ssh登录使用radius服务器认证配置方法

环境：

１、linux服务器：用于ssh登录，同时做为radius客户端。

CentOS5

ＩＰ：10.0.1.1

2、Ｒadius服务器：用于radius客户端，同时做为域成员（加入ＡＤ域）

windows 2003 加入域　并启用internet验证服务

　　ＩＰ：10.100.1.1

linux服务器的设置

下载pam_radius-1.3.17.tar.gz
tar -zxvf pam_radius-1.3.17.tar.gz
cd pam_radius-1.3.17
vi pam_radius_auth.conf
修改部分：

# server[:port] shared_secret timeout (s) 10.0.100.1 123456 1 #other-server other-secret 3

make 得到pam_radius_auth.so文件
cp pam_radius_auth.so /lib/security/

mkdir /etc/raddb/ (如果没有的话)
cp pam_radius_auth.conf /etc/raddb/server
chown go-rwx root /etc/raddb
chown go-rwx root /etc/raddb/server

cp /etc/pam.d/sshd /etc/pam.d/sshd.backup
vi /etc/pam.d/sshd
将sshd文件中的内容替换为：

#%PAM-1.0 auth sufficient /lib/security/pam_radius_auth.so debug client_id=linux auth sufficient pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required pam_loginuid.so

Radius服务器的配置：

（Radius服务器环境：系统：windows2k3 加入域；软件：Internet验证服务）

一、打开radius服务器设置：

“开始－－所有程序－－管理工具－－Internet验证服务”

二、新建Radius客户端：

右击“radius客户端”－－“新建Radius客户端”－－“好记的名称”输入：“ssh”--“客户端地址(IP或DNS)”处输入：“10.0.1.1”－－下一步－－“客户端-供应商”处选择：“RADIUS Standard”--“共享密钥”和“确认的密钥”处输入：“0123456789”--完成

三、新建远程访问策略：

右击“远程访问策略”－－“新建远程访问策略”－－“下一步”－－单选“设置自定义访问策略”－－“策略名称”处输入:“允许所有域用户ssh登录linux”--“下一步”－－“添加”－－在选择属性框中选择“Windows-Groups”--“添加”－－“添加”－－输入组名－－“检查名称”－－确定－－确定－－下一步－－单选“授予远程访问权限”－－下一步－－“编辑配置文件”－－“高级”选项卡－－删除所有属性－－添加属性“Service Type”--属性值选“login”--确定－－关闭－－确定－－完成－－然后再将此策略上移到最顶上

四、新建连接请求策略

右击“连接请求策略”－－“新建连接请求策略”－－下一步－－选择“自定义策略”－－“策略名”处输入“sshlogin”－－下一步－－添加－－选择“Ｃlient-IP-Address”－－添加－－输入一个字或通配符“10.0.1.1”－－下一步－－下一步－－完成

此时，ssh和Radius的配置已经完成了。

使用方法：（以test帐户为例）

１、在域控制器上新建ＡＤ帐户:test并设置密码，开启远程访问权限，其它为默认权限即可（此处就不细讲了）

２、使用root权限登录linux服务器10.0.1.1

3、在linux服务器上增加用户test.命令如下：useradd root。（不需要设置密码）

退出服务器。偿试以test帐户登录。输入ＡＤ帐户test的密码。

登录成功！

ＯＫ，一切大功告成！！