freeradius整合AD域作anyconncet认证服务器

 

二、RADIUS的做事经过

root@zhf-linux:/home/zhf#
/etc/init.d/samba start

 

7.
RADIUS服务器接受到计费必要包后始发计费,并向客商端回送最早计费的响应包。

domain:使用外界服务器密码

当samba服务器修改允许接入的client密码后,windows下再一次登陆会提示: samba
不容许一个客商选用多少个之上用…

Radius服务器:centos6.6、hostname、selinux  disabled、stop iptables

Primary Group SID:
S-1-5-21-144210916-2780440130-1362333617-513

 

三、安装freeradius与AD结合须求用的机件

3
设置public=no

 

              [global]

Samba服务器首要布局文件为/etc/samba/smb.conf。
大家率先来看下windows中不用输入密码访问Linux分享目录的方法。由此首先编辑smb.conf文件。将文件中的内容张开如下修改;

重新登陆samba,OK;

                     # ———————– Domain Members Options

                     security = ads  #ads设置必得在那项里面

                     realm = example.com

                     password server = (AD-IP)

       samba的ads形式(活动目录格局):

  那是linux系统samba服务器的一种流行性工作形式,用于把samba服务器步向到windows服务器活动目录域中,并负有活动目录域调节器的意义。那时samba服务器就约等于一台域调控器了,能够团结行使移动目录中的账户数据库对顾客的拜访举办身份验证。

  #/etc/init.d/smb start

  #/etc/init.d/nmb start

  #chkconfig nmb on

  #chkconfig smb on

五、修改系统账号验证

       # vim /etc/nsswitch.conf(名字服务切换配置)

      
此文件分明通过什么路径以及遵照什么顺序通过这个渠道来找出特定项目标新闻。还足以钦命有些方法奏效或然、失效时系统将使用什么动作。配置格式如下:

       Info:method[[action]] [method[[action]]…]

      
Info钦点该行所叙述的新闻的花色,method位用来搜寻该消息的主意,action是对日前的method再次回到状态的响应。

      
职业规律:当供给提供nsswitch.conf文件所描述的音讯的时候,系统将检查含有分外info字段的配置行。它依照从左向右的一一最早实践配置中钦命的主意。在暗中同意意况下,如若找到梦想的音讯,系统将告一段落搜索。如果未有一些名的action,那么当有个别方法未能回到结果时,系统就能够尝试下三个动作。有十分的大希望搜索截止都没找到想要的信息。

       nsswitch.conf文件末尾增加以下几行:

              passwd:     files winbind

     shadow:     files winbind

     group:      files winbind

     protocols:   files winbind

     services:      files winbind

     netgroup:    files winbind

     automount:   files winbind

六、设置kerberos认证机制

       #vim /etc/krb5.conf

       在布局ads情势samba服务器时/etc/krb5.conf
配置文件是必得安排的。它看成kerberos身份验证模块,能够使samba服务器对windows
AD域有更加好的扶助。

              [logging]

              default = FILE:/var/log/krb5libs.log

              kdc = FILE:/var/log/krb5kdc.log

              admin_server = FILE:/var/log/kadmind.log

 

     [libdefaults]

              default_realm = EXAMPLE.COM

              dns_lookup_realm = false

              dns_lookup_kdc = false

              ticket_lifetime = 24h

              renew_lifetime = 7d

              forwardable = true

 

     [realms]

     EXAMPLE.COM {

                kdc = AD-host.example.com

     }

 

     [domain_realm]

              .example.com = EXAMPLE.COM

              example.com = EXAMPLE.COM

七、配置KDC服务

       # vim /var/kerberos/krb5kdc/kdc.conf

       [realms]

       EXAMPLE.COM = {

            #master_key_type = aes256-cts

             acl_file = /var/kerberos/krb5kdc/kadm5.acl

            dict_file = /usr/share/dict/words

            admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab

       supported_enctypes = aes256-cts:normal aes128-cts:normal
des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal
des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3

}

八、测量检验samba和kdc是否足以平常通讯

       #kinit
administrator@example.com

       这一步回车符合规律状态下是会让输入顾客的密码Password for
administrator@example.com:

       安装kerberos软件后,必得布署KDC服务器。KDC提供颁发凭证的劳动。

       #/etc/init.d/winbind start

       #chkconfig winbind on

九、将freeradius参预域并测量检验是不是同步域账号

       #net rpc join –U administrator

            Password:输入密码

              。。。

              Joined domain  test

       #wbinfo –t 检查rpc链接是或不是中标

              。。。

              checking the trust secret via RPC calls succeeded

       # wbinfo –u  获取客户音讯

              一群客户出现

       #wbinfo –g  获取组消息

              一批组出现

       #getent passwd

              一批不亮堂如何客商密码出现

十、freeradius服务配置

       freeradius的布置文件几乎都在/etc/raddb目录下

       #vim /etc/radius.conf   这么些文件好像也没怎么好改的

       #vim /etc/users   

              DEFAULT  Auth-Type = ntlm_auth  那几个要开辟

      #vim /etc/clients.conf   设置客户端音信

              client IP(anyconnect) {

              secret          = cisco

              shortname       = freeRADIUS

              nastype         = other

  }

       #vim /etc/raddb/sites-available/default

              authorize {  ntlm_auth } //最终一行增加

              authenticate {Auth-Type ntlm_auth { ntlm_auth } }

       #vim /etc/raddb/sites-available/inner-tunnel

              authorize { ntlm_auth }

              authenticate {Auth-Type ntlm_auth { ntlm_auth } }

       #vim /etc/raddb/sites-enabled /default

              authorize {  ntlm_auth } //最终一行增加

              authenticate {Auth-Type ntlm_auth { ntlm_auth } }

       #vim /etc/raddb/sites-enabled/inner-tunnel

              authorize { ntlm_auth }

              authenticate {Auth-Type ntlm_auth { ntlm_auth } }

      
最终那多个公文夹的四个公文是炫彩的关联。不过本服务器未做映射,任意

       #/etc/raddb/modules/ldap

              ldap {

                     server = “IP(AD的IP地址)”

                     identity =
“CN=zabbix,ou=特殊账户,dc=example,dc=com”

                     password = “password”

                basedn = “DC=example,DC=com”

                filter =
“(uid=%{%{Stripped-User-Name}:-%{User-Name}})”

              }

       #vim /etc/raddb/modules/ntlm_auth

              exec ntlm_auth {

              wait = yes

       program = “/usr/bin/ntlm_auth –request-nt-key
–domain=EXAMPLE.COM –username=%{mschap:User-Name}
–password=%{User-Password}”

  }

       #vim /etc/raddb/modules/mschap 
编辑mschap模块,使用ntlm_auth做MS_CHAP认证

   ntlm_auth = “/usr/bin/ntlm_auth –request-nt-key
–username=%{mschap:User-Name:-None}
–domain=%{%{mschap:NT-Domain}:-EXAMPLE.COM}
–challenge=%{mschap:Challenge:-00}
–nt-response=%{mschap:NT-Response:-00}”

       #vim /etc/raddb/policy.conf   修改计策

              policy {

                     ntlm_auth.authorize {

                            if(!control:Auth-Type && User-Paaword){

                 update control {

                   Auth-Type := ntlm_auth

            }

          }

                     }

      }    

      

十一、最后测量检验

       #chown –R root.radiusd /var/lib/samba/winbindd_privileged

       #/etc/init.d/winbind restart

   #radiusd –X   开启freeradius的debug模式

       #radtest –t mschap 域账号 ‘密码’  localhost 0 testing123

      
用域账号密码本地测量试验,假诺接受Access-Accept的过来,表达freeradius和AD域整合成功!

       此番重组是为anyconnect vpn做筹算,和anyconnect
vpn平常通讯的要素:

    1)        账号借使域账号里面存在的

    2)        freeradius服务器要设置client端音信

    3)        认证合同要合併,本次表达使用的斟酌是ms-chap

经过passwd命令设置客户名密码

间接以为是samba服务器配置错误,后来上网寻觅,是因为windows的缓存在作祟;

9.
RADIUS服务器收到到结束计费包后结束计费,并向顾客端发送甘休计费响应包,完毕该顾客的一遍计费,记录计费消息。

writable=yes

当samba服务器修改允许接入的client密码后,windows下再也登录会提示:

       #vim  /etc/samba/smb.conf

writable =
yes

 

       #yum  install  samba  krb5-server  freeradius  freeradius-utils 
freeradius-mysql

Logon hours :
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

行使ubuntu开samba服务器遇到的难题

  1. RADIUS服务器对客商实行验证

security=user

 

域名先剖判:#vim /etc/hosts

[homes]

化解办法:

一、服务器须求

root@zhf-linux:/home#
chmod 2770 /home/project

打开cmd

       samba作为freeradius和AD域沟通的桥梁装在freeradius服务器上

在windows下访问分享目录,点击运维,输入
\\192.168.0.11\share
那样就会以佚名客商访谈分享目录share了。

samba
分化意二个客户采用三个以上客商名与服务器分享财富….那样好像的音讯;

四、配置samba

root@zhf-linux:/var/log/samba# useradd -G users
smb1

 

2.
顾客端发生三个对接央求报文到RADIUS服务器,个中包含了客商名,密码,客商端ID和客户访谈端口的ID,密码都是通过MD5加密的。

NT username:

输入net  use * /del /y

  1. 顾客端发送计费乞请给RADIUS服务器

其一是windows的标题,化解办法有2个:

        IP  AD-host.example.com

3
能够通过ps
-aux查看samba的起步

  1. 客户输入客户名密码等消息到客户端

[share]

4.
万一评释成功,RADIUS服务器想顾客端发送允许接入包,不然就发送拒绝接入包。

Profile Path:
\\zhf-linux\smb1\profile

  1. 顾客断开连接,客户端发送甘休计费包给RADIUS服务器

2
安装好后初始运转samba

5.
若客户端接受到允许接入包,则为客户营造连接,对客户张开授权和提供劳动;若接受到闭门羹接入包,则不容客商接入央浼。

1
ubuntun系统并未自带SAMBA,所以必要格外安装

指标:只做客户名密码的证实

保存退出,重启samba服务器

AD域服务器:Windows Server 二零一零 Kuga2
Enterprise、AD-host.example.com(提前搭建好的AD域)

[ ok ] Starting smbd (via
systemctl): smbd.service.

freeradius版本大小:2.2.6

Domain:
ZHF-LINUX

        IP  hostname 

利用pdbedit命令进行增添

                     workgroup = example

root@zhf-linux:/etc# mkdir
/home/project

comment:目录的辨证

path=/home/zhf/zhf

passdb
backend=tdbsam

comment = smbuser’s
project

前方介绍了不经过密码间接登入samba服务器的诀要,设置特别简易。不过尔尔不须求密码直接访谈的措施不太安全。大家来看下通过samba服务器提供的辨证情势来举办客户职务的分红,也就是说,必得求输入准确的帐号和密码后,技能够登录samba查看你本人的数目

增添好顾客后,下一步就是亟需编写制定smb.conf文件

[ ok ] Starting
samba-ad-dc (via systemctl):
samba-ad-dc.service.

发表评论

电子邮件地址不会被公开。 必填项已用*标注