CentOS7用hostapd作radius服務器爲WiFi提供802.1X企業認證

來源: https://www.cnblogs.com/osnosn/p/10593297.html 來自osnosn的博客
寫於: 2019-03-27.html

家裏的WiFi通常是用WPA2認證，密碼只有一個，泄漏了，家裏全部設備都要換密碼。再加上如今密碼共享軟件的流行，如「wifi萬能鑰匙」，WPA2的密碼也不安全了。本文介紹如何搭建一個EAP的企業認證WiFi。支持N個帳號(N>=1)，能夠作到一人一個帳號。一個帳號泄漏，改掉這個帳號的密碼，或者刪除這個帳號就行。若是你不嫌麻煩，還能夠發放一人一個證書認證上網。證書自己有過時時間的，還能吊銷。過時證書或被吊銷證書，是不能登錄WiFi的。安全

若是你沒有Linux機器。能夠僅用一個OpenWRT的路由器搭建WiFi的企業認證:
Newifi OpenWrt 下 EAP-PEAP,EAP-TLS 企業級無線認證及 FreeRadius3服務器

支持 EAP-PEAP(msCHAPv2) 用戶帳號認證。用戶帳號存於文本文件中。
EAP-TLS證書認證，證書自行生成，能夠吊銷單個證書而阻止再次鏈接。網絡

本文參考了幾位大神的文章:
　拒絕萬能鑰匙!教您用hostapd搭建一個企業級的Wi-Fi，　搭建一個「最安全」的Wi-Fi網絡，楠站，　將hostapd做爲radius服務器搭建EAP認證環境，　802.1X企業級加密,測試

我用的是CentOS7.
yum install hostapd 我裝的版本是2.6
進入 /etc/hostapd/ 目錄。
建立如下三個文件。
根據文末提示的連接，建立所需的證書。
hostapd -dd /etc/hostapd/hostapd.conf 前臺運行，測試一下。按ctrl-c退出。
service hostapd start 啓動服務正式工做。

hostapd.conf加密

# hostapd.conf
# 文件中全部配置的路徑，要使用絕對路徑。hostapd不認相對路徑。
driver=none
ieee8021x=1
eap_server=1
eap_user_file=/etc/hostapd/hostapd.eap_user
radius_server_clients=/etc/hostapd/hostapd.radius_clients
radius_server_auth_port=1812

server_cert=/etc/hostapd/server_cert.pem
private_key=/etc/hostapd/server_key.pem
ca_cert=/etc/hostapd/ca_cert+crl.pem
check_crl=1

logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2

hostapd.eap_userspa

# hostapd.eap_user
*  PEAP,TLS

"user1"  MSCHAPV2  "pass1"  [2]
"user2"  MSCHAPV2  "pass2"  [2]
#guest
"user3"  MSCHAPV2  "pass3"  [2]

若是僅須要PEAP，就寫 * PEAP，下面寫帳號，一行一個帳號。若是僅須要TLS，就寫 * TLS，下面的帳號就不須要了，寫了也沒用，不會用到。此項配置不能寫成兩行，hostapd不認，必定要寫成一行* PEAP,TLS，多種認證方式用逗號分隔。code

hostapd.radius_clientsserver

# hostapd.radius_clients
192.168.5.0/24   key1234
#0.0.0.0/0        key5678

EAP-TLS 認證中用到的證書，見我寫的另外一文 "用openssl爲EAP-TLS生成證書（CA證書,服務器證書,用戶證書）"。
AP設備的認證設置，客戶端的鏈接設置，請參看頁頭大神的文章。htm

你沒有Linux(CentOS)的機器，可是有openwrt的路由器。也能夠配置WiFi的企業認證。請參看我寫的另外一文：Newifi OpenWrt 下 EAP-PEAP,EAP-TLS 企業級無線認證及 FreeRadius3

轉載請註明來源。
來源: https://www.cnblogs.com/osnosn/p/10593297.html 來自osnosn的博客 --------- end ---------