Salut,
Il y a quelques jours, l'un de nos clients a essayé d'implémenter le pare-feu USG pour connecter le FreeRADIUS mais a échoué, après le dépannage, j'ai acquis une expérience que j'aimerais partager avec vous.
La topologie est simple comme le dessin de la figure ci-dessous,
Étape 1 : Configurez l'authentification RADIUS du pare-feu USG.
#
aaa
domain freeradius
authentication-scheme radius
radius-server 1
service-type internetaccess
internet-access mode auto-online
reference user current-domain
#
authentication-scheme radius
authentication-mode radius
#
radius-server template 1
radius-server shared-key cipher test123 //La clé partagée doit être la même que le champ secret nas FreeRADIUS.
radius-server authentication 10.1.100.100 1812 weight 80
radius-server group-filter class
#
Étape 2 : Configurer le FreeRADIUS
Supposons que nous implémentions FreeRADIUS sur le serveur CentOS 7.
1. Entrez dans la vue Mysql, sélectionnez la base de données radius et vérifiez les tables de base de données par défaut,
Comme le montre le résultat, il y a 8 tables par défaut, pour chaque table, veuillez vous référer à l'explication ci-dessous :
nas : table d'enregistrement des périphériques NAS ;
radacct : radacctRADIUStable comptable ;
radcheck : tableau d'informations utilisateur ;
radgroupcheck : table d'attributs de vérification des groupes d'utilisateurs ;
radgroupreply : table d'attributs de réponse de groupe d'utilisateurs ;
radpostauth : Formulaire d'informations d'autorisation ;
readreply : table attributaire de réponse ;
radusergroup : table de relations entre les utilisateurs et les groupes ;
Puisque nous introduisons la connexion entre FreeRADIUS et le pare-feu USG, nous avons juste une introduction détaillée sur la table nas.
Paramètre | La description | Par exemple: |
identifiant | ID de la ligne du tableau | 1 |
nom de famille | IP du NAS | 10.1.100.1 |
nom court | Nom du NAS | Huawei |
taper | Type de NAS | autre, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave, tc, usrhiper |
ports | port NAS | 1812, la valeur par défaut est 0 |
secret | Clé partagée NAS | La valeur par défaut est testing123 |
serveur | ||
communauté | Groupe NAS | |
la description | Description du NAS |
Pour configurer le pare-feu USG pour connecter le serveur FreeRADIUS, nous devons ajouter les informations du pare-feu USG dans la table nas. Pour insérer les informations du pare-feu USG, nous pouvons utiliser la commande SQL « insérer dans ». Dans cet exemple, nous utilisons l'exemple ci-dessous :
insert into nas (nasname, shortname, type, ports, secret, description) values ('10.1.100.1', 'Huaweis', 'other', '1812', 'test123', 'RADIUS Client');
Exécutez la commande insert et vérifiez la table nas, le résultat est le suivant :
Après la configuration, le pare-feu USG a pu se connecter avec succès au serveur FreeRADIUS.
Outre l'ajout des informations NAS dans la table nas, nous avons un autre moyen de faire en sorte que le serveur FreeRADIUS accepte le périphérique NAS.
Accédez au chemin du fichier /etc/raddb, et éditez le fichier clients.conf,
Ajoutez la partie marquée en rouge que la figure ci-dessous montre dans le fichier clients.conf.
Supprimez les informations NAS insérées de la table nas et insérez les informations du client dans le fichier client.conf, le test de réussite du pare-feu USG.