21、RADIUS认证配置与应用全解析

RADIUS认证配置与应用全解析

1. RADIUS与AD集成认证概述

在多数组织中，将RADIUS与AD关联以获取账户信息和组成员身份是常见配置。虽然Microsoft Network Policy Server（NPS）免费且易于在域成员Windows服务器上安装，但它难以与Google Authenticator等双因素认证（2FA）服务集成。因此，对于需要多因素认证（MFA）并利用AD组成员身份确定访问权限的组织来说，基于Linux的RADIUS服务器与AD集成是一个有吸引力的选择。

2. 认证协议介绍

• CHAP协议 ：标准的Challenge - Handshake Authentication Protocol（CHAP）、Microsoft CHAP（MS - CHAP）或MS - CHAPv2（为RADIUS交换添加了密码更改功能）。基本CHAP交换流程如下：
  1. 客户端发送初始Hello消息，包含USERID但不包含密码。
  2. NAS发送CHAP挑战，它是随机数和RADIUS密钥的组合，使用MD5哈希。
  3. 客户端（请求方）使用该值对密码进行哈希处理，并在响应中发送该值。
  4. NAS将随机数和响应值发送到RADIUS服务器，服务器进行自己的计算。
  5. 如果两个值匹配，会话将获得RADIUS Access - Accept响应；否则，获得RADIUS Access - Reject响应。