAP配置:
因为LDAP中加入了对radius属性的支持,所以需要修改OpenLDAP配置文件。
复制raiuds.schema文件到openLDAP的schema目录下
#cp /usr/local/share/doc/freeradius/examples/ openldap.schema /etc/openldap/schema/radius.schema

因为上面刚刚新加的几个attribute的值在这个标准的radius.schema文件中没有,所以需要自己定义几个新的attribute的值
添加内容如下:
attributetype
( 1.3.6.1.4.1.3317.4.3.1.61
NAME ‘radiusExtremeSecurityProfile’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
( 1.3.6.1.4.1.3317.4.3.1.62
NAME ‘radiusExtremeNetloginVlanTag’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
( 1.3.6.1.4.1.3317.4.3.1.63
NAME ‘radiusExtremeNetloginExtendedVlan’
DESC ‘’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
)
attributetype
   ( 1.3.6.1.4.1.3317.4.3.1.66
      NAME 'radiusUserPassword'
      DESC 'radiusUserPassword'
      SUP userPassword
   )
OpenLDAP schema修改:
对于OpenLDAP schema的格式问题不在这里作更多说明,有很多文章解决如果编写自己的schema文件请参阅。只在这里说明一点对于 radiusUserPassword部分的定义,我让radiusUserPassword继承userPassword的特性,如果需要修改的朋友可 以自己改成其他属性。
最后,别忘记在你的objectclass里添加刚刚加的属性

objectclass
   ( 1.3.6.1.4.1.3317.4.3.2.1
      NAME 'radiusprofile'
      SUP top AUXILIARY
      DESC ''
      MUST cn
      MAY ( radiusArapFeatures $ radiusArapSecurity $ radiusArapZoneAccess $
            radiusAuthType $ radiusCallbackId $ radiusCallbackNumber $
            radiusCalledStationId $ radiusCallingStationId $ radiusClass $
            radiusClientIPAddress $ radiusFilterId $ radiusFramedAppleTalkLink $
            radiusFramedAppleTalkNetwork $ radiusFramedAppleTalkZone $
            radiusFramedCompression $ radiusFramedIPAddress $
            radiusFramedIPNetmask $ radiusFramedIPXNetwork $
            radiusFramedMTU $ radiusFramedProtocol $
            radiusCheckItem $ radiusReplyItem $
            radiusFramedRoute $ radiusFramedRouting $ radiusIdleTimeout $
            radiusGroupName $ radiusHint $ radiusHuntgroupName $
            radiusLoginIPHost $ radiusLoginLATGroup $ radiusLoginLATNode $
            radiusLoginLATPort $ radiusLoginLATService $ radiusLoginService $
            radiusLoginTCPPort $ radiusLoginTime $ radiusPasswordRetry $
            radiusPortLimit $ radiusPrompt $ radiusProxyToRealm $
            radiusRealm $ radiusReplicateToRealm $ radiusServiceType $
            radiusSessionTimeout $ radiusStripUserName $
            radiusTerminationAction $ radiusTunnelClientEndpoint $
radiusProfileDn $
            radiusSimultaneousUse $ radiusTunnelAssignmentId $
            radiusTunnelMediumType $ radiusTunnelPassword $
radiusTunnelPreference $
            radiusTunnelPrivateGroupId $ radiusTunnelServerEndpoint $
            radiusTunnelType $ radiusUserCategory $ radiusVSA $
            radiusExpiration $ dialupAccess $ radiusNASIpAddress $
            radiusReplyMessage $ radiusExtremeSecurityProfile $
            radiusExtremeNetloginVlanTag $ radiusExtremeNetloginExtendedVlan $
            radiusUserPassword)
   )

看似很复杂,其实schema的说明很简单,多找些资料看看会明白很多,我这里给出了全部的objectclass的值。

radius.schema文件修改后,别忘了修改slapd.conf配置文件加载radius.schema文件,让OpenLDAP能识别这些新属性。

加入以下内容
include /etc/openldap/schema/radius.schema

重启OpenLDAP
#service ldap restart

到这里OpenLDAP的配置就结束了,可以说Freeradius+OpenLDAP+PEAP认证的配置已经完成了一大部分了,最后就是OpenLDAP数据的添加。

对于批量的OpenLDAP数据库修改不放在这里,需要的朋友请到我的Wiki上查找,可以实现大批量的LDAP数据修改。

一个radius用户的例子:
#cat zhou.ldif
dn: uid=zhou,ou=Users,dc=yepn,dc=net
add: objectClass
objectClass: radiusprofile
-
add: radiusSessionTimeout
radiusSessionTimeout: 43200
-
add: radiusTunnelType
radiusTunnelType: VLAN
-
add: radiusTunnelMediumType
radiusTunnelMediumType: IEEE-802
-
add: radiusTunnelPrivateGroupId
radiusTunnelPrivateGroupId: 160
-
add: radiusTerminationAction
radiusTerminationAction: RADIUS-Request
-
add: radiusExtremeSecurityProfile
-
add: radiusUserPassword
radiusUserPassword:  178DEACBFD994B3A6A67F49F420DB96A

格式要与我上面的相同,如果不一样的话不能通过ldapmodify方式导入

#ldapmodify –x –D “cn=root,dc=yepn,dc=net” –w password –f zhou.ldif

把修改后的数据导入到LDAP中
#ldapsearch –x uid=zhou 
我的LDAP支持匿名查询

以下为完整的zhou用户信息
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: uid=zhou
# requesting: ALL
#

# zhou, Users, yepn,net
dn: uid=zhou,ou=Users,dc=yepn,dc=com
sn: zhou
givenName: zhou
gecos: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
displayName: zhou
sambaSID: S-1-5-21-1153389650-4125104348-4025214935-3060
sambaPrimaryGroupSID: S-1-5-21-1153389650-4125104348-4025214935-2001
sambaLogonScript: logon.bat
sambaProfilePath: \\PDC-SRV\profiles\zhou
sambaHomePath: \\PDC-SRV\zhou
sambaHomeDrive: H:
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
00000000
mail: zhou@yepn.com
shadowMax: 45
uid: zhou
cn: zhou
homeDirectory: /home/zhou
uidNumber: 1030
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: radiusprofile
gidNumber: 500
shadowLastChange: 14027
loginShell: /bin/bash
radiusSessionTimeout: 43200
radiusTunnelType: VLAN
radiusTunnelMediumType: IEEE-802
radiusTerminationAction: RADIUS-Request
sambaDomainName: YEPN
radiusTunnelPrivateGroupId: 310
sambaAcctFlags: [XU         ]
sambaLMPassword: 44EFCE164AB921CAAAD3B435B51404EE
sambaNTPassword: 32ED87BDB5FDC5E9CBA88547376818D4
sambaPwdLastSet: 1216031836
radiusUserPassword: 3FA45A060BD2693AE4C05B601D05CA0C
userPassword:: e0NSWVBUfSQxJGNFb0N5Z2JqJHpnSXdkUmpaUzl1MkdVR0hsZ2s3YTE=

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

需要说明的一点,关于radiusUserPassword密码为000000,通过mkntpwd加密成MD4(WinNT)格式的密码放到LDAP中,修改密码时也不能直接修改,需要通过mkntpwd生成新密码后再添加到LDAP中。
mkntpwd可以在SF.net的网站上下载
#wget http://nchc.dl.sourceforge.net/s ... tils/mkntpwd.tar.gz
#mkdir mkntpwd
#tar –zxvf mkntpwd.tar.gz –C mkntpwd
#cd mkntpwd
#make
#./mkntpwd –N password
8846F7EAEE8FB117AD06BDD830B7586C

生成密码MD4格式密码

Summit X450的配置
#configure radius netlogin primary server 172.31.7.7 1812 client-ip 172.16.0.1 vr VR-Default
#configure radius netlogin primary shared-secret testing123

Summit交换机因为我也了解不多,所以没办法做更多的说明。

客户端配置:
修改WinXP客户端配置,网络属性中如下图修改。我的系统是日文的所以找来了一份英文的图片,按下图修改就OK了。

这里贴图比较麻烦~需要的朋友请下载我做好的PDF文档

这里没有使用CA证书,先测试一下能不能通过认证。

需要修改Select Authentication Method的Configure选项,把Automatically use my Windows logon name and password这里去掉。