查看“神州数码802.1x、DCBA协议认证方案”的源代码

本文作者：PT<br> 

授权许可：[http://www.creativecommons.cn/licenses/by-nc-sa/1.0/ 创作共享协议] <br> 

测试平台：Ubuntu 8.04、8.10<br> 

<br> 

= '''前言'''  =

神舟数码的认证主要有两种，一是802.1x EOAOL协议，基于链路层的认证；另一是DCBA，基于应用层的认证协议。常见采用其中一种或者两种联合使用。

其中802.1x的认证官方没有提供Win平台以外的软件，但有第三方分析出来版本，至于DCBA的认证，官方提供了一个Linux的Console程序，虽不完美，但至少可用。

本文将以Step by Step的方式介绍两种协议的认证方法和具体的步骤，在其他Linux发行版下应该也通用。

= '''神州数码802.1x私有协议认证'''  =

<br> 

= 新消息  =

NEW： 现在开发神州数码802.1x认证的C语言版本的客户端，'''不需要下面所说的java虚拟机和jpcap'''，不过软件尚在测试阶段，请移步[http://forum.ubuntu.org.cn/viewtopic.php?f=116&t=204763 至此]，开发者博客[http://apt-blog.co.cc/archives/368.html http://apt-blog.co.cc]，目前需要测试用户简单编译再使用，希望得到大家的反馈信息，谢谢！ 

== 准备工作  ==

认证软件运行需要sun-java6-jre软件包，同时需要一个第三方java库：jpcap。 

(以下提供的包全部为32bit 版本，如果使用64bit系统，可自行寻找同路径下的对应64位版本的包，jpcap官方没有提供64位版本，可从[http://www.box.net/shared/9qqar57vph 这里]下载重编译版，编译方法[http://apt-blog.co.cc/archives/130.html 见此]) 

=== 下载文件  ===

'''考虑未认证的Ubuntu无法使用网络，需要在其他平台下载以下的文件再到Ubuntu中安装： ''' 

 [http://mirror.lupaworld.com/ubuntu/pool/main/libt/libtool/libltdl3_1.5.26-1ubuntu1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/main/libt/libtool/libltdl3_1.5.26-1ubuntu1_i386.deb]
 [http://mirror.lupaworld.com/ubuntu/pool/main/j/java-common/java-common_0.28ubuntu3_all.deb http://mirror.lupaworld.com/ubuntu/pool/main/j/java-common/java-common_0.28ubuntu3_all.deb]
 [http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/odbcinst1debian1_2.2.11-16build1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/odbcinst1debian1_2.2.11-16build1_i386.deb]
 [http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/unixodbc_2.2.11-16build1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/unixodbc_2.2.11-16build1_i386.deb]
 [http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-bin_6-07-3ubuntu2_i386.deb http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-bin_6-07-3ubuntu2_i386.deb]
 [http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-jre_6-07-3ubuntu2_all.deb http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-jre_6-07-3ubuntu2_all.deb]
 [http://netresearch.ics.uci.edu/kfujii/jpcap/jpcap-0.7.deb http://netresearch.ics.uci.edu/kfujii/jpcap/jpcap-0.7.deb]

=== 安装软件运行环境  ===

Linux小知识提示：<br>文件名很长很长很长……但不需要人手敲进去，当打了前几个字母后敲Tab，没反应多敲几下……还没反应？你确定？那么你打错字母了。Linux中的长命令长参数长文件名都这么解决的，再高手也不可能、也不会笨到去记住这么长的命令。 

#.安装odbc、java-common （若想双击安装，必须按下面各个文件出现的次序安装，否则会提示依赖问题）

 $sudo dpkg -i \
 libltdl3_1.5.26-1ubuntu1_i386.deb \
 odbcinst1debian1_2.2.11-16build1_i386.deb \
 unixodbc_2.2.11-16build1_i386.deb \
 java-common_0.30_all.deb

#.安装jre（这里不能双击deb文件进行安装。安装过程中出现用户协议，按Tab移动光标确认。)

 $sudo dpkg -i sun-java6-bin_6-07-3ubuntu2_i386.deb sun-java6-jre_6-07-3ubuntu2_all.deb

#.安装jpcap-0.7（参数忽略了不必要的Jdk依赖）

 $sudo dpkg --ignore-depends\=sun-java6-jdk -i jpcap-0.7.deb

== <br> 安装、配置认证软件<br>  ==
<blockquote>[http://wiki.ubuntu.org.cn/images/9/97/802.1x_client_for_DigitalChina_0.6.1.tar.gz 802.1x_client_for_DigitalChina_0.6.1.tar.gz] (文件大小: 80 KB, MIME 类型: application/x-gzip) </blockquote> <blockquote>这里提供的是简化版本，可到作者网站下载最新版：&lt;a href="[http://www.yaoqi.name/ http://www.yaoqi.name/]"&gt;[http://www.yaoqi.name http://www.yaoqi.name/]&lt;/a&gt; (先匿名登录，然后进入“软件开发”)。<br> 解压文件到任意目录，并从终端进入。 </blockquote> <blockquote>1.给文件赋予可执行属性 <pre>$chmod +x 8021x_linux
</pre> 
2.把软件安装到系统程序目录 
<pre>$sudo cp 8021x_linux /usr/local/bin
</pre> 
3.尝试运行认证软件（软件需要root权限直接控制网卡，故需要sudo，否则程序找不到网卡设备） 
<pre>$sudo 8021x_linux +javahome /usr/lib/jvm/java-6-sun/jre
</pre> 
4.在桌面建立启动器： (右击桌面-创建启动器，类型选择“应用程序”、名称填写DigiChina、命令中填入) 
<pre>gksu 8021x_linux +javahome /usr/lib/jvm/java-6-sun/jre</pre> 
第一次运行程序，注意Program菜单里面有个“中文界面”，点击了软件就变成中文了。按照提示在配置信息里面把东西填好，然后 保存配置信息，回到主界面，连接即可。<br>&nbsp; [[Image:Sup2.png|thumb|right]] 

可以参照右图：（勾上自动连接的时候，密码框内容不能修改，请注意） <br> 

<br> 有些认证方案中，是认证后才通过DHCP分配的IP，勾上“自动分配IP”即可。如果在认证之前本机就已经获取IP的，需要填上本机的ip、dns、网关等。 

<br> 

Ubuntu中，可右键右上角的网络连接查看本机IP、DNS之类的信息。[[Image:Sup.jpg|thumb|right]]<br> 

<br> 

<br> 

<br> 

连接成功的界面（右图）： 

<br> 

在802.1x和DCBA双重认证的系统中，如果认证了802.1x后30秒内没有进行DCBA认证，则程序会提示掉线，此时需要退出程序，重新运行、连接。<br> 

<br> 

==== 最新版本的认证软件<br>  ====

最新版本0.7.5中程序添加了一些功能，尤其有“'''自定义认证版本'''”的选项，可能对某些因升级不能使用linux客户端认证的环境有效。 

'''但是在使用中，新版的稳定性不若0.6.1版本，且内存占用很大（50M+）。若旧版能够正常认证，不推荐升级。''' 

作者的网站：[http://www.yaoqi.name/ http://www.yaoqi.name/] (先匿名登录，然后进入“软件开发”)。 
[[Image:Screenshot-神州数码802.1x协议认证辅助客户端 V0.7.5.png|350px]][[Image:Screenshot-神州数码802.1x协议认证辅助客户端 V0.7.5高级设置.png|350px]]<br></blockquote>

= '''<br>神州数码DCBA认证'''  =
<blockquote>DCBA的认证是基于应用层的，使用相对简单一些：[http://wiki.ubuntu.org.cn/images/3/37/LinuxClient.tar.gz LinuxClient.tar.gz ]<blockquote>下载附件到主文件夹，解压后有一个linuxClient文件夹。 运行终端进入linuxClient： <pre>./upnet -h host -u username -p password</pre> 
（-h是认证主机的IP，-u是用户名，-p是密码，如果不清楚网络的认证主机，可以查看Win版本的客户端中的ini文件的信息） 

之后程序会提示选择服务，按1,回车即可。屏幕提示如下： 
<pre>$ ./upnet -h 192.168.28.5 -u user -p password（运行命令）

&nbsp;Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html（这行提示不用理会）
&nbsp;select server:
&nbsp;1. servicename
&nbsp;please select(e-Exit):1（输入1选择服务器）
&nbsp;The attestation is successful, you can be then now internet access!（提示认证成功，可以上网了） 

</pre></blockquote> 
=== 使用shell脚本保存账号密码的简便方法<br>  ===

<blockquote>1.复制程序到系统本地程序目录 <pre>$sudo cp upnet downnet /usr/local/bin</pre> 
2.在用户目录下运行完整运行一次认证(生成attrfile.ini自动应答文件)<pre>$cd
$upnet -h 192.168.28.5 -u user -p password</pre> 

'''若能成功上网，可运行downnet，再执行一次不带-h参数的upnet，应该能正常免应答认证。'''

3.创建认证脚本 

<pre>$sudo gedit /usr/local/bin/authupnet</pre> 

输入如下内容<br> 

<blockquote><pre>#!/bin/sh
upnet -u username -p password
</pre> </blockquote> 

2.保存后给该文件赋予可执行权限 

<pre>$sudo chmod +x /usr/local/bin/authupnet</pre> 

3.运行：<br>在终端里面直接执行authupnet，就可以上网了！然后为authupnet建立一个桌面启动器，以后双击即可。<br> 

<pre>$authupnet</pre></blockquote>

=== 注意事项  ===
<blockquote>
#至少在终端中命令方式运行一次upnet成功上网后，再配置脚本（第一次成功认证后程序会在当前目录下生成自动应答文件attrfile.ini）。 
#常见程序给出This procedure has Exsit!的错误提示，但是又不能上网，是因为之前错误运行了upnet，而进程又没有正常退出的缘故。使用killall upnet命令终止程序，重新执行upnet。若情况依旧，试试执行downnet或者重启系统（重启x upnet不会终止）。 
#upnet程序不会响应用户名密码是否正确，即使给与错误的帐号，其提示和正常认证一样。如发现不能上网，检查账户是否错误。
</blockquote>

= '''具体环境的认证过程细节'''  =

=== 广州大学 大学城校区<br>  ===

大学城校区使用的正是本套神州数码认证，但是具体到不同的宿舍，又有不同的认证流程。（原Win下的认证都分成3个版本） 

其中B15宿舍楼使用的是802.1x和DCBA联合认证方法，故联网必须先按本文的方法先后验证。而其他宿舍楼宇，则只需使用DCBA协议验证。 <br> 
<pre>
B1 ~B20使用的DCBA服务器 192.168.28.12

B22~B25使用的DCBA服务器 192.168.28.4</pre> 

注意：服务器可能随时变动，请留意学校论坛网络版的相关帖子。
<br>

=== 武汉大学<br>  ===
目前有两种方法在linux下通过神州数码认证。

1.使用姚琦的java版认证程序。
武汉大学认证需要在软件里指定客户端版本号，应指定为3.5.04.1013fk。具体来说就是：
----------------------------------------------------------------------------------------
运行软件后填完用户名和密码后，点高级设置 
然后填自定义的版本号 3.5.04.1013fk 
最关键的就是这个版本号了，在wins下右键神州数码看到的是3.5.04.1013 Beta，而用这个是通不过验证的。。。这也就是网上关于武汉大学由于神州数码版本升级造成linux版的客户端不能用的原因。事实上是这个版本号在作怪。昨天帮一个人测试他写的神州数码，在抓包里看到了这个真实的版本号，3.5.04.1013fk。
-----------------------------------------------------------------------------------------

2.使用网名为“男孩像PT”编写的C语言版认证客户端ZDC
这是一个命令行下的客户端，现在的版本为0.3，默认的版本号就是3.5.04.1013fk，所以武汉大学的学生使用时不用指定版本号。ZDC的安装比较简单，之需要实现安装libpcap-dev，然后make一下就可以了。软件的优化正在进行中。
参见http://bbs.whu.edu.cn/wForum/disparticle.php?boardName=Linux_Unix&ID=20242&pos=6


(作者：现在重新开发了C语言版本的802.1x版本客户端，ZDClient 0.2版后的协议版本已经是3.5，希望武大的同学帮忙测试和反馈信息给PT [http://apt-blog.co.cc/ 博客], email: pentie_at_gmail.com )