Radius为各种网络设备和服务提供了一个认证来源。 Radius认证常用于VPN、入网门户、交换机、路由器和防火墙。Radius认证比在网络上的不同设备跟踪各种本地帐户更容易管理。
为什么要使用pfSense作为radius服务器?
由于这种服务不需要太多的系统资源,pfSense防火墙为本身就可以胜任。Radius服务可以轻松处理数百个客户端的身份验证而不会影响性能。如果硬件性能良好,则可以轻松支持数千个客户端。pfSense允许Radius在专用网络接口上运行。如果已经在网络上运行pfSense,可以无需为Radius构建单独的服务器。
以下教程基于pfsense2.34汉化版完成。
一、安装插件
pfSense2.34插件管理器里包括FreeRadius2和FreeRadius3。 本着用新不用旧的原则,在本教程中,我们使用FreeRadius3。如果你以前安装了其他任何Radius插件,请先删除。
1. 导航到系统-插件管理,单击可用的插件。
2. 单击FreeRadius3旁边的加号开始安装。
3. 单击“确定”确认软件包的安装。
安装程序会自动下载并安装freeradius3及所有依赖项。 安装需要几分钟。完成后,系统服务菜单将会有FreeRadius这个新的菜单项。
二、配置接口
首先为radius服务器指定一个或多个接口进行监听。 导航到系统服务-FreeRadius菜单。选择将服务绑定到LAN接口。
- 单击设置页面的接口选项卡。
- 点击加号图标添加一个新接口。
- 在“interface IP Address(接口IP地址)”字段中输入LAN IP地址。
- 单击保存设置.
其它设置可以保持默认设置。
三、添加客户端
下一步是添加客户端条目。使用radius服务器进行身份验证的每个设备都需要在设置中配置客户端条目。
1. 单击NAS / Clients选项卡。
2. 单击加号,添加新条目。
3. 在Client IP Address(客户端IP)字段中输入认证请求设备的IP地址。
4. 输入客户端的简称。 这通常是NAS的主机名。
5. 输入RADIUS客户端的共享密钥。 这是NAS(交换机,接入点等)需要与RADIUS服务器进行通信的共享密钥。
在Miscellaneous Configuration(杂项配置)部分,从下拉框中选择客户端类型。
四、创建用户帐户
最后创建用户帐户。 单击Users(用户)选项卡,然后单击加号创建新用户。这个页面上只有两个必填字段,用户名和密码。其他设置可根据需要进行设置。
五、添加设备
经过上述设置,radius服务器现在应该已经启动并准备好接受传入的身份验证请求。现在可以开始将客户端设备的认证服务指向服务器。
客户端设备需要配置以下项目。
- pfSense系统的LAN IP地址,或选择将radius服务器绑定到哪个接口。
- 输入在客户端选项卡上分配的radius 密码 。
- 认证端口设置为1812,或者你在接口选项卡上指定的其他端口。
故障排除
检查服务状态
如果遇到问题,首先应该做的是确保radius服务正在运行。
如果没有运行,尝试通过点击radiusd旁边的播放图标来启动它。
如果服务没有开始,请重新安装来解决问题。
重新安装时,要注意备份配置。
检查日志
系统日志可以提供查找问题的线索。 要查看日志,请单击系统状态菜单中的系统日志。
通过Radtest测试服务
Radius插件包括一个Radtest的实用程序,可用于测试认证服务是否正常工作。
运行测试步骤
- 添加IP地址为192.168.133.1的接口(仅限本教程)。
- 将接口类型设置为“Auth”,使用默认端口(1812)。
- 添加IP为192.168.133.1的客户端/ NAS,共享密钥为“test”。
- 在用户选项卡上创建一个测试用户帐户。
- 通过SSH登录pfSense或使用诊断菜单中的命令提示功能。
- 运行以下命令,使用您分配的凭据替换<username>和<password>。
radtest <username> <password>127.0.0.1:1812 0 test
如果测试成功,应该能看到 “Received Access-Accept…”这样的字符串。
Radius服务应用范围
如果你使用了radius身份验证后,可能不会再想回到用本地用户帐户来进行认证。 比如下面的一些服务就很适合使用radius服务器来进行认证。
- 入网门户- 为家庭或企业设置无线热点,并使用radius作为入网门户的认证来源。
- 远程 VPN - 配置pfSense作为VPN服务器,并为用户帐户使用集中式身份验证。
- 网络交换机 –使用pfsesne来管理,而非本地用户帐户。
2017-7-10