radius認證

① 求助，是否有資料庫可以支持radius方式認證登錄的

我們可以以Telnet,SSH,Web或者console口等不同的方式登錄交換機,獲得普通或者特權模式的訪問許可權. 在網路設備眾多,對網路安全要求較高的企業里,僅僅使用交換機本地數

據庫的帳號,密碼認證功能已經滿足不了用戶的要求,客戶往往希望能夠採用集中,多重的認證方式. 這樣也能在提高安全度的前提下減輕IT管理負擔。RADIUS服務就是其中之一。

這里我們以一個客戶的需求作為例子：客戶原來的WIN2003域控制器同時也是RADIUS認證伺服器，啟用了WIN2003自帶的IAS（Internet Authentication Service）服務，對LAN里

所有思科交換機作統一的登錄認證。現在新購買了DELL34XX交換機，希望實現以下功能：

1．無論是通過console口還是通過telnet,登錄用戶必須首先通過IAS認證，只有該域中的成員才能有許可權訪問交換機；

2．登錄的用戶只能獲得普通模式的訪問許可權，客戶會針對telnet或console登錄在交換機上設置特權模式的密碼，通過IAS認證的用戶還必須輸入正確密碼才能獲得查看、修改配

置的許可權。

我們根據客戶的要求搭建如下一個簡單的環境，以全新安裝的方式作測試：

第一部分：配置交換機

1.給交換機配置管理IP：

interface vlan 1

ip address 192.168.2.1 255.255.255.0

2.在全局配置模式下，配置radius 伺服器IP地址及key,注意，這個密鑰用於RADIUS Client和Server之間的通信驗證，「key」的設置必須和IAS上「share secret」的設置完全相

同。然後配置用戶登錄及進入特權模式的認證方式，我們定義了「login「的認證方式為：先嘗試radius,如果radius server down,再嘗試Local；進入特權模式「enable」的認證

方式為本地交換機上設置的密碼認證。「priv」及「test」是自定義的文件名，以便下一步將其綁定在對應的介面上：

radius-server host 192.168.2.100 auth-port 1812

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

3.進入介面配置模式，將相應的配置文件綁定在對應介面上，並且設置好進入特權模式的密碼：

line telnet

login authentication test

enable authentication priv

password encrypted

line console

login authentication test

enable authentication priv

password encrypted

最後別忘記設置一個本地的管理員帳號及密碼,以便在RADIUS伺服器Down後也能管理交換機：

username admin password level 15 encrypted

#如果需要在登錄WEB頁面進行RADIUS認證，使用下面命令:

console(config)# ip https authentication radius local

第二部分：在WIN2003域控制器上安裝配置IAS服務：

1．打開控制面板――》添加刪除程序――》添加刪除windows組件，找到networking services,點擊「details」,選擇」internet authentication services」,確定，插入

WIN2003源盤進行安裝：

2. 完成後安裝後，我們需要將其注冊到AD中（如果是工作組環境，則IAS認證本地用戶或組）。打開IAS,點擊Action，選擇「register server in Active Directory」:

3.系統提示為了啟用IAS認證，必須允許IAS Server讀取AD里用戶的Dial－In屬性，點擊OK：

4．系統必須將該IAS注冊到RAS/IAS servers group里，點擊OK，打開域控的AD用戶計算機控制台，在Users里我們可以看到這台名為DELL的IAS已經是其成員了：

5．同時，我們必須開啟那些需要通過IAS認證的域中用戶的「remote access」許可權，這里的用戶$enab15$是一個需要手工建立的特殊帳號，用於需要通過IAS進行進入特權模式認

證時，使用該默認帳號：

6．完成後打開IAS，滑鼠右擊」RADIUS Client」，選擇新建一個client,這個Client指的是申請認證服務的設備，這里即是5324交換機，輸入一個名稱及其管理IP：

7．Client－Vendor選擇「RADIUS Standard」,再輸入「share secret」,這個密鑰用於RADIUS Client和Server之間的通信驗證，所以必須和在交換機上用「radius-server key

XXXXXXXX」設置的密碼完全相同，然後點擊完成：

8.右擊「remote access policy」,給5324新建一個訪問策略,這里需要注意，可以建立多個策略，系統會按順序匹配，一旦發現滿足條件的，則將忽略掉其以下的策略：

9．選擇「setup a custom policy」, 輸入policy的名稱，下一步：

10．接下來定義訪問策略的條件，點擊「add」，這里選擇「NAS－IP－Address」，即該策略只給滿足設定的IP地址的設備使用，我們輸入5324的IP地址，下一步：

11．選擇「grant remote access」 ,下一步：

12．點擊下一步完成。

13．滑鼠右擊剛剛建立的策略，打開屬性：

14．點擊「edit profile」,從中我們可以選擇認證方式，這里選擇不加密認證：

15．選擇「Encryption」,確保所有選項均已選上：

16．點擊「advanced」選項，點擊「add」，添加認證過程中的「屬性「值，注意如果其中已經有了其他不需要的屬性設置，請全部刪除後再添加所需的值，否則可能達不到預定效

果：

17．如果我們需要賦予經過認證的客戶以「管理員（即特權模式）」許可權登錄交換機，有兩種方法：第一，可以添加「service-type」,Attribute value選擇「administrative」

：

第二，添加「Cisco-AV-Pair」,再點擊」add」,設置屬性值：

在「Attribute value」欄里輸入「shell:priv-lvl=15」, 「15」即代表了管理員許可權，這里因為我們只能賦予登錄的用戶普通模式的訪問許可權，所以設為「1」，點擊OK完成設置

：

18．這樣完成所有配置，接下來用Telnet登錄交換機測試即可.如果認證失敗，需要查看系統日誌及交換機的日誌，看看具體原因：

② 什麼是RADIUS認證

RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網路遠程接入設備的客戶和包含用戶認證與配置信息的伺服器之間信息交換的標准客戶/伺服器模式。它包含有關用戶的專門簡檔，如：用戶名、接入口令、接入許可權等。這是保持遠程接入網路的集中認證、授權、記費和審查的得到接受的標准。

RADIUS認證系統包含三個方面：認證部分、客戶協議以及記費部分,其中：

RADIUS 認證部分一般安裝在網路中的某台伺服器上，即RADIUS認證伺服器；

客戶協議運行在遠程接入設備上，如：遠程接入伺服器或者路由器。這些RADIUS客戶把認證請求發送給RADIUS認證伺服器，並按照伺服器發回的響應做出行動；

RADIUS記費部分收集統計數據，並可以生成有關與網路建立的撥入會話的報告。

③ 什麼是本地用戶認證 、 OTP(一次性口令) 、 RADIUS認證

本地用戶認證
通過存儲本地的profile設置組，您的zyair可以不通過網路上的radius server也能夠對無線用戶做認證。

一次性口令技術簡介 ASPHouse,2001-08-04 00:00:00

常規口令

在現實生活中，我們個人的身份主要是通過各種證件來確認的，比如：身份證、戶口本等。計算機世界與現實世界非常相似，各種計算資源（如：文件、資料庫、應用系統）也需要認證機制的保護，確保這些資源被應該使用的人使用。在大多數情況下，認證機制與授權和記賬也緊密結合在一起。

目前各類計算資源主要靠固定口令的方式來保護。比如你需要訪問一個NT系統，首先必須在這個NT上設置一個賬戶，並設定密碼。當通過網路訪問NT資源時，系統會要求輸入你的賬戶名和密碼。在賬戶和密碼被確認了以後，你就可以訪問NT上的資源了。

這種以固定口令為基礎的認證方式存在很多問題，最明顯的是以下幾種：

網路數據流竊聽(Sniffer) 由於認證信息要通過網路傳遞，並且很多認證系統的口令是未經加密的明文，攻擊者通過竊聽網路數據，就很容易分辨出某種特定系統的認證數據，並提取出用戶名和口令。
認證信息截取/重放(Record/Replay) 有的系統會將認證信息進行簡單加密後進行傳輸，如果攻擊者無法用第一種方式推算出密碼，可以使用截取/重放方式。
字典攻擊 由於多數用戶習慣使用有意義的單詞或數字作為密碼，某些攻擊者會使用字典中的單詞來嘗試用戶的密碼。所以大多數系統都建議用戶在口令中加入特殊字元，以增加口令的安全性。
窮舉嘗試(Brute Force) 這是一種特殊的字典攻擊，它使用字元串的全集作為字典。如果用戶的密碼較短，很容易被窮舉出來，因而很多系統都建議用戶使用長口令。
窺探 攻擊者利用與被攻擊系統接近的機會，安裝監視器或親自窺探合法用戶輸入口令的過程，以得到口令。
社交工程 攻擊者冒充合法用戶發送郵件或打電話給管理人員，以騙取用戶口令。
垃圾搜索 攻擊者通過搜索被攻擊者的廢棄物，得到與攻擊系統有關的信息，如果用戶將口令寫在紙上又隨便丟棄，則很容易成為垃圾搜索的攻擊對象。
雖然用戶可以通過經常更換密碼和增加密碼長度來保證安全，但這同時也用戶帶來了很大麻煩。

一次性口令

為了解決固定口令的諸多問題，安全專家提出了一次性口令（OTP：One Time Password）的密碼體制，以保護關鍵的計算資源。

OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。
例如：登錄密碼=MD5(用戶名＋密碼 ＋時間），系統接收到登錄口令後做一個驗算即可驗證用戶的合法性。

不確定因子選擇與口令生成

這些不確定因子選擇方式大致有以下幾種：

口令序列(S/KEY) 口令為一個單向的前後相關的序列，系統只用記錄第 N個口令。用戶用第N－1個口令登錄時，系統用單向演算法算出第N個口令與自己保存的第N個口令匹配，以判斷用戶的合法性。由於N是有限的，用戶登錄N次後必須重新初始化口令序列。
挑戰/回答(CRYPTOCard) 用戶要求登錄時，系統產生一個隨機數發送給用戶。用戶用某種單向演算法將自己的秘密口令和隨機數混合起來發送給系統，系統用同樣的方法做驗算即可驗證用戶身份。
時間同步(SecureID) 以用戶登錄時間作為隨機因素。這種方式對雙方的時間准確度要求較高，一般採取以分鍾為時間單位的折中辦法。在SecureID 產品中，對時間誤差的容忍可達±1分鍾。
事件同步(Safe Word) 這種方法以挑戰/回答方式為基礎，將單向的前後相關序列作為系統的挑戰信息，以節省用戶每次輸入挑戰信息的麻煩。但當用戶的挑戰序列與伺服器產生偏差後，需要重新同步。
一次性口令的生成方式有以下幾種：

Token Card（硬體卡） 用類似計算器的小卡片計算一次性口令。對於挑戰/回答方式，該卡片配備有數字按鍵，便於輸入挑戰值；對於時間同步方式，該卡片每隔一段時間就會重新計算口令；有時還會將卡片作成鑰匙鏈式的形狀，某些卡片還帶有PIN保護裝置。
Soft Token（軟體） 用軟體代替硬體，某些軟體還能夠限定用戶登錄的地點。
IC卡 在IC卡上存儲用戶的秘密信息，這樣用戶在登錄時就不用記憶自己的秘密口令了。

RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網路遠程接入設備的客戶和包含用戶認證與配置信息的伺服器之間信息交換的標准客戶/伺服器模式。它包含有關用戶的專門簡檔，如：用戶名、接入口令、接入許可權等。這是保持遠程接入網路的集中認證、授權、記費和審查的得到接受的標准。

RADIUS認證系統包含三個方面：認證部分、客戶協議以及記費部分,其中：

RADIUS 認證部分一般安裝在網路中的某台伺服器上，即RADIUS認證伺服器；

客戶協議運行在遠程接入設備上，如：遠程接入伺服器或者路由器。這些RADIUS客戶把認證請求發送給RADIUS認證伺服器，並按照伺服器發回的響應做出行動；

RADIUS記費部分收集統計數據，並可以生成有關與網路建立的撥入會話的報告。

④ 使用RADIUS認證伺服器控制無線網路接入。

可以用WIN2003做一個RADIUS認證伺服器，AP方面用什麼都可以，只要不是雜牌子的都行，我用DLINK和思科的試過，都可以，電腦保存密碼以後就很方便，每次打開WIFI就可以直接連入無線，我們是為了減少MAC地址綁定的工作量才使用RADIUS去域控制器進行用戶名和密碼的驗證的，下面是我自己的配置筆記，文件太多沒法上傳到這里啊，我做好RADIUS伺服器以後在各種操作系統里建立好連接，導出以後寫腳本發給所有員工，執行導入就可以了，平滑割接。

Enterprise WLAN profile deployment with .bat script 為大量用戶批量安裝的腳本.docx
IAS訪問失敗日誌.txt
IAS訪問成功日誌.txt
import_win7.bat
netsh命令.txt
PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3.pdf
win7.rar
win7_wpa.htm
win7_wpa_files
WIN7安裝腳本
WinXP安裝腳本
WPA2 Enterprise Win7 Client Setup.docx
使用DLINK無線路由器配置WPA2.doc
使用思科1240AG加WIN7進行WPA2連接
辦公網AP共享密碼.txt
安裝過程.txt
無線網路安全指南：IAS RADIUS實現無線網路驗證.pdf
生成證書命令.txt

⑤ RADIUS 伺服器是做什麼的

您好！ RADIUS是一種完全開放的協議，分布源碼格式，這樣，任何安全系統和廠商都可以用。cisco支持在其AAA安全範例中支持RADIUS。RADIUS可以和在其它AAA安全協議共用，如TACACS+，Kerberos，以及本地用戶名查找。CISCO所有的平台都支持RADIUS，但是RADIUS支持的特性只能運行在cisco指定的平台上。RADIUS協議已經被廣泛實施在各種各樣的需要高級別安全且需要網路遠程訪問的網路環境。
RADIUS-簡介 RADIUS是一種分布的，客戶端/伺服器系統，實現安全網路，反對未經驗證的訪問。在cisco實施中，RADIUS客戶端運行在cisco路由器上上，發送認證請求到中心RADIUS伺服器，伺服器上包含了所有用戶認證和網路服務訪問的信息。

望您採納，謝謝您的支持！

⑥ 認證系統，如活動目錄AD、LDAP、Radius這些，究竟是做什麼用的。謝謝你。

AD、LDAP提供目錄服務，即類似於企業、人員黃頁的東西，用戶和組織的信息都被存放在上面，查找起來十分快捷，也可以理解成一種特殊的資料庫。
RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS（Net Access Server）伺服器，現在任何運行RADIUS客戶端軟體的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活，可以採用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議，它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。用戶接入NAS，NAS向RADIUS伺服器使用Access-Require數據包提交用戶信息，包括用戶名、密碼等相關信息，其中用戶密碼是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網路傳播；RADIUS伺服器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS伺服器提出計費請求Account- Require，RADIUS伺服器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。

⑦ 默認情況下RADIUS伺服器標準的認證和計費埠號是什麼

認證埠UDP：1812
計費埠UDP：1813

你是做認證計費嗎？還是做營銷

⑧ 如何配置radius認證伺服器

如果能telnet不能ssh的話試試：
line vty 0 4

transport input ssh
如果telnet也不行的話就檢查aaa和radius配置了

配置radius伺服器：
radius-server host x.x.x.x auth-port xxx acct-port xxx

aaa配置：
aaa authentication login xxx group radius local

確保radius伺服器上有版添加cisco設備的地址

天互權數據 為您解答，希望能幫到你

⑨ radius server是什麼意思最好詳細一點

什麼是 RADIUS 伺服器
RADIUS 是一種用於在需要認證其鏈接的網路訪問伺服器（NAS）和共享認證伺服器之間進行認證、授權和記帳信息的文檔協議。

RADIUS 的關鍵功能部件為：
客戶機／伺服器體系結構 網路訪問伺服器（NAS）作為 RADIUS 客戶機運行。客戶機負責將訂戶信息傳遞至指定的 RADIUS 伺服器，然後根據返回的響應進行操作。
RADIUS 伺服器負責接收訂戶的連接請求、認證訂戶，然後返回客戶機所有必要的配置信息以將服務發送到訂戶。
RADIUS 伺服器可以擔當其它 RADIUS 伺服器或者是其它種類的認證伺服器的代理。

網路安全性：
通過使用加密的共享機密信息來認證客戶機和 RADIUS 伺服器間的事務。從不通過網路發送機密信息。此外，在客戶機和 RADIUS 伺服器間發送任何訂戶密碼時，都要加密該密碼。 靈活認證機制：
RADIUS 伺服器可支持多種認證訂戶的方法。當訂戶提供訂戶名和原始密碼時，RADIUS 可支持點對點協議（PPP）、密碼認證協議（PAP）、提問握手認證協議（CHAP）以及其它認證機制。
可擴展協議：
所有事務都由變長的三元組「屬性-長度-值」組成。可在不影響現有協議實現的情況下添加新屬性值。

如何配置 RADIUS 伺服器
在「ISA 伺服器管理」的控制台樹中，單擊「常規」： 對於 ISA Server 2004 Enterprise Edition，依次展開「Microsoft Internet Security and Acceleration Server 2004」、「陣列」、「Array_Name」、「配置」，然後單擊「常規」。 對於 ISA Server 2004 Standard Edition，依次展開「Microsoft Internet Security and Acceleration Server 2004」、「Server_Name」、「配置」，然後單擊「常規」。 在詳細信息窗格中，單擊「定義 RADIUS 伺服器」。 在「RADIUS 伺服器」選項卡上，單擊「添加」。 在「伺服器名」中，鍵入要用於身份驗證的 RADIUS 伺服器的名稱。 單擊「更改」，然後在「新機密」中，鍵入要用於 ISA 伺服器與 RADIUS 伺服器之間的安全通訊的共享機密。必須在 ISA 伺服器與 RADIUS 伺服器上配置相同的共享機密，RADIUS 通訊才能成功。 在「埠」中，鍵入 RADIUS 伺服器要對傳入的 RADIUS 身份驗證請求使用的用戶數據報協議 (UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 伺服器，請將埠值設置為 1645。 在「超時（秒）」中，鍵入 ISA 伺服器將嘗試從 RADIUS 伺服器獲得響應的時間（秒），超過此時間之後，ISA 伺服器將嘗試另一台 RADIUS 伺服器。 如果基於共享機密的消息驗證程序與每個 RADIUS 消息一起發送，請選擇「總是使用消息驗證程序」。
注意：
要打開「ISA 伺服器管理」，請單擊「開始」，依次指向「所有程序」、「Microsoft ISA Server」，然後單擊「ISA 伺服器管理」。 當為 RADIUS 身份驗證配置 ISA 伺服器時，RADIUS 伺服器的配置會應用於使用 RADIUS 身份驗證的所有規則或網路對象。 共享機密用於驗證 RADIUS 消息（Access-Request 消息除外）是否是配置了相同的共享機密且啟用了 RADIUS 的設備發送的。 請務必更改 RADISU 伺服器上的默認預共享密鑰。 配置強共享密鑰，並經常更改，以防止詞典攻擊。強共享機密是一串很長（超過 22 個字元）的隨機字母、數字和標點符號。 如果選擇「總是使用消息驗證程序」，請確保 RADIUS 伺服器能夠接收並配置為接收消息驗證程序。 對於 VPN 客戶端，可擴展的身份驗證協議 (EAP) 消息始終是隨同消息驗證程序一起發送的。對於 Web 代理客戶端，將僅使用密碼身份驗證協議 (PAP)。 如果 RADIUS 伺服器運行了 Internet 身份驗證服務 (IAS)，並且為此伺服器配置的 RADIUS 客戶端選擇了「請求必須包含消息驗證程序屬性」選項，則必須選擇「總是使用消息驗證程序」。

⑩ 如何實現賬號在radius server 上驗證

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證服務）伺服器提供了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即提供了3A功能。其中審計也稱為「記賬」或「計費」。

RADIUS協議採用了客戶機/伺服器（C/S）工作模式。網路接入伺服器（Network Access Server，NAS）是RADIUS的客戶端，它負責將用戶的驗證信息傳遞給指定的RADIUS伺服器，然後處理返回的響應。RADIUS伺服器負責接收用戶的連接請求，並驗證用戶身份，然後返回所有必須要配置的信息給客戶端用戶，也可以作為其他RADIUS伺服器或其他類認證伺服器的代理客戶端。伺服器和客戶端之間傳輸的所有數據通過使用共享密鑰來驗證，客戶端和RADIUS伺服器之間的用戶密碼經過加密發送，提供了密碼使用的安全性。如果這台計算機是一台Windows Server 2003的獨立伺服器（未升級成為域控制器，也未加入域），則可以利用SAM來管理用戶賬戶信息；如果是一台Windows Server 2003域控制器，則利用活動目錄資料庫來管理用戶賬戶信息。雖然活動目錄資料庫管理用戶賬戶信息要比利用SAM來安全、穩定，但RADIUS伺服器提供的認證功能相同。為便於實驗，下面以一台運行Windows Server 2003的獨立伺服器為例進行介紹，該計算機的IP地址為172.16.2.254。

1
在"控制面板"中雙擊"添加或刪除程序"，在彈出的對話框中選擇"添加/刪除Windows組件"
2
在彈出的"Windows組件向導"中選擇"網路服務"組件，單擊"詳細信息".
3
勾選"Internet驗證服務"子組件，確定，然後單擊"下一步"進行安裝
4
在"控制面板"下的"管理工具"中打開"Internet驗證服務"窗口
5
創建用戶賬戶.在"控制面板"下的"管理工具"中打開"計算機管理"，選擇"本地用戶和組".
6
為了方便管理，我們創建一個用戶組"802.1x"專門用於管理需要經過IEEE 802.1x認證的用戶賬戶。滑鼠右鍵單擊"組"，選擇"新建組"，輸入組名後創建組。
7
在添加用戶之前，必須要提前做的是，打開"控制面板"-"管理工具"下的"本地安全策略"，依次選擇"賬戶策略"-"密碼策略"，啟用"用可還原的加密來儲存密碼"策略項。
否則以後認證的時候將會出現以下錯誤提示。
接下來我們添加用戶賬戶"0801010047"，設置密碼"123"。滑鼠右鍵單擊"用戶"，選擇"新用戶"，輸入用戶名和密碼，創建用戶
將用戶"0801010047"加入到"802.1x"用戶組中。滑鼠右鍵單擊用戶"0801010047"，選擇"屬性"。在彈出的對話框中選擇"隸屬於"，然後將其加入"802.1x"用戶組中。
設置遠程訪問策略,新建遠程訪問策略，滑鼠右鍵單擊"遠程訪問策略"，選擇"新建遠程訪問策略".
選擇配置方式，這里我們使用向導模式
選擇訪問方法，乙太網
選擇授權方式，將之前添加的"802.1x"用戶組加入許可列表
選擇身份驗證方法，"MD5-質詢"
確認設置信息
只保留新建的訪問策略，刪掉其他的