LDAP+FREE RADIUS的安装配置文档

iLDAP+FREE RADIUS的安装配置文档

uname – a

Linux X_test 2.6.25-14.fc9.i686 #1 SMP Thu May 1 06:28:41 EDT 2008 i686 i686 i386 GNU/Linux

一、安装数据库DB

1、 # tar -xvzf db-4.4.20.tar.gz

2、 # cd db-4.4.20

3、 # cd build_unix

4、 # .. /dist/configure –prefix /fancy/vpn/db(--help)

5、 # make（时间较长）

6、 # make install

注 ：其中 /fancy/vpn/db 需要新建立。根据实际情况指定DB数据库的安装路径

安装完成后要将该软件的库路径/ fancy/vpn/db /lib加入到/etc/ld.so.conf中，然后执行ldconfig 使 配置文件生效 这样在编译openldap时候才能找到该库文件 (不然会提示版本不兼容的错误) 。

安装后会生成bin,lib,include三个目录

这样数据库安装完了，接下来安装openldap。

二、安装OPENLDAP

env CPPFLAGS= "-I/ fancy/vpn/db /include" LDFLAGS= "-L/ fancy/vpn/db /lib" ./configure --prefix=/fancy/vpn/ldap

--enable-ldbm

( 注：加上编译选项

# env CPPFLAGS ="-I/usr/local/ BerkeleyDB .4.7/include -D_GNU_SOURCE" LDFLAGS=-L/usr/local/ BerkeleyDB .4.7/lib ./configure

这时候将OpenLdap编译通过~~

网上找到的解决方法是这样.不过添加后并没有解决问题.更换2.4.19版本尝试正常.怀疑是2.6内核LINUX不支持2.3.19版本的OPENLDAP)

1、 # tar -xvzf openldap-stable-20060127.tgz

2、 # cd openldap-2.3.19

3、 #export CPPFLAGS="-I/ fancy/vpn/db /include"

4、 #export LDFLAGS="-L/ fancy/vpn/db /lib" 5、 # export LD_LIBRARY_PATH=/fancy/vpn/ soft/db-4-4-0 /build_unix/.libs (db数据库安装文件路径) 6、# ./configure --prefix=/fancy/vpn/ldap

注：其中 /fancy/vpn/ldap 需要提前建立。用于安装LDAP

版本过高会出现版本不匹配的错误

7、 # make depend

8、 # make

9、 # make test

10、 # make install

三、安装FREERADIUS

1、 # tar -xzvf freeradius-1. 1 . 0 .tar.gz

2、 #./configure

3、 make

调试

一、调试OPENLDAP

1、 # cd /vpn/ldap/sb gin

2、用命令 /vpn/ldap/sbin/slappasswd 生成加密的rootpw格式如下

( root@X_test:[/vpn/ldap/sbin]./slappasswd

./slappasswd: error while loading shared libraries: libdb-4.4.so: cannot open shared object file: No such file or directory

root@X_test:[/vpn/ldap/sbin]more slappasswd )

cp libdb-4.4.so /usr/lib

cp libdb-4.4.so /usr/local/lib

{SSHA}IylESi8kWO0rGdFKdiLQ6zvWPgDodLdt

{SSHA}/eOP66VIi0LObFfJj5L0YfczwUPhk47f**

(hgzjjzwr)**

3、 # vi s ldap.conf

修改s ldap.conf 部分内容如下：

include /fancy/vpn/ldap/etc/openldap/schema/core.schema

include /fancy/vpn/ldap/etc/openldap/schema/cosine.schema

include /fancy/vpn/ldap/etc/openldap/schema/inetorgperson.schema

access to attr=userPassword

by self write

by dn="uid=admin,ou=vpnuser,dc=thwhgf,dc=com" write

by anonymous auth

by * none

access to *

by self write by dn="uid=admin,ou=vpnuser,dc=thwhgf,dc=com" write

by anonymous auth

by * none

database bdb

suffix "dc=thwhgf,dc=com"

rootdn “ cn=admin,dc=thwhgf,dc=com ”

rootpw "{SSHA}8IL16ZymxGBYM8uXgXIOdEHEFCtz/qPO"

index objectClass eq

index uid eq

注：其中rootpw后面的参数是使用 slappasswd生成的加密密码

4、 # /fancy/vpn/ldap/libexec/slapd

启动openldap

5、 # ps -aux | grep slapd

如果出现

r oot 2488 0.1 2.6 12396 3332 ? S 11:33 0:00 / fancy/vpn/ldap/libe xec/slapd

root 2491 0.0 0.5 3672 660 pts/1 S 11:34 0:00 grep slapd

说明openldap启动成功!

添加数据

ldapadd -x -D 'cn=admin,dc=thwhgf,dc=com' –W

输入密码回车后没有推出

开始录入根数据

dn: dc=thwhgf,dc=com

objectClass: top

objectClass: domain

dc: thwhgf

然后按 ctrl +D保存

6、建立并编辑init.ldif文件，内容如下：

# Define top-level entry

dn: dc=thwhgf,dc=com

objectClass: dcObject

objectclass: organization

o:tonghuawanghang xitongjicheng

dc:thwhgf

# Organizational Role for Directory Manager

dn: cn= admin ,dc=thwhgf,dc=com

objectClass: organizationalRole

cn: Manager

# Define an entry to contain vpnuser

dn: ou= vpnuser ,dc=thwhgf,dc=com

objectClass: organizationalUnit

ou: vpnuser

# Define a user entry for admin

dn: uid=admin,ou= vpnuser ,dc=thwhgf,dc=com

objectClass: inetOrgPerson

uid: admin

sn: admin

cn: admin

mail: admin@thwhgf.com

userPassword: thwhgf

7、# ldapadd -x -D "cn=Manager,dc=thwhgf,dc=com" -W -f init .ldif

倒入建立好的init .ldif 数据文件

二、调试FREERADIUS

1、修改radiusd.conf文件，内容如下

log_stripped_names = yes

log_auth = yes

log_auth_badpass = no

log_auth_goodpass = no

# PROXY CONFIGURATION

proxy_requests = no

#$INCLUDE ${confdir}/proxy.conf

# MODULE CONFIGURATION

# Lightweight Directory Access Protocol (LDAP)

ldap {

server = "study.thwhgf.com"

identity = "uid=admin,ou=vpnuser,dc=thwhgf,dc=com"

password = "thwhgf"

basedn = "ou=vpnuser,dc=thwhgf,dc=com"

filter = "(cn=%{Stripped-User-Name:-%{User-Name}})"

base_filter = "(objectclass=inetOrgPerson)"

start_tls = no

dictionary_mapping = ${raddbdir}/ldap.attrmap

ldap_connections_number = 5

password_attribute = userPassword

timeout = 4

timelimit = 3

net_timeout = 1

}

authorize {

preprocess

chap

mschap

suffix

sql

}

accouting {

… .

ldap

…

}

修改users文件，内容如下

DEFAULT Auth-Type = LDAP

Fall-Through = 1

并注销掉其他的默认类型 DEFAULT Auth-Type 参数

修改client.conf文件，内容如下

client 0.0.0.0/0 {

secret = testing123

shortname = vpn

nastype = cisco

}

添加允许访问RADIUS验证的地址段。根据需要填写设置 secret 为“testing123”

完成后启动DB OPENLDAP FREE-RADIUS三项服务。并使用 ldapbrowser 软件倒入现有的用户数据既可。这样LDAP+FREEREDIUS服务器就配置成功了。