-
安装 pam_radius_auth
$ yum install pam-devel $ wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz $ tar zxvf pam_radius-1.3.17.tar.gz $ cd pam_radius-1.3.17 $ make $ cp pam_radius_auth.so /lib/security/ $ cp pam_radius_auth.so /lib64/security/ $ mkdir /etc/raddb $ cp pam_radius_auth.conf /etc/raddb/server $ vi /etc/raddb/server # 修改secret,缺省localhost的secret是testing123,见FreeRADIUS server 的clients.conf # 修改内容为 freeradius_server_ip secret_value 1 $ vi /etc/pam.d/sshd #%PAM-1.0 auth sufficient pam_radius_auth.so //添加这一行,添加的位置有讲究,放到下面可能会出错。 auth include system-auth
-
重启 sshd 服务即可
$ service sshd restart
NAS 上 原本设有密码的账户, otp 和 原来的密码都能够登录.
原本没有密码的账户, otp 登录.
注意:
FreeRADIUS server 端需要用相应的 client 信息. 假设 NAS 的 ip 为 192.168.1.10, 在需要在 server 的 clients.conf 中添加
client client01 {
ipaddr = 192.168.1.10
secret =secret_value
nas_type = other
require_message_authenticator = no
}
或者 ip 为在 clients.conf 中 ( ipaddr, netmask ) 的范围中.
参考