apm高可用ssl集群系統(tǒng)_第1頁
apm高可用ssl集群系統(tǒng)_第2頁
apm高可用ssl集群系統(tǒng)_第3頁
apm高可用ssl集群系統(tǒng)_第4頁
apm高可用ssl集群系統(tǒng)_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

APM

高可用SSL

VPN集群系統(tǒng)在Linux平臺搭建FreeRadius

Server

通過daloRadius

管理平臺實(shí)現(xiàn)SSLVPN的計(jì)費(fèi)及審計(jì)功能。Presented

by:

OknetXuPresales

ConsultantM:

Server

?RADIUS(Remote

Access

Dial

In

User

Service)Protocol –主要用來提供認(rèn)證(Authentication)機(jī)制,用來辨認(rèn)使用者的身份與密碼,確認(rèn)通過之后,經(jīng)由授權(quán)(Authorization)使用者登入網(wǎng)域使用相關(guān)資源,并可提供計(jì)費(fèi)(Accounting)機(jī)制,保存使用者的網(wǎng)絡(luò)使用記錄。Radius協(xié)議詳細(xì)介紹可參見RFC2865,RFC2866。FreeRadius是一款OpenSource軟件,基于Radius協(xié)議,實(shí)現(xiàn)

Radius

AAA(Authentication,Authorization,Accounting)功能,被廣泛的應(yīng)用在AAA環(huán)境中。為什么選擇FreeRadiusFreeRADIUS支持的認(rèn)證類型本地配置文件中的明文密碼(PAP)本地配置文件中的加密密碼CHAPMS-CHAPMS-CHAPv2Windows域控制器認(rèn)證代理到其他RADIUS服務(wù)器系統(tǒng)認(rèn)證(通常通過/etc/passwd)PAM(可插拔認(rèn)證模塊)LDAP(只支持PAP)CRAMPerl程序Python程序SIP

Digest(Cisco

VoIP,SER)Netscape-MTA-MD5加密的密碼Kerberos認(rèn)證X9.9認(rèn)證環(huán)EAP無線的嵌入式認(rèn)證方法EAP-MD5CISCO

LEAPEAP-MSCHAP-V2EAP-GTCEAP-SIMEAP-TLSEAP-TTLSEAP-PEAP計(jì)費(fèi)數(shù)據(jù)存儲方式本地’detail’文件本地’wtmp’和’utmp’文件代理到其他RADIUS服務(wù)器復(fù)制到一臺或多臺RADIUS服務(wù)器MSSQLServerOracleMySQLPostgreSQLSybase

/

DB2任何iODBC或者unixODBC支持的數(shù)據(jù)庫為什么選擇FreeRadius廣泛支持當(dāng)前流行的各種認(rèn)證方式支持多種計(jì)費(fèi)數(shù)據(jù)的存儲方式開源軟件,免費(fèi)使用免費(fèi)的Radius

Web管理界面

–daloRadiusdaloRadius–免費(fèi)的Radius用戶管理系統(tǒng)方案構(gòu)成MySQL

Server存儲SSLVPN用戶信息、計(jì)費(fèi)信息、登陸日志FreeRadius

Server提供Radius

Account/Auth

的支持daloRadiusPHP

編寫的Radius賬戶管理系統(tǒng)提供可讀的用戶信息、計(jì)費(fèi)信息、日志系統(tǒng)的統(tǒng)計(jì)界面,以及一切可能的人機(jī)對話界面F5

EDGE

Gateway實(shí)現(xiàn)SSL

VPN功能與FreeRadius

Server協(xié)同工作方案架構(gòu)系統(tǒng)部署Linux

Debian

5.0apt-get

install

vim-full

openssh-server安裝MySQLapt-get

install

mysql-server

mysql-client安裝FreeRadius及mysql支持apt-get

install

freeradius

freeradius-mysql安裝daloRadius需要的Web環(huán)境apt-get

install

apache2

php5

php-pear

php5-gd

php-DBFreeRadius

配置部分啟動(dòng)FreeRadius,此時(shí)FreeRadius

不連接到MySQL –/etc/init.d/freeradius

start測試FreeRadius

是否已經(jīng)正常工作radtest{用戶}{密碼}localhost

1812

testing123{用戶}可以使用root,{密碼}自然是root賬戶的密碼看到如下結(jié)果,表示FreeRadius正常工作Sending

Access-Request

of

id

138

to

port

1812User-Name

=

"kin"User-Password

=

"123"NAS-IP-Address

=

NAS-Port

=

1812rad_recv:

Access-Accept

packet

from

host

port

1812,

id=138,

length=20停止FreeRadius/etc/init.d/freeradius

stopFreeRadius

配置部分創(chuàng)建數(shù)據(jù)庫#mysqladmin

-uroot

-p

create

radius#mysql

-uroot

-pmysql>GRANT

ALL

ON

radius.*

TO

'radius'@'localhost'

IDENTIFIED

BY

'radpass';mysql>FLUSH

PRIVILEGES;mysql>quit創(chuàng)建支持daloRadius管理用的相關(guān)表#mysql

-uroot

-p

radius

<

/etc/freeradius/sql/mysql/schema.sql#mysql

-uroot

-p

radius

<

/etc/freeradius/sql/mysql/nas.sql#mysql

-uroot

-p

radius

<

/etc/freeradius/sql/mysql/ippool.sqlFreeRadius

配置部分配置freeRadius以支持MySQL打開/etc/freeradius/sql.conf,配置以下部分:#

Connection

info:server

=

“l(fā)ocalhost”login

=

“radius”password

=

“radpass”radius_db

=

“radius”-->radius用戶名-->radius密碼-->radius數(shù)據(jù)庫使用NAS管理,把這行前面的#去掉.readclients=yes打開/etc/freeradius/sites-enabled/default用“sql”作為關(guān)鍵字搜索,找出以下幾行,去掉“sql”

前面的#號authorize{}部分(第152

行)accounting{}部分(第342

行)session{}

部分(第373

行)post-auth{}

部分(第394

行)FreeRadius

配置部分配置freeRadius支持在收到Accounting-STOP信息時(shí),記錄Framed-IP-Address字段到數(shù)據(jù)庫打開/etc/freeradius/sql/mysql/dialup.conf,配置以下部分222accounting_stop_query

=

"

\223UPDATE

${acct_table2}

SET

\224acctstoptime =

'%S',\225acctsessiontime =

'%{Acct-Session-Time}',

\226acctinputoctets =

'%{%{Acct-Input-Gigawords}:-0}'

<<

32

|

\227'%{%{Acct-Input-Octets}:-0}',

\228acctoutputoctets =

'%{%{Acct-Output-Gigawords}:-0}'

<<

32

|

\229'%{%{Acct-Output-Octets}:-0}',

\230acctterminatecause

=

'%{Acct-Terminate-Cause}',

\231acctstopdelay =

'%{%{Acct-Delay-Time}:-0}',

\232connectinfo_stop =

'%{Connect-Info}',

\233framedipaddress =

'%{Framed-IP-Address}'

\234WHERE

acctsessionid =

'%{Acct-Session-Id}'

\235AND

username =

'%{SQL-User-Name}'

\FreeRadius

配置部分打開/etc/freeradius/radiusd.conf第1322

行,注釋取消$INCLUDE

sql.conf創(chuàng)建測試賬戶#mysql

-uroot

-p

radiusmysql>

INSERT

INTO

radcheck

(UserName,

Attribute,

Value)

VALUES

('sqltest','Password',

'testpwd');mysql>

FLUSH

PRIVILEGES;mysql>

quit以DEBUG模式啟動(dòng)freeRadius –/usr/sbin/freeradius-XFreeRadius

配置部分打開一個(gè)新的終端窗口,測試freeRadius是否可以通過MySQL完整用戶認(rèn)證#radtest

sqltest

testpwd

localhost

1812

testing123看到以下信息,表示工作正常Sending

Access-Request

of

id

226

to

port

1812User-Name

=

"sqltest"User-Password

=

"testpwd"NAS-IP-Address

=

NAS-Port

=

1812rad_recv:

Access-Accept

packet

from

host

port

1812,

id=226,

length=20到此,已完成FreeRadius部分的配置回到freeradius-X

的窗口,按下CTRL+C終止進(jìn)程daloRadius配置部分下載daloRadius并安裝wget/sourceforge/daloradius/daloradius-

0.9-8.tar.gztar

-xzvf daloradius-0.9-8.tar.gzmv

daloradius-0.9-8.tar.gz

/var/www/daloradiuschown

-R

www-data:www-data

/var/www/daloradiuschmod

644

/var/www/daloradius/library/daloradius.conf.phpmysql

-u

root-p

radius

</var/www/daloradius/contrib/db/mysql-daloradius.sqlBug修正nano

/var/www/daloradius/library/daloradius.conf.php找到CONFIG_DB_TBL_RADUSERGROUP將它的值改為:radusergroupdaloRadius配置部分打開/var/www/daloradius/library/daloradius.conf.php$configValues[‘FREERADIUS_VERSION’]

=

‘2’;$configValues[‘CONFIG_DB_ENGINE’]

=

‘mysql’;$configValues[‘CONFIG_DB_HOST’]=

‘’;$configValues[‘CONFIG_DB_USER’]=

‘radius’;$configValues[‘CONFIG_DB_PASS’]

=

‘radpass’;$configValues[‘CONFIG_DB_NAME’]

=

‘radius’;-->radius用戶名-->radius密碼-->radius數(shù)據(jù)庫配置Apache2,以通過瀏覽器訪問daloRadius–打開/etc/apache2/apache2.conf,加入以下內(nèi)容Alias

/myradius

"/var/www/daloradius/"<Directory

/var/www/daloradius/>Options

Noneorder

deny,allowdeny

from

allallow

from

allow

from

<other

management

IP></Directory>daloRadius配置部分重新加載Apache2配置文件/etc/init.d/apache2

restart啟動(dòng)FreeRadius/etc/init.d/freeradius

start訪問daloRadiushttp://x.x.x.x/myradius/User:administratorPass:radiusF5

APM配置部分通過Device

Wizards完成Network

Access

Setup

Wizardfor

Remote

Access的基本配置F5

APM配置部分剛才完成的基本配置,只有radius

auth的功能,而不具備計(jì)費(fèi)審計(jì)功能,選擇Access

Policy=>AAA

Servers菜單–

創(chuàng)建一個(gè)新的Radius

Auth&Accounting

Mode的AAA

ServerF5

APM配置部分進(jìn)入VPE關(guān)聯(lián)新建立的Radius

AAA

Server點(diǎn)擊RADIUS

Auth,彈出新的窗口修改Name為RADIUS

Auth

Acct修改AAA

Server為我們新建立的apmdemo_auth_accounting登陸daloRadius創(chuàng)建SSLVPN測試賬號首先創(chuàng)建Profile:defaultgroup–所有跟defaultgroup關(guān)聯(lián)的用戶,在登陸成功后,我們希望APM知道這個(gè)用戶所屬的用戶分組是:

defaultgroup,便于根據(jù)用戶分組的不同,提供不同的權(quán)限,以及可以訪問的資源登陸daloRadius創(chuàng)建SSLVPN測試賬號接下來創(chuàng)建用戶賬號sslvpntest進(jìn)行登陸測試登陸登陸成功退出會(huì)話APM

Radius

Accounting

Bug在測試中我們發(fā)現(xiàn)當(dāng)VPN斷線時(shí),APM并不會(huì)向

FreeRadius發(fā)送用戶離線消息,也不會(huì)告知用戶的計(jì)費(fèi)信息,參考上一張slide,用戶在線歷史記錄中的1-6條為此F5

Support提供了一個(gè)補(bǔ)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論