我正在使用CentOS 6.3并希望启用ssh RADIUS身份validation。 现在我的服务器直接通过RADIUS服务器进行身份validation。 我希望服务器首先使用unix凭证进行身份validation,然后通过RADIUS进行身份validation。 我很确定,我已经在文件/etc/pam.d/sshd设置了一些东西,但我不确定我应该设置什么。 我现在使用的configuration是: auth required /lib64/security/pam_radius_auth.so auth required /lib64/security/pam_nologin.so account required /lib64/security/pam_stack.so service=system-auth password required /lib64/security/pam_stack.so service=system-auth session required /lib64/security/pam_stack.so service=system-auth session required /lib64/security/pam_limits.so session optional /lib64/security/pam_console.so 但它只是直接要求RADIUS密码。 提前致谢。
我正在尝试帮助一个半径服务器崩溃的设施 – 没有可恢复的数据。 客户都安装(埋在)车辆,不容易访问(需要拆散的东西)。 接入点是一个Orinoco AP-700,在Centos上运行的FreeRadiusvalidation到mysql。 有什么办法来调整设置,以便任何用户/通过组合将被authentication并允许进入? 然后,我可以ssh到远程单元并重新configuration每个单元上的用户/密码设置。 我试着编辑下面列出的/etc/init.d/users – 默认身份validationtypes:=接受 session-timeout = 14400, Termination-Action = RADIUS-Request 重新启动的半径 – 和….不。 仍然不authentication“任何用户”或“任何密码”。 额外的想法/反馈将不胜感激。
我已经configurationfreeradius使用sql,一切工作正常,我正在做一些与用户的testing,突然间,我不能启动debugging器,因为这个错误: rlm_preprocess: Error reading /etc/freeradius/huntgroups /etc/freeradius/modules/preprocess[13]: Instantiation failed for module "preprocess" /etc/freeradius/sites-enabled/default[88]: Failed to load module "preprocess". /etc/freeradius/sites-enabled/default[69]: Errors parsing authorize section. 我从来没有碰过文件preprocess或huntgroups …我迷路了! 有人知道这个吗? 完整的错误跟踪: FreeRADIUS Version 2.1.12, for host x86_64-pc-linux-gnu, built on Feb 24 2014 at 14:57:57 Copyright (C) 1999-2009 The FreeRADIUS server project and contributors. There is NO warranty; not even for […]
我们正在迁移我们的无线networking,并添加基于802.11x的RADIUS身份validation。 设置如下: 客户端连接到router01 客户端在Windows服务器上通过RADIUS进行身份validation 客户端应该连接(或不,取决于凭据:P) 所以这是发生了什么事。 除Windows 7客户端外,其他所有客户端连接成功。 计入iPhone,iPad,Macbook和Windows 8客户端。 当尝试从join域的Windows 7客户端连接到无线networking时,authentication似乎失败。 客户报告说有一个“用户帐户问题”,尽pipe它与在工作的客户端上使用的是相同的用户帐户。 以下事件logging在NPS方面: "WIN01","IAS",12/28/2014,20:32:03,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 349",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:03,11,,"DOMAIN\User",,,,,,,,0,"10.1.0.1","router01",,,,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 349",60,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:04,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 350",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:04,11,,"DOMAIN\User",,,,,,,,0,"10.1.0.1","router01",,,,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 350",30,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:05,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure […]
我只是想看看是否有其他人有幸通过以太网实现了802.1x。 所以这是我的基本设置。 交换机间隔5秒发送3个eapol消息。 如果没有响应,则该机器将被置于具有受限访问权限的guest虚拟机vlan上。 如果机器configuration正确,它将进行身份validation并将其置于安全的vlan中。 我的windows xp用户中约有10%正在自我分配169个地址。 我使用了Odyssey Access Client,并且工作顺利。 我使用的设置自动使用Windowslogin用户进行身份validation,但它的工作在90%的机器,所以我不认为这是问题。 检查dc上的日志,似乎机器正在尝试使用计算机凭据进行身份validation,即使它们被configuration为不能。 我正在运行半径为IAS的Juniper交换机。 我有半径configuration为PEAP和MSvhapv2。 Mac和Linux的盒子似乎没有问题的身份validation。 最后添加的一件事情如果拔下以太网电缆并重新插入,通常可以解决问题,但我几乎不会将其称为可接受的生产。 有点长时间的讨论,只是想看看是否有其他人有类似的问题或经验,或者如果有人知道一个免费的XP请求者,实际上与802.1x通过以太网工作。
我正在使用RADIUS服务器(Windows 2008 R2上的NPS)集中pipe理许多思科设备(包括交换机和无线接入点)的身份validation; 我目前使用RADIUS来validationIOS控制台/ SSHlogin,并为这些设备提供对Active Directory用户的pipe理访问权限。 我正计划为无线用户实施RADIUS / AD身份validation; 这个问题的重点不是如何做到这一点,而是一个不同的问题:我如何将不同的NPS策略应用于访问IOS的用户以及访问无线访问点的用户? 我可以过滤哪些RADIUS属性以区分IOSlogin和无线login?
目前对于我使用ASA 5505作为VPN服务器的公司之一,freeradius(mysql模块)作为身份validation后端。 用户authentication是基于组密码,用户密码和IP地址。 我的数据库条目如下所示: +—–+———-+——————–+—-+———————————-+ | id | username | attribute | op | value | +—–+———-+——————–+—-+———————————-+ | 103 | user1 | MD5-Password | := | 2ed4b197300dfee19315bd8d228c936e | | 104 | user1 | Calling-Station-Id | == | IP_ADDRESS | +—–+———-+——————–+—-+———————————-+ 一切正常,所以user1可以连接到VPN,如果他/她有正确的密码(组+单个用户)和正确的IP_ADDRESS。 然而,我很难find一个方法如何白名单多个IP地址为单个用户。 所以基本上我想知道如何添加多个IP地址给一个用户。 我不想为同一个用户添加一个新的用户名,只是由于一个额外的IP。
我在Cisco路由器上设置了RADIUS身份validation,并将其指向Windows NPS。 现在我可以用AD帐号YAY进入路由器。 但是现在我已经开始工作了,我正在检查设置以确保一切安全。 在我的路由器上,configuration非常简单: aaa new-model aaa group server radius WINDOWS_NPS server-private 123.123.123.123 auth-port 1812 acct-port 1813 key mykey aaa authentication login default local group WINDOWS_NPS ip domain-name MyDom crypto key generate rsa (under vty and console)# login authentication default 在Windows NPS上: 我为路由器创build了一个新的RADIUS客户端。 创build了一个共享密钥,并将Cisco指定为供应商名称。 用我所需的条件创build了一个新的networking策略。 现在networking策略configuration的一部分让我很担心: 我读到Cisco只支持未encryption的方法,但我认为使用任何不使用证书的身份validation方法是非常不安全的(即使MS-CHAP-v2被认为是超级不安全的)。 那么我的AD证书是通过纯文本的电线发送的? 我的另一个问题是,如果一个黑客得到我的RADIUS共享的秘密他们真的有什么? 如果共享密钥受到威胁,我必须在所有路由器上生成一个新密码?
我刚开始使用FreeRadius。 我已经安装了FreeRadius 2.2.9,但是当我尝试使用radiusd -X进行debugging时, radiusd -X了这个错误 拒绝从libssl版本OpenSSL 1.0.1e-fips 2013年2月11日开始(范围在1.0.1 – 1.0.1f)。 安全公告CVE-2014-0160(Heartbleed) 欲了解更多信息,请访问http://heartbleed.com 但是当我运行openssl version我得到的结果是 OpenSSL 1.0.2h 2016年5月3日 我不知道为什么会发生这种情况。 谁能帮忙? 我正在使用CentOS release 6.8 (Final) 。 谢谢。
首先设置。 15个工作组用户,而且我们有一个带VPN的Watchguard防火墙。 目前使用WatchGuard来validation用户的VPN访问,但老板想要使用服务器2008作为身份validation服务器。 警卫允许继电器通过RADIUS或ADauthentication。 我的问题是我们可以使用RADIUS作为身份validation服务器没有AD服务? (他们想维护工作组设置,没有域控制器)