概述
本文将介绍如何在允许通过RADIUS进行身份验证的同时设置Open×××。 这样可以使用证书以及用户名/密码。 用户名和密码也可以在防火墙上进行集中管理,也可以使用其他特定的RADIUS的选项。
基本要求
· 一个正常工作的openvpn,参见 Open×××服务器和Viscosity访问设置。
· 已安装FreeRADIUS3(原文是FreeRADIUS2,我这改成了FreeRADIUS3,设置是一样的),参见pfSense设置Radius服务器。
添加FreeRADIS3接口
· 导航到Services > FreeRADIUS
· 选接 Interfaces选项卡
· 单击 + 添加新条目
· Interface IP Address字段选* 或127.0.0.1仅绑定到本地主机。
· Port 默认1812
· Interface Type选Authentication
· 单击保存
添加NAS 客户端到FreeRADIUS
· 导航到 Services > FreeRADIUS
· 选择 NAS / Clients选项卡
· 单击 + 添加新条目
· Client IP Address字段输入127.0.0.1
· Client Shortname 字段输入pfSense, Open×××, 或其他类似短名称。
· Client Shared Secret 字段输入一个随机/长密码
· Description 输入有助于识别此连接的说明。
· 单击 "Save"
添加用户
· 导航到Services > FreeRADIUS
· 选择 Users 选项卡。
这是每个用户对FreeRadius / Open×××进行身份验证的地方。
· 单击 + 添加新条目
· 输入 Username和 Password
· 输入任何其他所需选项, 如Number of simultaneous connections
· [可选] 设置Session Timeout ,当会话超时到期时,用户将被踢出,并且将不得不再次登录
· 根据需要对其他用户进行重复设置
· 单击保存
配置pfSense认证服务器
· 导航到System > User Manager
· 选择Servers 选项卡
· 单击 + 添加新条目
· Descriptive name 输入一个描述名称,例如FreeRADIUS
· Type 选RADIUS
· Hostname or IP address 输入127.0.0.1
· Shared Secret 输入上面为Shared Secret创建的密码
· Services offered 选Authentication
· Authentication port值默认1812
· 单击保存
测试RADIUS 认证
· 导航到Diagnostics > Authentication
· 选择上面输入的认证服务器
· Username和 Password 输入在FreeRADIUS配置的
· 单击 Test
如果测试成功,请继续下面的设置。 否则,请参阅后面的故障排除部分。
配置Open××× 使用RADIUS
· 导航到××× > Open×××
· 选择Servers选项卡
· 编辑现有的远程访问服务器
· Mode 选 Remote Access (User Auth) 或 Remote Access (SSL/TLS + User Auth)
· 在Backend for authentication字段,选择FreeRADIUS或上述“FreeRADIUS认证服务器”中的Descriptive Name。
· 单击保存
故障排除
以下选项可用于对FreeRADIUS和Open×××进行故障排除。 除非另有规定,否则命令应通过控制台或SSH通过pfSense系统运行。
· 导航 ××× > Open××× ,选择server
· 修改 "Advanced" 自定义选项文本框,输入以下类容:
verb 7
这将启用Status > System Logs下的“Open×××”选项卡。 可以使用以下命令查看(在尝试连接/ etc时)。
clog -f /var/log/openvpn.log
clog -f /var/log/system.log
· 有了这些信息,通过搜索和pfsense论坛可以获得更多的解决办法。
原文地址:https://doc.pfsense.org/index.php/Using_Open×××_With_FreeRADIUS
2017-7-12
