RADIUS-如何获取凭证

获取 RADIUS 凭证（即用于 RADIUS 认证的用户名和密码/密钥）取决于您的角色和场景。以下是不同情境下的获取方法：

一、作为终端用户（接入网络的客户）

1. 企业/学校网络

   • 向 IT 部门申请：提供员工号/学号，获取专用账号密码。

   • 默认凭证：初始密码可能为身份证后6位、学号等（首次登录需修改）。

2. 运营商宽带/VPN

   • 开户时获取：办理业务时工作人员提供用户名密码（如 user@isp.com + 自定义密码）。

   • 合同/设备标签：查看光猫或路由器背面的贴纸（部分运营商将 RADIUS 密码印在设备上）。

二、作为网络管理员（配置 RADIUS 服务器）

需在 RADIUS 服务器 上创建或导出凭证：

步骤 1：选择用户数据库

步骤 2：创建用户凭证（以 FreeRADIUS 为例）

1. 编辑用户配置文件：

   bash

   复制

   下载

   sudo nano /etc/freeradius/3.0/users

2. 添加用户（支持明文或哈希密码）：

   plaintext

   复制

   下载

   alice  Cleartext-Password := "P@ssw0rd123"  # 明文密码（测试用）
   bob    Cleartext-Password := "{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ="  # SHA1 哈希密码

   安全提示：生产环境建议用 openssl 生成哈希密码：
   echo -n "密码" | openssl dgst -sha1

3. 重启服务生效：

   bash

   复制

   下载

   sudo systemctl restart freeradius

步骤 3：获取 RADIUS 共享密钥（Shared Secret）

• 服务器端：查看 RADIUS 配置文件（如 /etc/freeradius/3.0/clients.conf）：

  plaintext

  复制

  下载

  client router_ip {secret = Your_Shared_Secret_Here  # 这就是共享密钥
  }

• 网络设备端（如路由器/WiFi AP）：
  登录设备管理界面 → RADIUS 设置 → 查找 Server Secret 或 Shared Key。

三、作为开发者（调试 RADIUS 认证）

1. 测试凭证

   • 使用 FreeRADIUS 默认测试账号：testing + 密码 password（需启用测试配置）。

   • 生成临时账号：在 users 文件添加临时用户（操作同上）。

2. 模拟工具

   • 用 radtest 命令快速验证凭证：

     bash

     复制

     下载

     radtest username password radius_server_ip 0 shared_secret
     # 示例：radtest alice P@ssw0rd123 192.168.1.100 0 mysecret

四、安全注意事项

1. 密码存储

   • 禁止明文存储密码 → 始终使用哈希（如 SHA-1, MD5）或加密字段。

   • 在 users 文件中使用 Crypt-Password 替代 Cleartext-Password。

2. 共享密钥管理

   • 长度 ≥ 16 位，包含大小写字母、数字、符号。

   • 定期轮换密钥（如每 90 天）。

3. 最小权限原则

   • 用户仅分配必要权限（如限制带宽/VLAN）。

五、常见问题解决

• 问题：用户认证失败
  检查：

  1. RADIUS 服务器日志：/var/log/freeradius/radius.log

  2. 确认客户端 IP 和共享密钥匹配 clients.conf。

  3. 用户是否在有效期内（检查 Expiration 属性）。

• 问题：忘记共享密钥
  解决：

  • 在 RADIUS 服务器查看 clients.conf。

  • 若丢失 → 在服务器和设备端重新生成并同步。