Xác thực AAA bằng FreeRadius- dễ làm

by HaiNguyen -IT | 26/01/2022 | Lượt xem: 5587

Khi làm lab về xác thực Radius , ta thường ngại dựng con windows server làm Radius server do nó hơi nặng. Tuy nhiên có 1 phương án trên linux là FreeRadius, cài khá nhanh.

Dưới đây mình trình bày cài đặt và cấu hình FreeRadius:

Mô hình:

=> Xem thêm các khóa học bên dưới

bit.ly/hai-network

- Trên Ubuntu: ta cài gói freeradius:

sudo apt-get install freeradius freeradius-utils

- Sau đó vào sửa file client:

sudo nano /etc/freeradius/3.0/clients.conf

- Thêm dòng này vào cuối file

client 192.168.200.20 {
secret = routerr2 #=> Đây là key sẽ khai báo trên Router R2 để gọi đến freeRadius
nastype = cisco
shortname = router #=> Dòng này không quan trọng
}

- Tiếp theo, khai báo user đăng nhập router:

sudo nano /etc/freeradius/3.0/users

- Thêm đoạn dưới vào cuối file:

admin Cleartext-Password := "admin"
Service-Type = NAS-Prompt-User
$enab15$ Cleartext-Password := "adminena" #=> pass để vào mode enable
Service-Type = NAS-Prompt-User

- Khởi động lại dịch vụ FreeRadius là xong.

/etc/init.d/freeradius restart

Trên router ta cấu hình:

username admin_local privilege 15 password mypass #=> nhớ có lệnh này nếu không sẽ ko vào được router sau khi khai xác thực bằng radius

aaa new-model

radius server HAI

address ipv4 192.168.200.10 auth-port 1812 acct-port 1813

key routerr2

exit

aaa new-model
aaa authentication login default group radius local #=> thứ tự check xác thực: radius server trước; nếu đứt kết nối thì dùng tài khoản local
aaa authentication enable default group radius enable

line vty 0 4
transport input telnet #=> ví dụ ở đây ta dùng telnet

- TEST LẠI: Từ PC ta telnet lên router, và gõ pass theo tài khoản local => sẽ bị failed, gõ theo tài khoản radius mới được

Khi đứt kết nối đến radius thì ta login theo tài khoản local sẽ ok.

=> Xem thêm các khóa học:

bit.ly/hai-network