把VPN用戶認證轉移到外部radius服務器上。這么做的好處有:
1、安全性高,不需要登陸防火墻就可以完成用戶管理;
2、管理大量用戶方便、可查詢、添加、刪除
3、可記錄VPN用戶的登錄時間,傳送字節數,從而對用戶進行統計;
4、可在數據庫中添加字段,記錄VPN用戶的相應中文名及其他信息。
5、節省防火墻的有限內存
radius服務器除了可以對VPN用戶進行認證外,還可以對FTP、telnet等用戶認證,各位有興趣可以研究一下。
簡單網絡結構: 防火墻-3層交換機-linux主機
防火墻內網接口IP:192.168.80.2 ,經過一個3層交換機,linux主機連接在內網ip是:192.168.30.130
一、安裝linux服務器
版本:RHAS3 U3
安裝時選擇定制安裝,“服務”中選上“SQL”關于mysql的部分,“開發工具”全選上,其他任選。
二、安裝freeradius服務:
版本:freeradius-1.1.1
下載:
1、安裝
freeradius需要openssl 庫,所以如果系統里沒安裝的話,請先安裝
# tar zxvf freeradius-1.1.1.tar.gz # cd freeradius-1.1.1 # ./configure # make # make install |
默認裝完后freeradius各相關目錄:
配置文件:/usr/local/etc/raddb
執行文件:/sbin/radiusd
dictionary:/usr/local/share/freeradius/dictionary.
在mysql中導入radius表所需sql語句目錄:/usr/local/share/doc/freeradius/examples/mysql.sql)
2、配置
1)修改 clients.conf
# vi /usr/local/etc/raddb/clients.conf
在最后增加如下幾行:
client 127.0.0.1 { ;增加本地帳戶,測試radius是否工作正常
secret = 123456 ;本地連接radius的密碼
shortname = localhost
nastype = other
}
client 192.168.80.2 { ;增加防火墻連接radius的接口地址
secret = mymingya ;防火墻連接radius的密碼
shortname = sec100f
nastype = other
}
|
2)修改naslist
# vi /usr/local/etc/raddb/naslist
在最后加入一行:
192.168.80.2 sec100f other ;加入防火墻nas
3)編輯users
# vi /usr/local/etc/raddb/users
在文本最后加入用戶rhh: (這個用戶是保存在文本文件里的,做測試用)
rhh Auth-Type:=local,User-Password==123456 Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 10.0.0.2, Framed-IP-Netmask = 255.255.255.0 |
4)啟動radiusd,測試radiusd服務:
# /sbin/radiusd –X & (加上&在后臺運行,便于下面測試命令執行)
# /sbin/radtest rhh 123456 localhost 0 123456
如果有類似 Access-Accept的字樣出現,則表示radius開始工作了。
三、安裝配置mysql數據庫
版本:mysql-server-3.23.58.1
1、安裝
RHA3U3默認不安裝mysql-server,而且找遍disk1-4也沒有找到這個安裝包,只能在紅旗4.1安裝盤的disk2中找到mysql-server-3.23.58.1.i386.rpm
#rpm –ivh mysql-server-3.23.58.1.i386.rpm
自動創建mysqld服務。
啟動:#service mysqld start
停止:#service mysqld stop
重啟:#service mysqld restart
2、配置:
啟動mysql;更改mysql的root用戶密碼為“tdrwx”;
#service mysqld start
更改密碼的3種方法:
a、命令行更改:#mysqladmin –u root –password “tdrwx”
如果root已經有密碼了:#mysqladmin –u root –p password “tdrwx”
b、用set password修改口令:
#mysql –u root –p
mysql> set password for root@localhost=password(tdrwxt);
c、直接修改user表的root用戶口令:
#mysql –u root –p mysql> use mysql; mysql> update user set password=password(tdrwx) where user=root; mysql> flush privileges; |
| 共2頁: 1 [2] 下一頁 | ||
|
