[EAP]将hostapd作为radius服务器搭建EAP认证环境
文章主要由以下几部分组成:
0、概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x
1、编译hostapd
2、配置hostapd的conf文件
3、外接路由器设置
4、配置hostapd的user文件
5、运行命令
0、概念理解
(1)802.11i 是一个标准,这种安全标准为增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,标准范畴分为媒介层(MAC)与物理层(PHY)。该标准为整个802.11协议族共用。
(2)EAP一种可扩展的认证框架,各种认证方法可以得到很好的支持。
认证者(A),申请认证者(S),后端认证服务器(B, 本文是Radius服务器)
有以上三种角色组成的模式叫做BAS模式,
还有一种AAA模式:Authentication、Authorization and Accounting,认证、授权和计费。
(3)802.1X是802.1规范家族中的一员。简单来说,802.1X详细讨论了EAP在Wired LAN上的实现,即EAPOL。
(4)IEEE 是一个组织,负责制定(1)(2)(3)中所说的802.11i。
(5)WiFi联盟也是一个团体,组织。他们拥有 Wi-Fi 这个名词的商标,并且会检验要使用Wi-Fi这个名词的设备以核发证书。什么样的无线传输可以称之为WiFi,由他们认证。
(6) WPA 实现了 IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。WPA由WiFi联盟建立,并提供该项接入方式的认证。2003年开始强制性实施。
英文缩写: WPA (Wi-Fi Protected Access)
中文译名: Wi-Fi网络安全接入
认识了WPA, WPA2也就是WPA的第二代,是经由 Wi-Fi 联盟验证过的 IEEE 802.11i标准的认证形式。
WPA/WPA2有两种认证模式,一种是个人版(预先秘钥共享机制,即PSK)和企业版(使用802.1x框架)
最后,总结成如下图,各个实体之间的关系。
1、编译hostapd
(1) 配置.conf文件
该文档使用的是hostapd-2.5源码。
在执行make之前需要安装openssl等开发包。这里编译环境使用的是Ubuntu,因为开发环境比较容易配置。
到hostapd文件夹下,
一般有类似于“defconfig”的文件,将其重命名为“.config”。
首先,因为我们是将hostapd当做radius服务器,所以这一项的配置很重要。
然后后面根据需要配置各种EAP方法
(2) 执行make命令
make //生成hostapd运行文件
make hlr_auc_gw //编译生成hlr_auc_gw 运行文件
2、配置hostapd.conf文件
dirver=none
ieee8021x=1
eap_server=1
eap_user_file=hostapd.eap_user
# TLS parameters (shared by EAP-PEAP, EAP-TTLS, EAP-FAST)
ca_cert=cas.pem
# Server certificate and private key from separate files
server_cert=server.pem
private_key=server.key
radius_server_clients=hostapd.radius_clients
radius_server_auth_port=1812 【randius服务器的端口】
注: server.pem, server.key, cas.pem可以复用hostapd文件夹下的同名文件,即拷贝过去配置好相对路径就好。
其他参照里面的说明配置,EAP-FAST的项需要比较多的配置。(现在很少设备支持EAP-FAST这种认证方式)
3、配置路由器
使用路由器作为AP,所以需要让AP知道如何把信息转发给Radius服务器
配置一个SSID
配置路由器认证方式
关于上图中的radiuis服务器IP地址,Radiuis端口和Radius密码,参照以下步骤执行。
【如何获取本机的radius IP地址】
先修改hostapd.conf配置文件:
RADIUS authentication server
auth_server_addr=192.168.1.102
auth_server_port=1812
auth_server_shared_secret=secret
然后在终端中运行 ./hostapd -ddK hostapd.conf 命令
可以看到local address就是本机的Radius服务器的IP地址是192.168.1.100,这个就是【radius服务器的IP地址】
这种投机取巧的办法就是利用外部radius服务器打印本机的radius服务器地址。现在依旧将上面刚刚添加的几行注释掉,使用#
#RADIUS authentication server
#auth_server_addr=192.168.1.102
#auth_server_port=1812
#auth_server_shared_secret=secret
修改下面一行的密码为12345678,这个就是radius【服务器的密码】。
参考将路由器的组秘钥更新周期改为0.
4、配置user文件,用于用户登陆
刚刚在hostapd.conf文件中配置的
eap_user_file=hostapd.eap_user
注:就是用户的登录名和密码,配置用户名和密码时候,每一种EAP method的用户名不能相同,不然会出现找不到该method的情况。
其他的用户配置就请阅读上面的说明。添加新的EAP-Method 用户可以参照PEAP的方法配置,但是用户名不能相同。
5、运行命令,在hostapd文件夹下
./hlr_auc_gw -g hostapd.sim_db -m hlr_auc_gw.milenage_db
./hostapd -ddK hostapd.conf
(版权所有,转载请告知)