CentOS7用hostapd作radius服务器为WiFi提供802.1X企业认证

来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osnosn的博客
写于: 2019-03-27.html

家里的WiFi通常是用WPA2认证，密码只有一个，泄漏了，家里全部设备都要换密码。再加上如今密码共享软件的流行，如“wifi万能钥匙”，WPA2的密码也不安全了。本文介绍如何搭建一个EAP的企业认证WiFi。支持N个帐号(N>=1)，能够作到一人一个帐号。一个帐号泄漏，改掉这个帐号的密码，或者删除这个帐号就行。若是你不嫌麻烦，还能够发放一人一个证书认证上网。证书自己有过时时间的，还能吊销。过时证书或被吊销证书，是不能登录WiFi的。安全

若是你没有Linux机器。能够仅用一个OpenWRT的路由器搭建WiFi的企业认证:
Newifi OpenWrt 下 EAP-PEAP,EAP-TLS 企业级无线认证及 FreeRadius3服务器

支持 EAP-PEAP(msCHAPv2) 用户帐号认证。用户帐号存于文本文件中。
EAP-TLS证书认证，证书自行生成，能够吊销单个证书而阻止再次链接。网络

本文参考了几位大神的文章:
　拒绝万能钥匙!教您用hostapd搭建一个企业级的Wi-Fi，　搭建一个「最安全」的Wi-Fi网络，楠站，　将hostapd做为radius服务器搭建EAP认证环境，　802.1X企业级加密,测试

我用的是CentOS7.
yum install hostapd 我装的版本是2.6
进入 /etc/hostapd/ 目录。
建立如下三个文件。
根据文末提示的连接，建立所需的证书。
hostapd -dd /etc/hostapd/hostapd.conf 前台运行，测试一下。按ctrl-c退出。
service hostapd start 启动服务正式工做。

hostapd.conf加密

# hostapd.conf
# 文件中全部配置的路径，要使用绝对路径。hostapd不认相对路径。
driver=none
ieee8021x=1
eap_server=1
eap_user_file=/etc/hostapd/hostapd.eap_user
radius_server_clients=/etc/hostapd/hostapd.radius_clients
radius_server_auth_port=1812

server_cert=/etc/hostapd/server_cert.pem
private_key=/etc/hostapd/server_key.pem
ca_cert=/etc/hostapd/ca_cert+crl.pem
check_crl=1

logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2

hostapd.eap_userspa

# hostapd.eap_user
*  PEAP,TLS

"user1"  MSCHAPV2  "pass1"  [2]
"user2"  MSCHAPV2  "pass2"  [2]
#guest
"user3"  MSCHAPV2  "pass3"  [2]

若是仅须要PEAP，就写 * PEAP，下面写帐号，一行一个帐号。若是仅须要TLS，就写 * TLS，下面的帐号就不须要了，写了也没用，不会用到。此项配置不能写成两行，hostapd不认，必定要写成一行* PEAP,TLS，多种认证方式用逗号分隔。code

hostapd.radius_clientsserver

# hostapd.radius_clients
192.168.5.0/24   key1234
#0.0.0.0/0        key5678

EAP-TLS 认证中用到的证书，见我写的另外一文 "用openssl为EAP-TLS生成证书（CA证书,服务器证书,用户证书）"。
AP设备的认证设置，客户端的链接设置，请参看页头大神的文章。htm

你没有Linux(CentOS)的机器，可是有openwrt的路由器。也能够配置WiFi的企业认证。请参看我写的另外一文：Newifi OpenWrt 下 EAP-PEAP,EAP-TLS 企业级无线认证及 FreeRadius3

转载请注明来源。
来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osnosn的博客 --------- end ---------