LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 11932|回复: 21

解决在linux怎样进行802.1认证

[复制链接]
发表于 2003-4-11 13:41:01 | 显示全部楼层 |阅读模式
学校用的是802.1进行认证,安装了mdc-ssd-01.1.2-1.i386.rpm,但是后面就不知道怎么办了
不知道在哪儿输入账号密码?清大虾指教
 楼主| 发表于 2003-4-11 22:33:15 | 显示全部楼层
在请教了同学之后终于知道怎么认证了,写上来让更多的人知道
我安装 的是rh8,运行mdc-ssd-01.1.2-1.i386后(安装时会提示让你插入第三张安装光盘),进入/etc/mdc-ssd修改ifcfg,将最下面一排的id所对应的一栏添加上你自己的用户名,后面的默认的口令设置为你的密码,(一定是最下面的,我当时就是把上面的id改了,浪费了一下午的时间),然后在console中运行mdc-ssd就行了,最后我要感谢白云黄鹤bbs的文章,特别感谢freebsd的板主tufeijoe,如果不是他我现在就不能用linux发动发东西了
发表于 2003-4-14 13:11:47 | 显示全部楼层
我来作个详细点的介绍:
  
802.1x协议解析

  
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。

一、802.1x认证技术的起源
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术。也就是说,对于有线局域网,该项认证没有存在的意义。

由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网中的应用。

二、802.1x认证技术的特点
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。

802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。

接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN+WEB的性能比较。

表1:802.1x与PPPOE认证的技术比较


表2:802.1x与VLAN+WEB认证的技术比较



三、宽带IP城域网中的认证技术分析
宽带IP城域网建设越来越强调网络的可运营性和可管理性,具体包括:对用户的认证、计费,IP地址分配、全方位安全机制,对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲,认证功能包括:识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认和控制,这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此,宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。

实践证明,PPPOE认证技术、VLAN+WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术,根据其定位和特点,在宽带城域网中实现用户认证远远达不到可运营、可管理要求,加之应用又少,为了完备用户的认证、管理功能,还需要进行大量协议之外的工作,目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附着在L2/L3产品上,使L2/L3产品具备BAS用户认证和管理功能。如上所述,这种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案。

在城域网建设初期,大家对可运营、可管理性的认识还不是很一致,802.1x认证技术可能会有一定的市场空间,随着宽带IP城域网建设的逐步成熟和对可管理的关注,基于端口开关状态的802.1x认证技术不会成为主流。

四、802.1x协议工作机制
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成为解决局域网安全问题的一个有效手段。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。

当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。

在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。

对于假冒MAC地址的情况
当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交换机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同,则即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安全带来了漏洞。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。

对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使知道某一用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。

对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。

当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统。

对于假冒IP地址的情况
由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。

对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突。

如果用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信,从而达到了防止IP地址被篡改、假冒的目的。
对于用户口令失窃、扩散的处理

在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,对于这类情况,能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的。
五、总结
802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证方式具有一定的局限性。


  
作者:www.netland.com.cn     来源:www.netland.com.cn
发表于 2003-4-14 13:14:43 | 显示全部楼层
在Linux下的安装和使用如下:

1.下载免费的mdc-ssd 802.1x认证客户端软件。目前的版本是:mdc-ssd-01.1.2-1.i386.rpm (见附件)
2.安装mdc-ssd。由于mdc-ssd使用了TLS认证,所以需要一些SSL的库文件。如果您安装的时候提示需要安装libssl或libcrypto等软件包,请使用命令:
"rpm -Uvh -nodeps mdc-ssd-01.1.2-1.i386.rpm"
安装。同时在/usr/lib目录里,建立文件链接:
cd /us/lib
ln -s libssl.so libssl.so.1
ln -s libcrypto.so libcrypto.so.1
3.配置mdc-ssd。
cd /etc/mdc-ssd
修改文件ifcfg,将id对应一栏的内容改成您的用户名。
cd /etc/mdc-ssd/eth0
修改chap-secrets文件,将系统自动添加的一个栏改成您的用户名和密码,中间的"*"不要动。
您也可以只修改ifcfg文件,将id后面的默认口令设置为您的密码就可以了,chap-secrets文件就不需要修改了。

注意:对于没有安装1.x版本SSL的系统,只能使用MD5-Challenge认证方法,不能使用TLS认证方法。如果您的接入系统是LAN或者VDSL接入,应该没有问题。目前中国大陆基本上都使用MD5-Challenge认证。如果您使用的WLAN接入,则有可能采用TLS认证。TLS认证的配置比较复杂,需要从运营商获取安全证书。本文的配置只针对MD5-Challenge认证。
已经验证的系统:RedHat 7.2(Kernel:2.4.10)、RedHat 7.3(Kernel 2.4.18-3)、RedHat 8.0, Mandrake 8.0、Mandrake 8.2
如果您的内核版本低于2.4,可能会有问题,但是我没有实验过,没有环境。
如果您是自己编译的内核,那么请您确认是否将网络配置中的"raw packet"编译,否则需要重新编译。

使用方法:
mdc-ssd分成两部分,一个守护进程和一个管理进程.
首先起动守护进程,只有守护进程起动了,并且成功地与接入网络队接成功了,管理进程才能使用.
您可以在/etc/rc.d/rc5.d目录下建立守护进程的起动文本,如果是从明令行起动需要作为守护进程起动:"mdc-ssd &"
mdc-ssc为管理进程,有start login logout help四条命令,输入help命令了解详细信息.

附件太大无法上传,还是给个下载地址:http://www.linuxsir.cn/software/ ... 1.1.2-1.i386.rpm.gz
发表于 2003-9-13 09:16:43 | 显示全部楼层
在debian中需要装些什么包,除了mdc-ssd,先谢了
发表于 2003-10-2 11:03:33 | 显示全部楼层
在debian 里面好像没这个包
谁能提供debian下可用的软件包啊
发表于 2004-4-17 15:08:08 | 显示全部楼层
mdc-ssd 802.1x根本没有用啊,面对港湾的垃圾认证!!
操他妈的港湾,我半年无法用Linux拨号了
直至今天我还没有听说支持802.1x协议的拨号软件同时还可以支持MD5的验证!!!
F uck他妈的港湾!!!!
发表于 2004-4-18 21:21:18 | 显示全部楼层
ruochen:~# apt-cache search mdc-ssd
ruochen:~#


debian下没发现这个包!
发表于 2004-5-5 11:26:44 | 显示全部楼层
最初由 晓逸 发表
mdc-ssd 802.1x根本没有用啊,面对港湾的垃圾认证!!
操他妈的港湾,我半年无法用Linux拨号了
直至今天我还没有听说支持802.1x协议的拨号软件同时还可以支持MD5的验证!!!
F uck他妈的港湾!!!!

xsupplicant
发表于 2004-5-21 22:04:56 | 显示全部楼层
supplicant不行!!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表