radius认证

① 求助，是否有数据库可以支持radius方式认证登录的

我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限. 在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数

据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式. 这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。

这里我们以一个客户的需求作为例子：客户原来的WIN2003域控制器同时也是RADIUS认证服务器，启用了WIN2003自带的IAS（Internet Authentication Service）服务，对LAN里

所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机，希望实现以下功能：

1．无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证，只有该域中的成员才能有权限访问交换机；

2．登录的用户只能获得普通模式的访问权限，客户会针对telnet或console登录在交换机上设置特权模式的密码，通过IAS认证的用户还必须输入正确密码才能获得查看、修改配

置的权限。

我们根据客户的要求搭建如下一个简单的环境，以全新安装的方式作测试：

第一部分：配置交换机

1.给交换机配置管理IP：

interface vlan 1

ip address 192.168.2.1 255.255.255.0

2.在全局配置模式下，配置radius 服务器IP地址及key,注意，这个密钥用于RADIUS Client和Server之间的通信验证，“key”的设置必须和IAS上“share secret”的设置完全相

同。然后配置用户登录及进入特权模式的认证方式，我们定义了“login“的认证方式为：先尝试radius,如果radius server down,再尝试Local；进入特权模式“enable”的认证

方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名，以便下一步将其绑定在对应的接口上：

radius-server host 192.168.2.100 auth-port 1812

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

3.进入接口配置模式，将相应的配置文件绑定在对应接口上，并且设置好进入特权模式的密码：

line telnet

login authentication test

enable authentication priv

password encrypted

line console

login authentication test

enable authentication priv

password encrypted

最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机：

username admin password level 15 encrypted

#如果需要在登录WEB页面进行RADIUS认证，使用下面命令:

console(config)# ip https authentication radius local

第二部分：在WIN2003域控制器上安装配置IAS服务：

1．打开控制面板――》添加删除程序――》添加删除windows组件，找到networking services,点击“details”,选择”internet authentication services”,确定，插入

WIN2003源盘进行安装：

2. 完成后安装后，我们需要将其注册到AD中（如果是工作组环境，则IAS认证本地用户或组）。打开IAS,点击Action，选择“register server in Active Directory”:

3.系统提示为了启用IAS认证，必须允许IAS Server读取AD里用户的Dial－In属性，点击OK：

4．系统必须将该IAS注册到RAS/IAS servers group里，点击OK，打开域控的AD用户计算机控制台，在Users里我们可以看到这台名为DELL的IAS已经是其成员了：

5．同时，我们必须开启那些需要通过IAS认证的域中用户的“remote access”权限，这里的用户$enab15$是一个需要手工建立的特殊帐号，用于需要通过IAS进行进入特权模式认

证时，使用该默认帐号：

6．完成后打开IAS，鼠标右击”RADIUS Client”，选择新建一个client,这个Client指的是申请认证服务的设备，这里即是5324交换机，输入一个名称及其管理IP：

7．Client－Vendor选择“RADIUS Standard”,再输入“share secret”,这个密钥用于RADIUS Client和Server之间的通信验证，所以必须和在交换机上用“radius-server key

XXXXXXXX”设置的密码完全相同，然后点击完成：

8.右击“remote access policy”,给5324新建一个访问策略,这里需要注意，可以建立多个策略，系统会按顺序匹配，一旦发现满足条件的，则将忽略掉其以下的策略：

9．选择“setup a custom policy”, 输入policy的名称，下一步：

10．接下来定义访问策略的条件，点击“add”，这里选择“NAS－IP－Address”，即该策略只给满足设定的IP地址的设备使用，我们输入5324的IP地址，下一步：

11．选择“grant remote access” ,下一步：

12．点击下一步完成。

13．鼠标右击刚刚建立的策略，打开属性：

14．点击“edit profile”,从中我们可以选择认证方式，这里选择不加密认证：

15．选择“Encryption”,确保所有选项均已选上：

16．点击“advanced”选项，点击“add”，添加认证过程中的“属性“值，注意如果其中已经有了其他不需要的属性设置，请全部删除后再添加所需的值，否则可能达不到预定效

果：

17．如果我们需要赋予经过认证的客户以“管理员（即特权模式）”权限登录交换机，有两种方法：第一，可以添加“service-type”,Attribute value选择“administrative”

：

第二，添加“Cisco-AV-Pair”,再点击”add”,设置属性值：

在“Attribute value”栏里输入“shell:priv-lvl=15”, “15”即代表了管理员权限，这里因为我们只能赋予登录的用户普通模式的访问权限，所以设为“1”，点击OK完成设置

：

18．这样完成所有配置，接下来用Telnet登录交换机测试即可.如果认证失败，需要查看系统日志及交换机的日志，看看具体原因：

② 什么是RADIUS认证

RADIUS是英文(Remote Authentication Dial In User Service)的缩写，是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档，如：用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面：认证部分、客户协议以及记费部分,其中：

RADIUS 认证部分一般安装在网络中的某台服务器上，即RADIUS认证服务器；

客户协议运行在远程接入设备上，如：远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器，并按照服务器发回的响应做出行动；

RADIUS记费部分收集统计数据，并可以生成有关与网络建立的拨入会话的报告。

③ 什么是本地用户认证 、 OTP(一次性口令) 、 RADIUS认证

本地用户认证
通过存储本地的profile设置组，您的zyair可以不通过网络上的radius server也能够对无线用户做认证。

一次性口令技术简介 ASPHouse,2001-08-04 00:00:00

常规口令

在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。计算机世界与现实世界非常相似，各种计算资源（如：文件、数据库、应用系统）也需要认证机制的保护，确保这些资源被应该使用的人使用。在大多数情况下，认证机制与授权和记账也紧密结合在一起。

目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统，首先必须在这个NT上设置一个账户，并设定密码。当通过网络访问NT资源时，系统会要求输入你的账户名和密码。在账户和密码被确认了以后，你就可以访问NT上的资源了。

这种以固定口令为基础的认证方式存在很多问题，最明显的是以下几种：

网络数据流窃听(Sniffer) 由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。
字典攻击 由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。
穷举尝试(Brute Force) 这是一种特殊的字典攻击，它使用字符串的全集作为字典。如果用户的密码较短，很容易被穷举出来，因而很多系统都建议用户使用长口令。
窥探 攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。
社交工程 攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令。
垃圾搜索 攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。
虽然用户可以通过经常更换密码和增加密码长度来保证安全，但这同时也用户带来了很大麻烦。

一次性口令

为了解决固定口令的诸多问题，安全专家提出了一次性口令（OTP：One Time Password）的密码体制，以保护关键的计算资源。

OTP的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。
例如：登录密码=MD5(用户名＋密码 ＋时间），系统接收到登录口令后做一个验算即可验证用户的合法性。

不确定因子选择与口令生成

这些不确定因子选择方式大致有以下几种：

口令序列(S/KEY) 口令为一个单向的前后相关的序列，系统只用记录第 N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。
挑战/回答(CRYPTOCard) 用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份。
时间同步(SecureID) 以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。在SecureID 产品中，对时间误差的容忍可达±1分钟。
事件同步(Safe Word) 这种方法以挑战/回答方式为基础，将单向的前后相关序列作为系统的挑战信息，以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后，需要重新同步。
一次性口令的生成方式有以下几种：

Token Card（硬件卡） 用类似计算器的小卡片计算一次性口令。对于挑战/回答方式，该卡片配备有数字按键，便于输入挑战值；对于时间同步方式，该卡片每隔一段时间就会重新计算口令；有时还会将卡片作成钥匙链式的形状，某些卡片还带有PIN保护装置。
Soft Token（软件） 用软件代替硬件，某些软件还能够限定用户登录的地点。
IC卡 在IC卡上存储用户的秘密信息，这样用户在登录时就不用记忆自己的秘密口令了。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写，是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档，如：用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面：认证部分、客户协议以及记费部分,其中：

RADIUS 认证部分一般安装在网络中的某台服务器上，即RADIUS认证服务器；

客户协议运行在远程接入设备上，如：远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器，并按照服务器发回的响应做出行动；

RADIUS记费部分收集统计数据，并可以生成有关与网络建立的拨入会话的报告。

④ 使用RADIUS认证服务器控制无线网络接入。

可以用WIN2003做一个RADIUS认证服务器，AP方面用什么都可以，只要不是杂牌子的都行，我用DLINK和思科的试过，都可以，电脑保存密码以后就很方便，每次打开WIFI就可以直接连入无线，我们是为了减少MAC地址绑定的工作量才使用RADIUS去域控制器进行用户名和密码的验证的，下面是我自己的配置笔记，文件太多没法上传到这里啊，我做好RADIUS服务器以后在各种操作系统里建立好连接，导出以后写脚本发给所有员工，执行导入就可以了，平滑割接。

Enterprise WLAN profile deployment with .bat script 为大量用户批量安装的脚本.docx
IAS访问失败日志.txt
IAS访问成功日志.txt
import_win7.bat
netsh命令.txt
PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3.pdf
win7.rar
win7_wpa.htm
win7_wpa_files
WIN7安装脚本
WinXP安装脚本
WPA2 Enterprise Win7 Client Setup.docx
使用DLINK无线路由器配置WPA2.doc
使用思科1240AG加WIN7进行WPA2连接
办公网AP共享密码.txt
安装过程.txt
无线网络安全指南：IAS RADIUS实现无线网络验证.pdf
生成证书命令.txt

⑤ RADIUS 服务器是做什么的

您好！ RADIUS是一种完全开放的协议，分布源码格式，这样，任何安全系统和厂商都可以用。cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用，如TACACS+，Kerberos，以及本地用户名查找。CISCO所有的平台都支持RADIUS，但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
RADIUS-简介 RADIUS是一种分布的，客户端/服务器系统，实现安全网络，反对未经验证的访问。在cisco实施中，RADIUS客户端运行在cisco路由器上上，发送认证请求到中心RADIUS服务器，服务器上包含了所有用户认证和网络服务访问的信息。

望您采纳，谢谢您的支持！

⑥ 认证系统，如活动目录AD、LDAP、Radius这些，究竟是做什么用的。谢谢你。

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。
RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

⑦ 默认情况下RADIUS服务器标准的认证和计费端口号是什么

认证端口UDP：1812
计费端口UDP：1813

你是做认证计费吗？还是做营销

⑧ 如何配置radius认证服务器

如果能telnet不能ssh的话试试：
line vty 0 4

transport input ssh
如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器：
radius-server host x.x.x.x auth-port xxx acct-port xxx

aaa配置：
aaa authentication login xxx group radius local

确保radius服务器上有版添加cisco设备的地址

天互权数据 为您解答，希望能帮到你

⑨ radius server是什么意思最好详细一点

什么是 RADIUS 服务器
RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。

RADIUS 的关键功能部件为：
客户机／服务器体系结构 网络访问服务器（NAS）作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器，然后根据返回的响应进行操作。
RADIUS 服务器负责接收订户的连接请求、认证订户，然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。

网络安全性：
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外，在客户机和 RADIUS 服务器间发送任何订户密码时，都要加密该密码。 灵活认证机制：
RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时，RADIUS 可支持点对点协议（PPP）、密码认证协议（PAP）、提问握手认证协议（CHAP）以及其它认证机制。
可扩展协议：
所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。

如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中，单击“常规”： 对于 ISA Server 2004 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”，然后单击“常规”。 对于 ISA Server 2004 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”，然后单击“常规”。 在详细信息窗格中，单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上，单击“添加”。 在“服务器名”中，键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”，然后在“新机密”中，键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密，RADIUS 通讯才能成功。 在“端口”中，键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器，请将端口值设置为 1645。 在“超时（秒）”中，键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间（秒），超过此时间之后，ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送，请选择“总是使用消息验证程序”。
注意：
要打开“ISA 服务器管理”，请单击“开始”，依次指向“所有程序”、“Microsoft ISA Server”，然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时，RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息（Access-Request 消息除外）是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥，并经常更改，以防止词典攻击。强共享机密是一串很长（超过 22 个字符）的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”，请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 VPN 客户端，可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端，将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS)，并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项，则必须选择“总是使用消息验证程序”。

⑩ 如何实现账号在radius server 上验证

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。为便于实验，下面以一台运行Windows Server 2003的独立服务器为例进行介绍，该计算机的IP地址为172.16.2.254。

1
在"控制面板"中双击"添加或删除程序"，在弹出的对话框中选择"添加/删除Windows组件"
2
在弹出的"Windows组件向导"中选择"网络服务"组件，单击"详细信息".
3
勾选"Internet验证服务"子组件，确定，然后单击"下一步"进行安装
4
在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口
5
创建用户账户.在"控制面板"下的"管理工具"中打开"计算机管理"，选择"本地用户和组".
6
为了方便管理，我们创建一个用户组"802.1x"专门用于管理需要经过IEEE 802.1x认证的用户账户。鼠标右键单击"组"，选择"新建组"，输入组名后创建组。
7
在添加用户之前，必须要提前做的是，打开"控制面板"-"管理工具"下的"本地安全策略"，依次选择"账户策略"-"密码策略"，启用"用可还原的加密来储存密码"策略项。
否则以后认证的时候将会出现以下错误提示。
接下来我们添加用户账户"0801010047"，设置密码"123"。鼠标右键单击"用户"，选择"新用户"，输入用户名和密码，创建用户
将用户"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047"，选择"属性"。在弹出的对话框中选择"隶属于"，然后将其加入"802.1x"用户组中。
设置远程访问策略,新建远程访问策略，鼠标右键单击"远程访问策略"，选择"新建远程访问策略".
选择配置方式，这里我们使用向导模式
选择访问方法，以太网
选择授权方式，将之前添加的"802.1x"用户组加入许可列表
选择身份验证方法，"MD5-质询"
确认设置信息
只保留新建的访问策略，删掉其他的