CentOS8不預設提供openldap-server安裝包,本着系統有啥就用啥的原則,一是經過多輪篩選,二是系統可以平滑更新。是以,使用FreeIPA,其中提供了LDAP的服務,同時提供了一個還算可以的Web UI進行日常的管理操作,但沒有提供樹形結構,需要的可以自行使用LdapAdmin或者Apache的ApacheDirectorydStuido。
安裝完後初始化管理者,生成Kerberos Ticket.
使用下面指令檢視結果
具體安裝可以參看RedHat Identify Management的官方文檔。
主要是添加賬号,進行組織架構管理
配置RADIUS用戶端及共享密鑰。
上述列子共享密鑰為“test123”的用戶端為"192.168.1.0/24"這個網段,也可以時單台主機或者多個主機,該文檔的注釋部分有詳細的說明。
當然如果期望安全性更好可以指定特定的主機,如下:
以上說明可以指定多個用戶端的具體位址,如果是交換路由裝置通常适用loopback位址。
使用上述配置後還需要在/etc/radb/sites-avaiable/default檔案中的listen段保證clients = per_socket_clients被反注釋。有兩處,分别對應authentication和account,大約在原檔案的152行和199行)。
找到如下内容
替換為
反注釋下面内容
找到下面的内容
準備好測試使用者(可以直接使用LDAP的管理者賬号進行測試),另外打開一個終端。
其中LDAP中的使用者名為test,密碼為password123456。
遠端測試,如果是在radius用戶端在交換機上,沒有适用預設域'default'驗證時還要加上域名,華為交換機如下:
其中test.org就是域名,不帶域名則使用預設域default ,test123時賬戶test的密碼,radius_test是交換機上建立的radius模闆。
https://www.freeipa.org/page/Using_FreeIPA_and_FreeRadius_as_a_RADIUS_based_software_token_OTP_system_with_CentOS/RedHat_7