j'ai compris

Connectez le pare - feu USG au serveur FreeRADIUS dans EVE-NG

publié il y a  2021-6-22 21:57:31 162 0 0 0 0

Salut,

Il y a quelques jours, l'un de nos clients a essayé d'implémenter le pare-feu USG pour connecter le FreeRADIUS mais a échoué, après le dépannage, j'ai acquis une expérience que j'aimerais partager avec vous.

La topologie est simple comme le dessin de la figure ci-dessous,

pare-feu USG freeradius

Étape 1 : Configurez l'authentification RADIUS du pare-feu USG.

#

aaa

  domain freeradius

   authentication-scheme radius

   radius-server 1

   service-type internetaccess

   internet-access mode auto-online

   reference user current-domain

#

 authentication-scheme radius

  authentication-mode radius

#

radius-server template 1

 radius-server shared-key cipher test123 //La clé partagée doit être la même que le champ secret nas FreeRADIUS.

radius-server authentication 10.1.100.100 1812 weight 80

radius-server group-filter class

#

 

Étape 2 : Configurer le FreeRADIUS

Supposons que nous implémentions FreeRADIUS sur le serveur CentOS 7.

1. Entrez dans la vue Mysql, sélectionnez la base de données radius et vérifiez les tables de base de données par défaut,

pare-feu USG freeradius

Comme le montre le résultat, il y a 8 tables par défaut, pour chaque table, veuillez vous référer à l'explication ci-dessous :

nas : table d'enregistrement des périphériques NAS ;

radacct : radacctRADIUStable comptable ;

radcheck : tableau d'informations utilisateur ;

radgroupcheck : table d'attributs de vérification des groupes d'utilisateurs ;

radgroupreply : table d'attributs de réponse de groupe d'utilisateurs ;

radpostauth : Formulaire d'informations d'autorisation ;

readreply : table attributaire de réponse ;

radusergroup : table de relations entre les utilisateurs et les groupes ;

Puisque nous introduisons la connexion entre FreeRADIUS et le pare-feu USG, nous avons juste une introduction détaillée sur la table nas.


Paramètre

La description

Par exemple:

identifiant

ID de la ligne du tableau

1

nom de famille

IP du NAS

10.1.100.1

nom court

Nom du NAS

Huawei

taper

Type de NAS

autre, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave, tc, usrhiper

ports

port NAS

1812, la valeur par défaut est 0

secret

Clé partagée NAS

La valeur par défaut est testing123

serveur



communauté

Groupe NAS


la description

Description du NAS



Pour configurer le pare-feu USG pour connecter le serveur FreeRADIUS, nous devons ajouter les informations du pare-feu USG dans la table nas. Pour insérer les informations du pare-feu USG, nous pouvons utiliser la commande SQL « insérer dans ». Dans cet exemple, nous utilisons l'exemple ci-dessous :

insert into nas (nasname, shortname, type, ports, secret, description) values ('10.1.100.1', 'Huaweis', 'other', '1812', 'test123', 'RADIUS Client');

Exécutez la commande insert et vérifiez la table nas, le résultat est le suivant :

pare-feu USG freeradius

Après la configuration, le pare-feu USG a pu se connecter avec succès au serveur FreeRADIUS.

pare-feu USG freeradius

pare-feu USG freeradius

pare-feu USG freeradius

 

Outre l'ajout des informations NAS dans la table nas, nous avons un autre moyen de faire en sorte que le serveur FreeRADIUS accepte le périphérique NAS.

Accédez au chemin du fichier /etc/raddb, et éditez le fichier clients.conf,


pare-feu USG freeradius


Ajoutez la partie marquée en rouge que la figure ci-dessous montre dans le fichier clients.conf.


pare-feu USG freeradius


Supprimez les informations NAS insérées de la table nas et insérez les informations du client dans le fichier client.conf, le test de réussite du pare-feu USG.

pare-feu USG freeradius


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.