最后，打開防火墻是必要的。缺省Radius認(rèn)證服務(wù)器使用UDP 1812端口認(rèn)證，UDP1813端口計(jì)費(fèi)，應(yīng)該開放UDP包的進(jìn)出。

● CISCO路由器的設(shè)置

CISCO路由器是經(jīng)典的RADIUS客戶端，在VPDN撥號(hào)系統(tǒng)中LNS作為二次認(rèn)證客戶端。在clients.conf中定義客戶端IP地址和共享密鑰。對單網(wǎng)口的低級(jí)路由器來說，客戶端的IP地址就是網(wǎng)口IP。對于中高級(jí)路由器來說，路由器缺省使用第一個(gè)網(wǎng)口IP作為客戶端源IP，如果是不可路由的內(nèi)網(wǎng)地址，則客戶端無法收到認(rèn)證應(yīng)答包。要指定IP，使用如下語句:

ip radius source-interface FastEthernet0/1

其中FastEthernet0/1的IP指定作為認(rèn)證客戶端的源地址。一般做法是在VPDN-GROUP定義中使用source-ip 語句指定IP，不過重啟路由器后必須重新設(shè)置RADIUS服務(wù)器才能生效。

另一個(gè)關(guān)于CISCO的設(shè)置是使用多個(gè)認(rèn)證服務(wù)器。中高檔路由器通常可支持不同的撥號(hào)接入。不同撥號(hào)接入使用不同的認(rèn)證服務(wù)器。CISCO中使用不同的server-group實(shí)現(xiàn)。

aaa authorization network aaa-radius1 start-stop group radius1

aaa authorization network aaa-radius2 start-stop group radius2

也可根據(jù)需要定義authentication/accounting使用的server-group。

● 用戶物理綁定的實(shí)現(xiàn)

實(shí)現(xiàn)用戶物理綁定，特定用戶只能在特定的電話號(hào)碼或端口號(hào)上發(fā)起連接才能認(rèn)證成功，可以大大提高認(rèn)證安全性。在窄帶系統(tǒng)中，LAC在撥入接入服務(wù)器LAC進(jìn)行一次認(rèn)證時(shí)，就向RADIUS服務(wù)器提供主叫號(hào)碼，二次認(rèn)證時(shí)該屬性就被提交給RADIUS服務(wù)器。如電話號(hào)碼為1234567，用戶撥號(hào)，請求中包含屬性Calling-Station-Id = "1234567"。為了實(shí)現(xiàn)主叫號(hào)碼綁定，首先在radiusd.conf配置文件中起用對主叫號(hào)碼的檢查，即checkval {}中的內(nèi)容。在使用users文件認(rèn)證時(shí)，在用戶名定義的同一行內(nèi)加入Calling-Station-Id = "1234567"即可。使用MySQL認(rèn)證時(shí)，在radcheck表中加入“Calling-Station-Id，”+=”,”1234567””這條記錄即可。

對于ADSL寬帶來說，不能使用電話號(hào)碼綁定。不同寬帶設(shè)備可提供不同的綁定方式。其實(shí)現(xiàn)要點(diǎn)也是必須在發(fā)出認(rèn)證請求中包含其物理端口或其他物理信息，Radius服務(wù)器在字典定義該屬性，在users文件或MySQL中加入約束值即可。

總結(jié)

以上是生活随笔為你收集整理的redius mysql_采用Linux系统的Freeradius+MySQL实现RADIUS认证服务器的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。