freeradius+pam+ssh简单测试

测试环境：RedHat Enterprise Linux 5.0 x86 

测试步骤：

1、安装freeradius 

wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.11.tar.gz
tar zxvf freeradius-server-2.1.11
./configure --prefix=/usr/local/freeradius   //指定一下freeradius的安装目录，主要是为了方便卸载。
make
make install  //到这里安装就算完成了，相当简单。
export PATH=$PATH:/usr/local/freeradius/bin:/usr/local/freeradius/sbin //为了方便测试，我把FR的可执行文件目录都导入PATH变量里。

2、测试freeradius 

cd /usr/local/freeradius/etc/raddb   //FR的配置文件都在这个目录里
vi users    //修改账号文件。FR的的账号可以存在文件中，也可以存放在数据库里。缺省是存放在文件中的，通过修改配置文件来设置。这里我测的是文件模式。
steve   Cleartext-Password := "testing"
        Service-Type = Framed-User,
        Framed-Protocol = PPP,
        Framed-IP-Address = 172.16.3.33,
        Framed-IP-Netmask = 255.255.255.0,
        Framed-Routing = Broadcast-Listen,
        Framed-Filter-Id = "std.ppp",
        Framed-MTU = 1500,
        Framed-Compression = Van-Jacobsen-TCP-IP
//steve是user中的一个示例账号，缺省是被注释掉。将上面几行行首的“#”去掉，就他来测试。teve账号里面有很多参数，保持默认的吧。testing是他的密码。熟悉以后，在自行修改吧。

测试账号建好了，我们把FR服务启起来吧。

radiusd -X     //-X debug模式，方便测试观察, FR的/sbin下有个rc.radiusd脚本。如果测试没问题的话，可以把它拷到/etc/init.d下，用服务的方式来启动FR。
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /usr/local/freeradius/var/run/radiusd/radiusd.sock
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.

成功启动的话，最后的输出应该是"Ready to Process request"

再开启一个终端。执行下面命令

radtest steve testing localhost 1812 testing123  //radtest 是FR内置的一个测试工具 syntax: steve-账号 testing-密码 localhost-FRserver 1812-端口 testing123-定义的secret，这个在clients.conf里设置。我用本机做测试所以client是localhost,在clients.conf的localhost可以在找到它默认的secret是testing123。

测试没问题的话，可以看到

rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=132, length=71
        Service-Type = Framed-User
        Framed-Protocol = PPP
        Framed-IP-Address = 172.16.3.33
        Framed-IP-Netmask = 255.255.255.0
        Framed-Routing = Broadcast-Listen
        Filter-Id = "std.ppp"
        Framed-MTU = 1500
        Framed-Compression = Van-Jacobson-TCP-IP

相应的debug那个终端也会有信息输出，篇幅原因，我就不贴出来了。

OK，测试完成。

 

3、安装pam_radius_auth 

wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz
tar zxvf pam_radius-1.3.17.tar.gz
cd pam_radius-1.3.17
make //make之前安装pam-devel包
cp pam_radius_auth.so /lib/security/
mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
vi /etc/raddb/server
127.0.0.1       testing123             1  //修改secret，缺省localhost的secret是testing123,见FR的clients.conf
vi /etc/pam.d/sshd
#%PAM-1.0
auth    sufficient      pam_radius_auth.so   //这行是我添加的，添加的位置有讲究，放到下面可能会出错。
auth       include      system-auth
/etc/init.d/sshd restart //重启ssh服务。

OK,安装配置完成。

 

4、测试ssh.

晕，漏洞了非常重要的一步，本机上没有steve这个账号。 

useradd steve //创建账号，既然是用FR来认证，本地的password就补需要设置了。
ssh steve@localhost //不出意外的输入密码"testing"，成功获得shell