⑴ 怎麼設置伺服器啊
置RADIUS伺服器
找到一篇關於在Linux上搭建RADIUS伺服器的文章
請笑納:
Linux上構建一個RADIUS伺服器詳解
為一名網路管理員,您需要為您所需管理的每個網路設備存放用於管理的用戶信息。但是網路設備通常只支持有限的用戶管理功能。學習如何使用Linux上的一個外部RADIUS伺服器來驗證用戶,具體來說是通過一個LDAP伺服器進行驗證,可以集中放置存儲在LDAP伺服器上並且由RADIUS伺服器進行驗證的用戶信息,從而既可以減少用戶管理上的管理開銷,又可以使遠程登錄過程更加安全。
數據安全作為現代系統中網路安全的一部分,與系統安全一樣的重要,所以保護數據--確保提供機密性、完整性和可用性--對管理員來說至關重要。
在本文中,我將談到數據安全性的機密性方面:確保受保護的數據只能被授權用戶或系統訪問。您將學習如何在Linux系統上建立和配置一個Remote Authentication Dial-In User Service 伺服器(RADIUS),以執行對用戶的驗證、授權和記帳(AAA)。
各組成元素介紹
首先讓我們談一談RADIUS協議、AAA組件以及它們如何工作,另外還有LDAP協議。
Remote Authentication Dial-In User Service 協議是在IET的RFC 2865中定義的(請參閱參考資料獲得相關鏈接)。它允許網路訪問伺服器(NAS)執行對用戶的驗證、授權和記帳。RADIUS是基於UDP的一種客戶機/伺服器協議。RADIUS客戶機是網路訪問伺服器,它通常是一個路由器、交換機或無線訪問點(訪問點是網路上專門配置的節點;WAP是無線版本)。RADIUS伺服器通常是在UNIX或Windows 2000伺服器上運行的一個監護程序。
RADIUS和AAA
如果NAS收到用戶連接請求,它會將它們傳遞到指定的RADIUS伺服器,後者對用戶進行驗證,並將用戶的配置信息返回給NAS。然後,NAS接受或拒絕連接請求。
功能完整的RADIUS伺服器可以支持很多不同的用戶驗證機制,除了LDAP以外,還包括:
PAP(Password Authentication Protocol,密碼驗證協議,與PPP一起使用,在此機制下,密碼以明文形式被發送到客戶機進行比較);
CHAP(Challenge Handshake Authentication Protocol,挑戰握手驗證協議,比PAP更安全,它同時使用用戶名和密碼);
本地UNIX/Linux系統密碼資料庫(/etc/passwd);
其他本地資料庫。
在RADIUS中,驗證和授權是組合在一起的。如果發現了用戶名,並且密碼正確,那麼RADIUS伺服器將返回一個Access-Accept響應,其中包括一些參數(屬性-值對),以保證對該用戶的訪問。這些參數是在RADIUS中配置的,包括訪問類型、協議類型、用戶指定該用戶的IP地址以及一個訪問控制列表(ACL)或要在NAS上應用的靜態路由,另外還有其他一些值。
RADIUS記帳特性(在RFC 2866中定義;請參閱參考資料獲得相關鏈接)允許在連接會話的開始和結束發送數據,表明在會話期間使用的可能用於安全或開單(billing)需要的大量資源--例如時間、包和位元組。
輕量級目錄訪問協議
輕量級目錄訪問協議(Lightweight Directory Access Protocol,LDAP)是一種開放標准,它定義了用於訪問和更新類X.500 目錄中信息的一種方法。LDAP可用於將用戶信息保存在一個中央場所,從而不必將相同的信息存儲在每個系統上。它還可以用於以一種一致的、可控制的方式維護和訪問信息。
LDAP在一個集中的目錄中管理用戶,從而簡化了用戶管理工作。除了存儲用戶信息外,在LDAP中定義用戶還可以使一些可選特性得到啟用,例如限制登錄的數量。在本文中,您將學習如何配置RADIUS伺服器,以便基於LDAP驗證用戶--由於本文的重點在於RADIUS,我不會描述關於LDAP伺服器的安裝和配置的細節。
OpenLDAP是LDAP的一種開放源碼實現。在OpenLDAP.org上可以找到關於它的詳細信息(請參閱參考資料獲得相關鏈接)。
場景
想像以下場景:
用戶在家裡可以通過撥號驗證訪問他公司的內部網。
帶無線支持的筆記本電腦可以通過無線驗證連接到一個校園網。
管理員使用他們的工作站通過管理用戶驗證以telnet或HTTP登錄到網路設備。
所有這些驗證任務都可以通過一個RADIUS伺服器基於一個中央LDAP伺服器來完成(見圖 1)。
在本文中,我將重點描述對最後一種選項的實現,作為對該解決方案的一個介紹。首先安裝RADIUS伺服器。
安裝 RADIUS
RADIUS伺服器軟體可以從多個地方獲得。在本文中,我將使用FreeRADIUS(請參閱參考資料獲得相關鏈接),但Cisco Secure Access Control Server (ACS)是一種集中式用戶訪問控制框架,可用於跨UNIX和Windows上多個Cisco設備的用戶管理,並支持Cisco 特有的協議TACACS+(據說在支持TACACS+的設備上可擁有更多的特性)。
FreeRADIUS是來自開放源碼社區的一種強大的Linux上的RADIUS伺服器,可用於如今的分布式和異構計算環境。FreeRADIUS 1.0.2 支持LDAP、MySQL、PostgreSQL和Oracle資料庫,並與諸如EAP和Cisco LEAP之類的網路協議兼容。FreeRADIUS目前被部署在很多大型生產網路系統中。
下面的步驟演示如何在Red Hat Enterprise Linux Advanced Server 3.0上安裝和測試FreeRADIUS 1.0.2:
清單1 安裝和測試FreeRADIUS
tar -zxvf freeradius-1.0.2.tar.gz - extract it with gunzip and tar
./configure
make
make install - run this command as root
radiusd or - start RADIUS server
radiusd -X - start RADIUS server in debug mode
radtest test test localhost 0 testing123 - test RADIUS server
如果radtest收到一個響應,則表明FreeRADIUS伺服器工作正常。
同時我還推薦另一種免費工具,那就是NTRadPing,它可用於測試來自Windows客戶機的驗證和授權請求。它可以顯示從RADIUS伺服器發回的詳細的響應,例如屬性值。
現在讓我們來配置FreeRADIUS。
配置FreeRADIUS
RADIUS伺服器的配置包括對伺服器、客戶機和用戶的配置(都是用於驗證和授權)。出於不同的需要,對RADIUS伺服器可以有不同的配置。幸運的是,大多數配置都是類似的。
* 配置伺服器
FreeRADIUS配置文件通常位於/etc/raddb文件夾下。首先,我們需要像下面這樣修改radiusd.conf文件。
清單2 修改radiusd.conf
1) Global settings:
log_auth = yes - log authentication requests to the log file
log_auth_badpass = no - don't log passwords if request rejected
log_auth_goodpass = no - don't log passwords if request accepted
2) LDAP Settings:
moles {
ldap {
server = "bluepages.ibm.com" - the hostname or IP address of the LDAP server
port = 636 - encrypted communications
basedn = "ou=bluepages,o=ibm.com" - define the base Distinguished Names (DN),
- under the Organization (O) "ibm.com",
- in the Organization Unit (OU) "bluepages"
filter = "(mail=%u)" - specify search criteria
base_filter = "(objectclass=person)" - specify base search criteria
}
authenticate { - enable authentication against LDAP
Auth-Type LDAP {
ldap
}
參數被設為使用 IBM BluePages,這是LDAP服務的一個實例。對於其他LDAP伺服器,參數可能有所不同。
* 配置客戶機
客戶機是在/etc/raddb/clients.conf 文件中配置的。有兩種方式可用於配置RADIUS客戶機。您可以按IP subnet將NAS分組(清單 3),或者可以按主機名或 IP 地址列出NAS(清單4)。如果按照第二種方法,可以定義shortname和nastype。
清單3 按IP subnet將NAS分組
client 192.168.0.0/24 {
secret = mysecret1 - the "secret" should be the same as configured on NAS
shortname = mylan - the "shortname" can be used for logging
nastype = cisco - the "nastype" is used for checkrad and is optional
}
清單4 按主機名或 IP 地址列出 NAS
client 192.168.0.1 {
secret = mysecret1
shortname = myserver
nastype = other
}
* 為驗證而配置用戶
文件 /etc/raddb/user 包含每個用戶的驗證和配置信息。
清單5 /etc/raddb/user 文件
1) Authentication type:
Auth-Type := LDAP - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
- authenticate against the
- password set in /etc/raddb/user
Auth-Type := System - authenticate against the system password file
- /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login, - for administrative login
* 為授權而配置用戶
下面的驗證伺服器屬性-值對(AV)應該為用戶授權而進行配置。在驗證被接受後,這個屬性-值對被返回給NAS,作為對管理員登錄請求的響應。
對於Cisco路由器,有不同的許可權級別:
級別1是無特權(non-privileged)。提示符是 router>,這是用於登錄的默認級別。
級別15是特權(privileged)。 提示符是 router#,這是進入 enable 模式後的級別。
級別2到14 在默認配置中不使用。
下面的命令可以使一個用戶從網路訪問伺服器登錄,並獲得對EXEC命令的立即訪問:
cisco-avpair ="shell:priv-lvl=15"
下面的代碼處理相同的任務,這一次是對於Cisco無線訪問點:
Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"
任何功能組合都和這個屬性一起返回:
Cisco:Avpair = "aironet:admin-capability=ident+admin"
Cisco:Avpair = "aironet:admin-capability=admin"
請與 Cisco 聯系,以獲得關於這些命令的更多信息。
配置網路訪問伺服器
接下來我們將配置NAS,首先是配置一個Cisco路由器,然後輪到一個Cisco WAP。
對於Cisco IOS 12.1路由器,我們將啟用AAA,然後配置驗證、授權和記帳。
清單6 啟用AAA
aaa new-model
radius-server host 192.168.0.100
radius-server key mysecret1
AAA 在路由器上應該被啟用。然後,指定能為 NAS 提供 AAA 服務的 RADIUS 伺服器的列表。加密密鑰用於加密 NAS 和 RADIUS 伺服器之間的數據傳輸。它必須與 FreeRADIUS 上配置的一樣。
清單7 配置驗證
aaa authentication login default group radius local
line vty 0 4
login authentication default
在這個例子中,網路管理員使用 RADIUS 驗證。如果 RADIUS 伺服器不可用,則使用 NAS 的本地用戶資料庫密碼。
清單8 配置授權
aaa authorization exec default group radius if-authenticated
允許用戶在登錄到 NAS 中時運行 EXEC shell。
清單9 配置記帳
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius
必須對路由器進行特別的配置,以使之發送記帳記錄到RADIUS伺服器。使用清單9中的命令記錄關於NAS系統事件、網路連接、輸出連接、EXEC操作以及級別1和級別15上的命令的記帳信息。
這樣就好了。現在讓我們看看為Cisco無線訪問點而進行的配置。下面的配置適用於帶有Firmware 12.01T1的Cisco 1200 Series AP。如圖2中的屏幕快照所示,您:
* 輸入伺服器名或 IP 地址和共享的秘密。
* 選擇「Radius」作為類型,並選中「User Authentication」。
記帳:工作中的RADIUS
現在所有配置都已經完成,FreeRADIUS伺服器可以開始記錄NAS發送的所有信息,將該信息存儲在/var/log/radius/radius.log文件中,就像這樣:
清單10 /var/log/radius/radius.log文件
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
mylan port 1 cli 192.168.0.94)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
client mylan port 1 cli 192.168.0.94)
詳細的記帳信息被存放在/var/log/radius/radacct目錄中。清單11表明,David在2005年3月4日19:40到19:51這段時間里從 192.168.0.94登錄到了路由器192.168.0.1。這么詳細的信息對於正在調查安全事故以及試圖維護易於審計的記錄的管理員來說無疑是一大幫助。
清單11 RADIUS 提供的記帳細節示例
Fri Mar 4 19:40:12 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412
Fri Mar 4 19:51:17 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077
結束語
通過遵循本文中列出的簡單步驟,您可以建立一個Remote Authentication Dial-In User Service伺服器,該伺服器使用一個外部的LDAP伺服器來處理為網路安全問題而進行的驗證、授權和記帳。本文提供了以下內容來幫助您完成此任務:
* 對RADIUS和LDAP伺服器以及AAA概念的介紹。
* 一個融入了安裝和配置任務的場景。
* 關於安裝和配置RADIUS伺服器的說明。
* 關於配置網路訪問伺服器的細節。
* RADIUS將提供和管理的詳細信息的一個示例。
這些指示可以快速確保受保護的數據只能由Linux系統上已授權的實體訪問。
⑵ 怎麼設置自己的網站 伺服器
你好,你這個問題就很廣泛了,那我就只先用Windows10如何設置伺服器來舉例吧:
1.屏幕中打開「搜索」,輸入「控制面板」,並打開。
2.在控制面板窗口中,找到「程序」,點擊。
3.在打開的「程序」窗口中,找到「啟用或關閉windows功能」,點擊打開。
4.在「windows功能」中找到「Internet信息服務」,並選中「FTP服務」、「FTP擴展性」和「IIS管理控制台」前的復選框,點擊「確定」。
5.系統自動配置成功後,在開始屏幕的搜索中輸入「IIS」,然後點擊打開「IIS管理器」。
6.打開「IIS管理器」後,在左欄的「網站」上點擊右鍵,打開「添加FTP站點」。
7.按照界面提示填寫站點信息。
8.點擊「下一步」,按照下圖提示,設置「綁定和SSL設置」,在「IP地址」處,可以用內網IP也可以用外網IP,訪客自然也就根據你的IP設定來決定。
9.點擊「下一步」,設置「身份驗證和授權信息」。
10.設置完以後,點擊「完成」,即可在左欄「網站」下看到「多了一個你設置的FTP站點」。
11.然後在瀏覽器地址欄中輸入「ftp://填寫的IP」測試一下。
⑶ 登陸伺服器怎麼設置
右擊桌面上的網上鄰居 選擇屬性 然後 右擊 本地連接 選擇屬性 選擇TCP/IP協議 在這裡面設置相應的DNS伺服器地址 先了解你使用的網路是那個ISP網路提供商的 打相應客服熱線詢問 會告訴你的 也可以試試直接使用網關代理DNS 可以點擊開始菜單 運行 輸入 cmd 打開命令提示符後 輸入 ipconfig/all 命令來查看網關地址 然後使用這個地址輸入進去即可 如果輸入後不能上網 那麼說明網關上沒有開啟 DNS 代理服務 那麼只能使用外網的DNS伺服器地址咯。。
⑷ 路由器設置代理伺服器怎麼設置
路由器設置
第一步:右鍵單擊「網上鄰居」,點「屬性」,打開「網路連接」窗口。
第二步:右鍵單擊「本地連接」,點「屬性」,打開「本地連接」屬性窗口
第三步:左鍵單擊「Internet協議(TCP/IP)」,再單擊「屬性」
第四步:選擇「自動獲得IP地址(O)」和「自動獲得DNS伺服器地址(S)」,點「確定」,再「確定」,OK!
第五部:右鍵單擊「Internet Explorer」,左鍵單擊「屬性」打開Internet屬性窗口
第六步:左鍵點擊「連接」
第七步:左鍵點擊「區域網設置」
第八步:在「為LAN使用代理伺服器(這些設置不會應用於撥號或VPN連接)」前打鉤。
第九步:單擊「確定」,再單擊「確定」,OK! 以上設置是為了在使用代理伺服器上網的情況下,進入路由器設置頁面。
⑸ 我的google怎麼設置伺服器呀,木有啊。。。
用 RE 打開systemetchosts hosts上按住 彈出來的 文本編輯打開加上 XX.XX.XX.XXX android.clients.google.com這個X.X.X.X可以通過 ping android.clients.google.com這個如果有終端模擬器的那直接就可以 ping沒有的那那麼可以在電腦上 ping 推薦 先運行 cmd 在 ping android.clients.google.com直接運行 ping android.clients.google.com不是不可以但是會關閉窗口的
⑹ 伺服器設置怎麼設置
關於伺服器如何設置的步驟如下:1.首先要確定伺服器上是否安裝了IIS。2.安裝了IIS才能成為伺服器,假如安裝過了,就可以跳過安裝步驟,沒有則需要進行安裝。3.具體的設置步驟,選擇開始--控制面板--添加或刪除程序--添加/刪除Windows組件,彈出Windows組件向導對話框,選擇Internet 信息服務項。4.點擊詳細信息,彈出Internet 信息服務對話框,選中文件傳輸協議(FTP)伺服器選項框。
⑺ 如何設置公司伺服器
如何設置公司伺服器的方法。
如下參考:
1.首先點擊桌面開始菜單,打開「控制面板」,如下圖所示。