FreeRadius入门（翻译）

原文地址

前言

本文介绍如何执行FreeRADIUS的初始配置。 它假设用户具备Unix系统管理的基本知识。 不需要事先了解 radius。

服务器安装

如果可以，我们建议使用操作系统的包管理系统（如 yum、apt 等）执行安装操作。 你的操作系统提供的版本可能已过期，但可以做到“开箱即用”。

如果你希望手动安装，这个Wiki页面包含多平台安装的详细说明。否则，我们假设你可以通过像yum install freeradius或apt-get install freeradius的方式安装 radius 服务端。

请注意，在基于Debian的系统中，服务器守护程序称为freeradius而不是radiusd，配置文件也位于/etc/freeradius 而不是 /etc/raddb/ 。 我们在本指南中使用radiusd和/etc/raddb/ ，并相信Debian管理员可以转换到他们的系统。

一些背景

一旦服务器已经安装，首先要做的就是尽可能少地更改 。默认配置设计为工作在任意场景，并且执行每一种身份验证方法。

不要编辑默认配置文件，直到你了解它们的工作。 这意味着你需要阅读配置文件注释中包含的文档。

许多常见配置在配置文件中会以建议或示例的方式提供。 许多常见的问题会随着建议的解决方案在配置文件中讨论。我们建议用户阅读配置文件，在很大程度上是因为大多数配置项仅记录在配置文件中的注释中。

我们建议读取服务器的调试输出 。 虽然它包含很多文本，但它通常包含错误消息诸如它描述了什么地方出错了，以及如何解决它。

启动服务器

当服务器安装在新机器上时，第一步是在调试模式下启动它，如root ：

$ radiusd -X

此步骤演示服务端是否已正确安装和配置。 如果输出为 Ready to process requests，那么说明一切正常。否则，典型错误包括 Address already in use ，这意味着有另一个 radius 服务已经运行。 在调试模式下运行服务器之前，你需要找到并停止它。

初始测试

测试认证很简单。 编辑users文件（在v3中，这已被移动到raddb/mods-config/files/authorize ），并在文件的顶部添加以下行文本，然后再进行其他操作

test Cleartext-Password := "password"

在调试模式下（ radiusd -X ）启动服务器，并从另一个终端窗口运行radtest ：

$ radtest test password 127.0.0.1 0 testing123

你应该看到服务端响应 Access-Accept。 如果没有，调试日志将显示原因。 在版本2中，你可以将输出粘贴到调试表单中 ，并将生成彩色HTML版本。 在版本3中，输出将被着色。 查找红色或黄色文本，并阅读相关消息。 他们应该准确描述出了什么问题，以及如何解决这个问题。

如果确实看到 Access-Accept，那么祝贺你，以下身份验证方法现在适用于 testing 用户：

PAP，CHAP，MS-CHAPv1，MS-CHAPv2，PEAP，EAP-TTLS，EAP-GTC，EAP-MD5。

下一步是添加更多用户和配置数据库。 这些步骤不在本文的范围之内。但 Radius 常见的使用方法很重要，下一节将对此进行概述。

添加客户端

上面的测试从 localhost 执行 radtest。 添加新客户端非常有用，可以通过编辑clients.conf文件来完成。 添加以下内容：

client new {
    ipaddr = 192.0.2.1
    secret = testing123
}

用户应该将IP地址 192.0.2.1 更改为将发送 Access-Request 数据包的客户端的地址。客户端应配置为通过使用 运行RADIUS server的服务器的IP地址 与 RADIUS server 通信，使用与上面的client配置节中的相同的密钥。

注意：当我们讨论客户端时，我们指的是 RADIUS server 的客户端，即无线接入点、交换机或其他形式的 NAS，而不是网络客户端--例如笔记本电脑，平板电脑等--它们不直接与RADIUS服务器通信）

然后在调试模式下重新启动服务器，并使用testing用户运行一个简单的测试，你应该在服务器输出中看到Access-Accept。

以下步骤概述了配置服务器的最常用的方法。 遵循它们，你可以最小的工作量创建复杂的配置。 不遵循它们可能会导致沮丧和功夫的浪费。

服务端配置

更改服务器配置应通过以下步骤完成：

1. 从“已知工作”配置开始，如默认安装提供的配置。
2. 对配置文件进行一个小的更改。
3. 在调试模式下启动服务器（ radiusd -X ）。
4. 验证结果是否是你期望的结果
   • 调试输出显示你进行的任何配置更改。
   • 数据库（如果使用）已连接并正在运行。
   • 测试数据包被服务器接受。
   • 调试输出显示数据包正在按预期处理。
   • 响应数据包包含你期望看到的属性。
5. 如果一切正常，保存配置的副本，返回到步骤（2），并进行另一个更改。
6. 如果出了什么问题，
   • 请仔细检查配置
   • 读取整个调试输出，查找error或warning等字样。 这些消息通常包含错误的描述，以及如何解决问题的建议。 （另请参见调试表单 ）
   • 尝试使用“已知工作”配置的已保存副本替换现有配置，然后重新启动。 此过程可以清除临时修改或遗忘的修改导致的错误。
   • 请在freeradius-users邮件列表上寻求帮助。 包括你尝试执行的操作和整个调试输出的描述 ，特别是显示服务器接收和处理测试数据包的输出。 你可能希望在过帐之前从输出中刷新“秘密”信息。 （共享密码，密码等）

其他资源

• Network RADIUS 提供了大量的使用指南。
• Radius 技术指南。 它解释了RADIUS的概念，并介绍了如何执行例行的管理和维护。 我们建议每个RADIUS管理员阅读。