Centos 7 freeradius 搭建企业wifi认证服务

Centos 7 搭建Wpa认证服务

关键字 ：freeradius wpa eap
参考： http://www.racksam.com/2017/03/02/centos7-install-freeradius

路由器设置为WPA/WPA2企业版模式之后，热点的security=SECURITY_EAP，设备再连接该wifi

1、准备工作：

一台支持WPA/WPA2企业版的路由器

一台安装了centos7的电脑或者虚拟机

要保证电脑或虚拟机与路由器同一个网段。
注意：若使用虚拟机，网络不要使用共享网络模式，要用桥架wifi模式（保证同一网段，使路由器能够访问到freeradius）

2、安装数据库

2.1安装mariadb服务器

# yum -y update
# yum install -y mariadb-server mariadb

2.2开启mariadb服务

# systemctl start mariadb
# systemctl enable mariadb

2.3查看数据库状态

# systemctl status mariadb
# systemctl is-enabled mariadb.service
enabled

2.4初始化数据库安全设置

设置数据库密码，要记住，后面要用到。推荐选项：

Set root password? [Y/n] Y
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y

3、创建FreeRadius数据库

创建radius数据库，并设置用户名及密码：
-u 用户名。由于我们没有为数据库创建新用户，所以只能使用root账号登录，密码就是上面设置的数据库密码

# mysql -u root -p

创建一个名为radiusdb的数据库

MariaDB [(none)]> CREATE DATABASE radiusdb;
MariaDB [(none)]> GRANT ALL ON radiusdb.* TO dbuser@localhost IDENTIFIED BY "mypass";
GRANT ALL ON radiusdb.* TO dbuser@'%' IDENTIFIED BY "mypass";
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> \q
Bye

4、安装FreeRadius

4.1 yum安装freeradius

yum -y install freeradius freeradius-utils freeradius-mysql

4.2导入数据库schema
schema.sql 里是创建数据表的sql语句

# mysql -u root -p radiusdb < /etc/raddb/mods-config/sql/main/mysql/schema.sql

4.3 配置FreeRadius使用mysql
启用sql模块

# ln -s /etc/raddb/mods-available/sql /etc/raddb/mods-enabled/
# chgrp -h radiusd /etc/raddb/mods-enabled/sql

4.4配置mysql数据库连接信息

vim /etc/raddb/mods-available/sql

主要修改内容

sql {(...省略...）driver = "rlm_sql_mysql"dialect = "mysql"# Connection info:#server = "localhost"port = 3306login = "dbuser"password = "mypass"radius_db = "radiusdb"(...省略...）
}

5、调整FreeRadius与MariaDB的启动顺序

5.1添加FreeRadius启动服务

# systemctl enable radiusd.service

FreeRadius服务必须在数据库正常启动后才能正常启动，否则会出错。为了确保这一点，按照以下方法强制指定radius服务启动的顺序

# vi /etc/systemd/system/multi-user.target.wants/radiusd.service

[Unit]
Description=FreeRADIUS high performance RADIUS server.
After=syslog.target network.target
After=mariadb.service

5.2添加客户端连接设置
编辑/etc/raddb/clients.conf文件，为允许连接的客户端设置相应的共享秘钥
允许所有客户端连接, secret 是在访问freeradius时要使用的秘钥，设置路由器时要使用

client all_client {ipaddr = 0.0.0.0/0secret = testing123require_message_authenticator = no
}

5.3启动服务

# systemctl start radiusd.service
# systemctl status radiusd.service

5.4调试radius
若要看在终端看日志
如果radius启动出现问题，可以将radius进程停止，然后以参数-X的方式临时启动调试模式, 就可以在终端实时看日志

# pkill radius
# radiusd -X

6、测试radius

连接mysql命令行mysql -p radiusdb，使用sql添加一条测试记录：
这条记录是使用手机、电脑等终端登录路由器的账号和密码

MariaDB [radiusdb]> INSERT INTO radcheck (id, username, attribute, op, value) VALUES (1,'testuser','Cleartext-Password',':=','mypass');

使用radtest命令测试：radtest [用户名] [密码] [radius服务器host/ip] 0 [对客户端设置的共享秘钥]，例如

# radtest testuser mypass localhost 0 testing123

认证成功的输出如下

Sending Access-Request Id 143 from 0.0.0.0:51053 to 127.0.0.1:1812
User-Name = 'testuser'
User-Password = 'mypass'
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Message-Authenticator = 0x00
Received Access-Accept Id 143 from 127.0.0.1:1812 to 127.0.0.1:51053 length 26
Acct-Interim-Interval = 60

删除用户的指令：

MariaDB [radiusdb]> delete from radcheck where username = 'testuser';

7、防火墙配置radius相关规则

7.1配置防火墙，打开radius服务端口
如果已经打开firewalld的话，可以跳过该步骤, 若仅作为测试使用，可以关闭防火墙

systemctl enable firewalld 启用防火墙
systemctl start firewalld  打开防火墙
systemctl status firewalld  查看防火墙状态

7.2添加radius服务

cat /usr/lib/firewalld/services/radius.xml
firewall-cmd --add-service=radius --permanent
firewall-cmd --reload
firewall-cmd --list-services

8、路由器配置