如何在macOS Server中使用RADIUS?


1

我们有一台配备了Server App(5.2)的Mac Mini Server(macOS 10.12)(Open Directory和DNS Server Services处于活动状态,网络处于静态IP状态)。我们曾经从Server App配置了一台Airport Extreme,Server提供了RADIUS身份验证。

现在我们想将其他Airport Extreme基站添加到网络中以扩展其范围。我们已经能够通过Admin Tool Radius添加另一个RADIUS客户端。

  1. 我想知道Server App提供什么样的RADIUS支持?

  2. 由于添加第二个机场基站不起作用,我想我必须在服务器应用程序之外配置一个RADIUS服务器,可能是关注此视频:https//vimeo.com/53774350

  3. 服务器应用程序的机场基站配置会对第一个基站有什么影响?我还可以从Server App配置服务和映射吗?

  4. 我应该只在服务器应用程序中激活基站,还是通过WiFi取消激活身份验证要求并配置单独的RADIUS服务器?

  5. 证书怎么样:服务器应用程序已经拥有全局证书,我可以使用它而不是构建一个新证书吗?

  6. 访问组(在视频中提到)是否可以在Server App中看到?

希望有人可以提供帮助。

当我“sudo radiusconfig -getconfig”时,我得到:

{
    clientcount = 2;
    configured = 1;
    "eap.conf" =     {
        "CA_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.chain.pem";
        cadir = "/Library/Server/radius/raddb/certs";
        certdir = "/Library/Server/radius/raddb/certs";
        "certificate_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.cert.pem";
        "check_cert_cn" = "%{User-Name}";
        "check_crl" = no;
        "dh_file" = "/Library/Server/radius/raddb/certs/dh";
        "fragment_size" = 1024;
        "include_length" = yes;
        "private_key_file" = "/etc/certificates/server.yyyy.zz.xxxxxxxxxx.key.pem";
        "private_key_password" = "Apple:UseCertAdmin";
        "random_file" = "/Library/Server/radius/raddb/certs/random";
    };
    "radiusd.conf" =     {
        auth = no;
        "auth_badpass" = no;
        "auth_goodpass" = no;
        "cleanup_delay" = 5;
        confdir = "/Library/Server/radius/raddb";
        "exec_prefix" = "/Applications/Server.app/Contents/ServerRoot/usr";
        "hostname_lookups" = no;
        localstatedir = "/private/var";
        logdir = "/private/var/log/radius";
        "max_request_time" = 30;
        "max_requests" = 1024;
        prefix = "/Applications/Server.app/Contents/ServerRoot/usr";
        radacctdir = "/private/var/log/radius/radacct";
        raddbdir = "/Library/Server/radius/raddb";
        sbindir = "/Applications/Server.app/Contents/ServerRoot/usr/sbin";
        sysconfdir = "/Library/Server/radius";
    };
}

当我“sudo radiusconfig -naslist”我得到

sudo radiusconfig -naslist
client IP.xxx.xxx.xxx {
  secret = YYYYYYYYYY
  shortname = "Base Station 1"
  community =
  type = "AirPort Base Station"
  description =
};
client IP.xxx.xxx.xxx {
  secret = ZZZZZZZZZZ
  shortname = "Base Station 2"
  community =
  type = "Airport Base Station"
  description =
};

Answers:


2

经过一番工作,我得到了它的工作。我完成了视频减去访问组中的所有步骤。我想我的问题与捕获新基站有关,在完成第二个基站的设置并重启后现在一切正常!我还纠正了一些与认证相关的问题。我使用优秀的管理工具半径来正确设置alt,不正确的设置可能是我的麻烦的原因!

1)我想知道Server App提供什么样的RADIUS支持?

它似乎提供了全面的支持。

2)由于添加第二个机场基站不起作用,我想我必须在服务器应用程序之外配置一个RADIUS服务器,可能是这个视频:https//vimeo.com/53774350

仍然是优秀的教程,在macOS Sierra中略显过时。

3)我为第一个基站激活的服务器应用程序的机场基站配置会发生什么?我还可以从Server App配置服务和映射吗?

它适用于我们的情况

4)我是否应该只在服务器应用程序中激活基站,但是通过WiFi取消激活身份验证要求并配置单独的RADIUS服务器?

它适用于我们的情况。无需再次设置Radius服务器。我不完整的Radius Server可能是与认证相关的问题。

5)证书如何:服务器应用程序已经拥有全局证书,我可以使用它而不是构建一个新证书吗?

Radius将使用Server App中使用的证书。我使用优秀的Admin Tool Radius进行设置。

6)访问组(视频中提到的)是否在Server App中可见?

如果在“服务器”>“视图”下选择“显示系统帐户”,则应显示该信息。但是没有必要设置访问组,因为RADIUS将使用Opendirectory。

所以现在一切正常。正如我所说,我刚刚重复了一步,我遇到的问题可能与证书或客户端设置错误有关。

现在我只需要弄清楚如何将RADIUS日志导入控制台,因为它们不会出现在macOS Sierra中!


太好了!感谢您的更新,我对此感到很好奇...要走的路。
MacManager 2016年

1
就日志而言,您可以使用类似于log stream --process bootpd特定过程的内容。您可以在新的Console.app中创建类似的过滤器。我认为在这种情况下它是半径的?我的半径服务器此刻被剔除所以无法看...
MacManager 2016年

我想知道控制台是否只报告特定目录中的所有日志。如果是这样,我们可以告诉Radius将其日志写入该目录。
SEJU 2016年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.