Summit x450a-24T - AAA Authentication with FreeRADIUS

1、前言

本篇實作為設定 Extreme Summit x450a-24T Switch 為 RADIUS Client 角色，而 FreeBSD 安裝 FreeRADIUS 成為 RADIUS Server 角色，二造之間進行 AAA(Authentication, Authorization, Accounting) 驗證協議。

文章目錄

1、前言
2、實作環境
3、RADIUS Server 設定 (FreeRADIUS)
          步驟1.安裝 freeradius 套件
          步驟2.設定認證客戶端設定檔 (clients.conf)
          步驟3.設定帳號及處理方式設定檔 (users)
          步驟4.修改/etc/rc.conf
          步驟5.啟動 FreeRADIUS 服務
          步驟6.測試 RADIUS 驗證
4、RADIUS Client 設定 (Extreme x450a)
5、參考

2、實作環境

Extreme Summit x450a-24T (RADIUS Client)

• ExtremeXOS version 11.6.3.5 v1163b5
• BootROM 1.0.3.1
• IP Address： 192.168.1.10

FreeBSD 6.2-RELEASE-p12 (RADIUS Server)

• freeradius-1.1.8
• IP Address： 192.168.1.20
• RADIUS 共用密碼： weithenn789

3、RADIUS Server 設定 (FreeRADIUS)

步驟 1. 安裝 freeradius 套件

切換至 Ports Tree 路徑安裝 freeradius 套件，並清除安裝過程中產生不必要檔案。
# cd  /usr/ports/net/freeradius
# make install clean

步驟 2. 設定認證客戶端設定檔 (clients.conf)

此設定檔內容為允許連接至此 RADIUS Server 的 RADIUS Client IP 網段，若未在此設定檔中設定允許的 IP 網段即視為非法客戶端 (RADIUS Client) 即使共用密碼 (Secret Key) 正確也不提供服務。
# vi /usr/local/etc/raddb/clients.conf
 client 192.168.1.0/24 {                   //允許的 RADIUS Client IP 網段
        secret          = weithenn789      //共用密碼 (Secret Key)
        shortname       = extreme-x450     //識別名稱
 }

步驟 3. 設定帳號及處理方式設定檔 (users)

此設定檔內容為設定帳號的認證及處理方式，下列設定檔內容為認證方式採用 users 設定檔中的帳號設定此例帳號為 weithenn 密碼為「weithenn123」，而 「Service-Type == Administrative-User」參數意義為 telnet 至 Extreme Switch 後，才具備「Privilege Level(#)」管理權限，否則登入後僅為「 User Level(>)」一般權限，至於「Reply-Message」參數則是驗證成功後回傳的訊息。

• UNIX 系統帳號： Auth-Type = System
• users 設定檔中帳號： Auth-Type = Local
• LDAP 認證方式： Auth-Type = LDAP

# vi /usr/local/etc/raddb/users
 "weithenn"            User-Password == "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %u"

如果採用的是新版 freeradius 2.x 套件，請改為如下內容
# vi /usr/local/etc/raddb/users
 "weithenn"            Cleartext-Password := "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %{User-Name}"

步驟 4. 修改 /etc/rc.conf

修改 /etc/rc.conf 中加入下列的設定，以便在系統重新開機時時會啟動 FreeRADIUS 服務。
# vi /etc/rc.conf
 radiusd_enable="YES"

步驟 5. 啟動 FreeRADIUS 服務

鍵入下列指令，以手動的方式啟動 FreeRADIUS 服務。
# /usr/local/etc/rc.d/radiusd start
 Starting radiusd.
 Wed Apr 14 14:53:06 2010 : Info: Starting - reading configuration files ...
接著，查看 FreeRADIUS 服務的 Listen Port 是否開啟。
# sockstat |grep radius
 root     radiusd    96870 3  udp4   *:1812                *:*
 root     radiusd    96870 4  udp4   *:1813                *:*
查看 RADIUS Log 內容了解服務狀態。
# tail /var/log/radius.log
 Wed Apr 14 15:45:54 2010 : Info: Using deprecated naslist file.  Support for this will go away soon.
 Wed Apr 14 15:45:54 2010 : Info: Ready to process requests.

步驟 6. 測試 RADIUS 驗證

輸入下列指令來測試 RADIUS 驗證功能是否正常，下列測試帳號為 weithenn 密碼 weithenn123 而 RADIUS Server IP 為 192.168.1.20 共用密碼 (Secret Key) 為 weithenn789，當 RADIUS 驗證成功後會出現 Access-Accept 字眼及剛才設定的回應訊息，若出現 Access-Reject 則為驗證失敗。
# radtest weithenn weithenn123 192.168.1.20 0 weithenn789
 Sending Access-Request of id 78 to 192.168.1.20 port 1812
         User-Name = "weithenn"
         User-Password = "weithenn123"
         NAS-IP-Address = 255.255.255.255
         NAS-Port = 0
 rad_recv: Access-Accept packet from host 192.168.1.20:1812, id=78, length=56
         Service-Type = Administrative-User
         Reply-Message = "Radius Login Success --- weithenn"

4、RADIUS Client 設定 (Extreme x450a)

登入 Extreme x450a 後，依序鍵入下列指令指定 RADIUS Server IP Address，以及設備本身 IP Address 及共用密碼 (Secret Key) 為 weithenn789，最後啟用 Extreme RADIUS 功能即可。
X450a-24x.1# configure radius primary server 192.168.1.20 client-ip 192.168.1.10
X450a-24x.2# configure radius primary shared-secret weithenn789
X450a-24x.3# enable radius mgmt-access
上述設定完成之後，便能使用 telnet 方式登入 Extreme Switch，成功登入後鍵入 show radius 指令可看到下列訊息。
X450a-24x.1# sh radius
 Switch Management Radius: enabled
 Switch Management Radius server connect time out: 3 seconds
 Switch Management Radius Accounting: disabled
 Switch Management Radius Accounting server connect time out: 3 seconds
 Netlogin Radius: disabled
 Netlogin Radius server connect time out: 3 seconds
 Netlogin Radius Accounting: disabled
 Netlogin Radius Accounting server connect time out: 3 seconds
 Primary Switch Management Radius server:
    Server name   :
    IP address    :  192.168.1.20
    Server IP Port:  1812
    Client address:  192.168.1.10 (VR-Mgmt)
    Shared secret :  fjgei324:  //extreme 將 weithenn789 加密後的結果
 Access Requests   :  24              Access Accepts    :  7
 Access Rejects    :  1               Access Challenges :  0
 Access Retransmits:  10              Client timeouts   :  6
 Bad authenticators:  0               Unknown types     :  0
 Round Trip Time   :  0

5、參考

• FreeRADIUS Wiki
• FreeRADIUS Wiki - Cisco IOS and Radius
• Problem authenticating to extreme switches in "enable" mode..
• 國家高速網路與計算中心 唐可忠 - FreeRADIUS 安裝與管理
• RADIUS - Wikipedia, the free encyclopedia
• AAA protocol - Wikipedia, the free encyclopedia