Summit x450a-24T - AAA Authentication with FreeRADIUS

1、前言

本篇實作為設定 Extreme Summit x450a-24T Switch 為 RADIUS Client 角色,而 FreeBSD 安裝 FreeRADIUS 成為 RADIUS Server 角色,二造之間進行 AAA(Authentication, Authorization, Accounting) 驗證協議。




文章目錄

1、前言
2、實作環境
3、RADIUS Server 設定 (FreeRADIUS)
          步驟1.安裝 freeradius 套件
          步驟2.設定認證客戶端設定檔 (clients.conf)
          步驟3.設定帳號及處理方式設定檔 (users)
          步驟4.修改/etc/rc.conf
          步驟5.啟動 FreeRADIUS 服務
          步驟6.測試 RADIUS 驗證
4、RADIUS Client 設定 (Extreme x450a)
5、參考



2、實作環境

Extreme Summit x450a-24T (RADIUS Client)
  • ExtremeXOS version 11.6.3.5 v1163b5
  • BootROM 1.0.3.1
  • IP Address: 192.168.1.10

FreeBSD 6.2-RELEASE-p12 (RADIUS Server)
  • freeradius-1.1.8
  • IP Address: 192.168.1.20
  • RADIUS 共用密碼: weithenn789



3、RADIUS Server 設定 (FreeRADIUS)

步驟 1. 安裝 freeradius 套件

切換至 Ports Tree 路徑安裝 freeradius 套件,並清除安裝過程中產生不必要檔案。
cd  /usr/ports/net/freeradius
make install clean




步驟 2. 設定認證客戶端設定檔 (clients.conf)

此設定檔內容為允許連接至此 RADIUS Server 的 RADIUS Client IP 網段,若未在此設定檔中設定允許的 IP 網段即視為非法客戶端 (RADIUS Client) 即使共用密碼 (Secret Key) 正確也不提供服務。
vi /usr/local/etc/raddb/clients.conf
 client 192.168.1.0/24 {                   //允許的 RADIUS Client IP 網段
        secret          = weithenn789      //共用密碼 (Secret Key)
        shortname       = extreme-x450     //識別名稱
 }




步驟 3. 設定帳號及處理方式設定檔 (users)

此設定檔內容為設定帳號的認證及處理方式,下列設定檔內容為認證方式採用 users 設定檔中的帳號設定此例帳號為 weithenn 密碼為「weithenn123」,而 「Service-Type == Administrative-User」參數意義為 telnet 至 Extreme Switch 後,才具備「Privilege Level(#)」管理權限,否則登入後僅為「 User Level(>)」一般權限,至於「Reply-Message」參數則是驗證成功後回傳的訊息。

  • UNIX 系統帳號: Auth-Type = System
  • users 設定檔中帳號: Auth-Type = Local
  • LDAP 認證方式: Auth-Type = LDAP

vi /usr/local/etc/raddb/users
 "weithenn"            User-Password == "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %u"


如果採用的是新版 freeradius 2.x 套件,請改為如下內容
vi /usr/local/etc/raddb/users
 "weithenn"            Cleartext-Password := "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %{User-Name}"




步驟 4. 修改 /etc/rc.conf

修改 /etc/rc.conf 中加入下列的設定,以便在系統重新開機時時會啟動 FreeRADIUS 服務。
vi /etc/rc.conf
 radiusd_enable="YES"




步驟 5. 啟動 FreeRADIUS 服務

鍵入下列指令,以手動的方式啟動 FreeRADIUS 服務。
/usr/local/etc/rc.d/radiusd start
 Starting radiusd.
 Wed Apr 14 14:53:06 2010 : Info: Starting - reading configuration files ...

接著,查看 FreeRADIUS 服務的 Listen Port 是否開啟。
sockstat |grep radius
 root     radiusd    96870 3  udp4   *:1812                *:*
 root     radiusd    96870 4  udp4   *:1813                *:*

查看 RADIUS Log 內容了解服務狀態。
tail /var/log/radius.log
 Wed Apr 14 15:45:54 2010 : Info: Using deprecated naslist file.  Support for this will go away soon.
 Wed Apr 14 15:45:54 2010 : Info: Ready to process requests.




步驟 6. 測試 RADIUS 驗證

輸入下列指令來測試 RADIUS 驗證功能是否正常,下列測試帳號為 weithenn 密碼 weithenn123 而 RADIUS Server IP 為 192.168.1.20 共用密碼 (Secret Key) 為 weithenn789,當 RADIUS 驗證成功後會出現 Access-Accept 字眼及剛才設定的回應訊息,若出現 Access-Reject 則為驗證失敗。
radtest weithenn weithenn123 192.168.1.20 0 weithenn789
 Sending Access-Request of id 78 to 192.168.1.20 port 1812
         User-Name = "weithenn"
         User-Password = "weithenn123"
         NAS-IP-Address = 255.255.255.255
         NAS-Port = 0
 rad_recv: Access-Accept packet from host 192.168.1.20:1812, id=78, length=56
         Service-Type = Administrative-User
         Reply-Message = "Radius Login Success --- weithenn"






4、RADIUS Client 設定 (Extreme x450a)

登入 Extreme x450a 後,依序鍵入下列指令指定 RADIUS Server IP Address,以及設備本身 IP Address 及共用密碼 (Secret Key) 為 weithenn789,最後啟用 Extreme RADIUS 功能即可。
X450a-24x.1# configure radius primary server 192.168.1.20 client-ip 192.168.1.10
X450a-24x.2# configure radius primary shared-secret weithenn789
X450a-24x.3# enable radius mgmt-access

上述設定完成之後,便能使用 telnet 方式登入 Extreme Switch,成功登入後鍵入 show radius 指令可看到下列訊息。
X450a-24x.1# sh radius
 Switch Management Radius: enabled
 Switch Management Radius server connect time out: 3 seconds
 Switch Management Radius Accounting: disabled
 Switch Management Radius Accounting server connect time out: 3 seconds
 Netlogin Radius: disabled
 Netlogin Radius server connect time out: 3 seconds
 Netlogin Radius Accounting: disabled
 Netlogin Radius Accounting server connect time out: 3 seconds
 Primary Switch Management Radius server:
    Server name   :
    IP address    :  192.168.1.20
    Server IP Port:  1812
    Client address:  192.168.1.10 (VR-Mgmt)
    Shared secret :  fjgei324:  //extreme 將 weithenn789 加密後的結果
 Access Requests   :  24              Access Accepts    :  7
 Access Rejects    :  1               Access Challenges :  0
 Access Retransmits:  10              Client timeouts   :  6
 Bad authenticators:  0               Unknown types     :  0
 Round Trip Time   :  0






5、參考