神州数码802.1x、DCBA协议认证方案
本文作者:PT
授权许可:创作共享协议
测试平台:Ubuntu 8.04、8.10
前言
神舟数码的认证主要有两种,一是802.1x EOAOL协议,基于链路层的认证;另一是DCBA,基于应用层的认证协议。常见采用其中一种或者两种联合使用。
其中802.1x的认证官方没有提供Win平台以外的软件,但有第三方分析出来版本,至于DCBA的认证,官方提供了一个Linux的Console程序,虽不完美,但至少可用。
本文将以Step by Step的方式介绍两种协议的认证方法和具体的步骤,在其他Linux发行版下应该也通用。
神州数码802.1x私有协议认证
新消息
NEW: 现在开发神州数码802.1x认证的C语言版本的客户端,不需要下面所说的java虚拟机和jpcap,不过软件尚在测试阶段,请移步至此,开发者博客http://apt-blog.co.cc,目前需要测试用户简单编译再使用,希望得到大家的反馈信息,谢谢!
准备工作
认证软件运行需要sun-java6-jre软件包,同时需要一个第三方java库:jpcap。
(以下提供的包全部为32bit 版本,如果使用64bit系统,可自行寻找同路径下的对应64位版本的包,jpcap官方没有提供64位版本,可从这里下载重编译版,编译方法见此)
下载文件
考虑未认证的Ubuntu无法使用网络,需要在其他平台下载以下的文件再到Ubuntu中安装:
http://mirror.lupaworld.com/ubuntu/pool/main/libt/libtool/libltdl3_1.5.26-1ubuntu1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/main/j/java-common/java-common_0.28ubuntu3_all.deb http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/odbcinst1debian1_2.2.11-16build1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/main/u/unixodbc/unixodbc_2.2.11-16build1_i386.deb http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-bin_6-07-3ubuntu2_i386.deb http://mirror.lupaworld.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-jre_6-07-3ubuntu2_all.deb http://netresearch.ics.uci.edu/kfujii/jpcap/jpcap-0.7.deb
安装软件运行环境
Linux小知识提示:
文件名很长很长很长……但不需要人手敲进去,当打了前几个字母后敲Tab,没反应多敲几下……还没反应?你确定?那么你打错字母了。Linux中的长命令长参数长文件名都这么解决的,再高手也不可能、也不会笨到去记住这么长的命令。
- .安装odbc、java-common (若想双击安装,必须按下面各个文件出现的次序安装,否则会提示依赖问题)
$sudo dpkg -i \ libltdl3_1.5.26-1ubuntu1_i386.deb \ odbcinst1debian1_2.2.11-16build1_i386.deb \ unixodbc_2.2.11-16build1_i386.deb \ java-common_0.30_all.deb
- .安装jre(这里不能双击deb文件进行安装。安装过程中出现用户协议,按Tab移动光标确认。)
$sudo dpkg -i sun-java6-bin_6-07-3ubuntu2_i386.deb sun-java6-jre_6-07-3ubuntu2_all.deb
- .安装jpcap-0.7(参数忽略了不必要的Jdk依赖)
$sudo dpkg --ignore-depends\=sun-java6-jdk -i jpcap-0.7.deb
安装、配置认证软件
802.1x_client_for_DigitalChina_0.6.1.tar.gz (文件大小: 80 KB, MIME 类型: application/x-gzip)
这里提供的是简化版本,可到作者网站下载最新版:<a href="http://www.yaoqi.name/">http://www.yaoqi.name/</a> (先匿名登录,然后进入“软件开发”)。
解压文件到任意目录,并从终端进入。
1.给文件赋予可执行属性
$chmod +x 8021x_linux2.把软件安装到系统程序目录
$sudo cp 8021x_linux /usr/local/bin3.尝试运行认证软件(软件需要root权限直接控制网卡,故需要sudo,否则程序找不到网卡设备)
$sudo 8021x_linux +javahome /usr/lib/jvm/java-6-sun/jre4.在桌面建立启动器: (右击桌面-创建启动器,类型选择“应用程序”、名称填写DigiChina、命令中填入)
gksu 8021x_linux +javahome /usr/lib/jvm/java-6-sun/jre第一次运行程序,注意Program菜单里面有个“中文界面”,点击了软件就变成中文了。按照提示在配置信息里面把东西填好,然后 保存配置信息,回到主界面,连接即可。
可以参照右图:(勾上自动连接的时候,密码框内容不能修改,请注意)
有些认证方案中,是认证后才通过DHCP分配的IP,勾上“自动分配IP”即可。如果在认证之前本机就已经获取IP的,需要填上本机的ip、dns、网关等。
Ubuntu中,可右键右上角的网络连接查看本机IP、DNS之类的信息。
连接成功的界面(右图):
在802.1x和DCBA双重认证的系统中,如果认证了802.1x后30秒内没有进行DCBA认证,则程序会提示掉线,此时需要退出程序,重新运行、连接。
最新版本的认证软件
最新版本0.7.5中程序添加了一些功能,尤其有“自定义认证版本”的选项,可能对某些因升级不能使用linux客户端认证的环境有效。
但是在使用中,新版的稳定性不若0.6.1版本,且内存占用很大(50M+)。若旧版能够正常认证,不推荐升级。
作者的网站:http://www.yaoqi.name/ (先匿名登录,然后进入“软件开发”)。
神州数码DCBA认证
DCBA的认证是基于应用层的,使用相对简单一些:LinuxClient.tar.gz
下载附件到主文件夹,解压后有一个linuxClient文件夹。 运行终端进入linuxClient:
./upnet -h host -u username -p password(-h是认证主机的IP,-u是用户名,-p是密码,如果不清楚网络的认证主机,可以查看Win版本的客户端中的ini文件的信息)
之后程序会提示选择服务,按1,回车即可。屏幕提示如下:
$ ./upnet -h 192.168.28.5 -u user -p password(运行命令) Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html(这行提示不用理会) select server: 1. servicename please select(e-Exit):1(输入1选择服务器) The attestation is successful, you can be then now internet access!(提示认证成功,可以上网了)使用shell脚本保存账号密码的简便方法
1.复制程序到系统本地程序目录
$sudo cp upnet downnet /usr/local/bin2.在用户目录下运行完整运行一次认证(生成attrfile.ini自动应答文件)
$cd $upnet -h 192.168.28.5 -u user -p password若能成功上网,可运行downnet,再执行一次不带-h参数的upnet,应该能正常免应答认证。
3.创建认证脚本
$sudo gedit /usr/local/bin/authupnet输入如下内容
#!/bin/sh upnet -u username -p password2.保存后给该文件赋予可执行权限
$sudo chmod +x /usr/local/bin/authupnet3.运行:
在终端里面直接执行authupnet,就可以上网了!然后为authupnet建立一个桌面启动器,以后双击即可。
$authupnet注意事项
- 至少在终端中命令方式运行一次upnet成功上网后,再配置脚本(第一次成功认证后程序会在当前目录下生成自动应答文件attrfile.ini)。
- 常见程序给出This procedure has Exsit!的错误提示,但是又不能上网,是因为之前错误运行了upnet,而进程又没有正常退出的缘故。使用killall upnet命令终止程序,重新执行upnet。若情况依旧,试试执行downnet或者重启系统(重启x upnet不会终止)。
- upnet程序不会响应用户名密码是否正确,即使给与错误的帐号,其提示和正常认证一样。如发现不能上网,检查账户是否错误。
具体环境的认证过程细节
广州大学 大学城校区
大学城校区使用的正是本套神州数码认证,但是具体到不同的宿舍,又有不同的认证流程。(原Win下的认证都分成3个版本)
其中B15宿舍楼使用的是802.1x和DCBA联合认证方法,故联网必须先按本文的方法先后验证。而其他宿舍楼宇,则只需使用DCBA协议验证。
B1 ~B20使用的DCBA服务器 192.168.28.12 B22~B25使用的DCBA服务器 192.168.28.4注意:服务器可能随时变动,请留意学校论坛网络版的相关帖子。
武汉大学
目前有两种方法在linux下通过神州数码认证。
1.使用姚琦的java版认证程序。 武汉大学认证需要在软件里指定客户端版本号,应指定为3.5.04.1013fk。具体来说就是:
运行软件后填完用户名和密码后,点高级设置 然后填自定义的版本号 3.5.04.1013fk 最关键的就是这个版本号了,在wins下右键神州数码看到的是3.5.04.1013 Beta,而用这个是通不过验证的。。。这也就是网上关于武汉大学由于神州数码版本升级造成linux版的客户端不能用的原因。事实上是这个版本号在作怪。昨天帮一个人测试他写的神州数码,在抓包里看到了这个真实的版本号,3.5.04.1013fk。
2.使用网名为“男孩像PT”编写的C语言版认证客户端ZDC 这是一个命令行下的客户端,现在的版本为0.3,默认的版本号就是3.5.04.1013fk,所以武汉大学的学生使用时不用指定版本号。ZDC的安装比较简单,之需要实现安装libpcap-dev,然后make一下就可以了。软件的优化正在进行中。 参见http://bbs.whu.edu.cn/wForum/disparticle.php?boardName=Linux_Unix&ID=20242&pos=6
(作者:现在重新开发了C语言版本的802.1x版本客户端,ZDClient 0.2版后的协议版本已经是3.5,希望武大的同学帮忙测试和反馈信息给PT 博客, email: pentie_at_gmail.com )