山姆是一家算法交易公司的网络分析师。他获得了UMKC的信息技术学士学位。
在本文中,我将详细介绍在pfSense上设置radius服务器的过程。
Radius为各种网络设备和服务提供了中心身份验证源。radius身份验证的一些常见用途是VPN、捕获门户、交换机、路由器和防火墙。
管理中央身份验证要比跟踪网络上不同设备上的各种本地帐户容易得多。
为什么使用pfSense作为Radius服务器?
PfSense是一个很好的radius服务器主机,因为该服务不需要太多的系统资源。该服务可以轻松处理数百个客户机的身份验证,而不会影响性能。
通过适当的硬件,它可以很容易地扩展到支持数千个客户机。事实上,pfSense甚至允许radius在专用的网络接口上运行。
如果您已经在您的网络上运行pfSense,那么真的没有必要仅仅为Radius构建一个单独的服务器。
安装包
pfSense 2。X包管理器包括FreeRadius和FreeRadius2作为安装选项。在这个例子中,我将使用FreeRadius2,因为它有一些在以前的版本中没有的附加功能。
一次只能在pfSense上安装一个radius版本。如果您之前安装了任何radius包,请继续并首先删除它们。
当服务启动时,包安装将短暂地中断通过路由器的流量,所以在生产系统上运行安装时要小心。
- 在web界面的系统菜单中打开包管理器。
- 单击FreeRadius2旁边的加号开始安装。
- 单击“确定”确认软件包安装。
安装过程将自动下载并安装radius软件包及其所有依赖项。安装通常需要几分钟才能完成。
完成后,服务菜单中会有一个包的新菜单项。
配置一个接口
您需要做的第一件事是为radius服务器指定一个或多个要侦听的接口。FreeRadius的配置设置可在“服务”菜单下找到。
在大多数情况下,您需要将服务绑定到LAN接口。
- 单击设置页面的“接口”页签。
- 单击加号图标添加一个新界面。
- 在接口IP地址字段中输入LAN IP地址。
- 单击保存
其余设置可以保持默认设置。
添加客户
配置身份验证服务器的下一步是添加客户端条目。将使用radius服务器进行身份验证的每个设备都需要在设置中配置客户端条目。
- 单击NAS/客户端选项卡。
- 在客户端IP字段中输入将发出认证请求的设备的IP地址。
- 在客户端共享秘密字段中输入安全密码。这也需要在客户端设备上输入。
在杂项配置部分下,您应该从下拉框中选择客户端类型。如果列出的类型都不合适,您可以选择其他类型。
创建用户帐户
最后一步是创建用户帐户。要创建帐户,请转到“软件包设置”中的“用户”选项卡,然后单击加号以打开“新用户创建”页面。
此页面上只有两个必填字段:用户名和密码。所有其他设置都是可选的,主要适用于捕获门户用户。
添加设备
此时,radius服务器应该已经启动并运行,并准备好接受传入的身份验证请求。现在可以开始将设备指向服务器。
设备将需要配置以下项目。
- pfSense系统的LAN IP地址,或选择将radius服务器绑定到的任何接口。
- 您在客户端选项卡上分配的半径密钥。
- auth端口应该设置为1812,或者您在interfaces选项卡上分配的端口。
故障排除
检查服务状态
如果遇到问题,您应该做的第一件事是确保radius服务正在运行。
如果它没有运行,请单击Radiud旁边的播放图标尝试启动它。
如果服务还没启动,请继续重新安装这个包解决这个问题。
当您重新安装时,不应该丢失任何配置,但要确保在恢复后一切正常。
我注意到,有时当我执行重新安装时,客户端配置会消失。
检查日志
系统日志可能为问题发生的原因提供线索。要查看日志,请在状态菜单中单击系统日志。
在系统选项卡上,输入“root: freeRADIUS”,在底部的框中不带引号,然后单击过滤器。这将显示服务的启动和关闭日志消息。
认证成功和失败的信息在系统日志中是不可见的,为了查看它们,需要配置一个远程syslog服务器.
半径Syslog消息
使用Radtest测试服务
radius包包括一个名为Radtest的实用程序,可用于测试服务,以确定其是否正常工作。
Radtest非常方便,因为它允许您在重新配置网络上的任何设备之前确定身份验证是否有效。
运行测试的步骤
- 添加IP地址为127.0.0.1的接口。
- 设置接口类型为“Auth”,使用默认端口(1812)。
- 添加IP为127.0.0.1且共享机密为“测试”的客户端/NAS。
- 在“用户”选项卡上创建测试用户帐户。
- 通过SSH或使用诊断菜单中的命令提示符功能登录pfSense。
- 运行下面的命令,用您分配的凭据替换
和 。
Radtest
如果测试成功,您应该看到消息“rad_recv:Access Accept”。
使用新Radius服务器的好方法
开始使用central radius身份验证后,您将永远不想返回到本地用户帐户。下面我列出了一些利用新radius服务器的好方法。
- 俘虏门户认证:为您的家庭或企业设置无线热点,并使用radius作为捕获门户的身份验证源。
- 远程访问VPN:配置pfSense作为VPN服务器,对用户账号进行集中认证。
- 网络交换机:将托管交换机指向pfSense,而不是使用本地用户帐户。
就作者所知,这篇文章是准确而真实的。内容仅用于信息或娱乐目的,不替代个人咨询或商业、金融、法律或技术问题的专业意见。
©2012 Sam Kear
评论
alexis.verano2017年10月23日:
freeradius能否控制呼叫源的电话号码?
亚尼克2017年2月13日:
嗨,我只是想知道如何使用pfsense captive portal和计费软件。我们想为用户的互联网使用付费。
你能帮我…
aravinth702016年9月20日:
我们可以分配配额限制用户明智的时间分配吗
比吉尔2015年9月07日:
有没有办法将daloradius添加到pfsense???
纳德杰斯2015年3月25日:
如何使用freeradius配置mysql
gangooparsad2015年2月5日:
感谢您提供的精彩教程,如果1个freeradius安装被用作OpenVPN和captive portal的所有设备/用户的中央身份验证中心,它是否也可以工作?最好是通过IPSEC。
山姆·基尔(作者)来自堪萨斯城2015年1月28日:
@TTGReviews
您需要为每个不同的设备设置一个配置文件,因为radius使用源IP地址来关闭。
一些radius服务器允许为同一设备列出多个源IP,但我认为pfSense实现不允许这样做。
TTG视图2015年1月27日:
是否有一种方法使用它为一个帐户创建多个设备的帐户,或为一个设备创建多个帐户,而不只是单独添加它们?
玛洛2015年1月6日:
“认证请求设备的IP地址”应该是路由器IP地址还是接入点IP地址?我没有其他机器…
漫步2014年8月8日:
如何配置活动目录中的LDAP选项卡?