kanidm/radius Docker Image Overview

kanidm/radius

Kanidm Radius Server是基于Kanidm身份管理系统的Radius服务器组件，用于处理网络设备（如交换机、无线AP）的认证请求，支持多种RADIUS认证协议，提供与Kanidm用户数据集成的集中式网络访问身份验证与授权服务。

0 次下载

😅 镜像要是出问题，背锅的一定是你

中文简介版本下载

😅 镜像要是出问题，背锅的一定是你

Kanidm Radius Server 镜像文档

概述

Kanidm Radius Server是Kanidm身份管理系统的核心组件之一，专为网络访问控制场景设计。该镜像提供Radius协议服务，通过与Kanidm后端身份数据库集成，实现对网络设备（如无线接入点、交换机、***网关）的集中式认证、授权与审计（AAA），简化企业级网络身份验证架构。

核心功能与特性

多协议支持：兼容RADIUS标准协议，包括PAP（密码认证协议）、CHAP（挑战握手认证协议）及MS-CHAPv2（微软挑战握手认证协议第2版），适配主流网络设备认证需求。
Kanidm集成：原生对接Kanidm身份管理系统，直接使用Kanidm用户数据（账号、密码哈希、组信息）进行认证，无需独立维护用户数据库。
策略化授权：支持基于Kanidm用户组、属性的动态授权规则，可配置不同用户组访问不同网络资源的权限。
日志与审计：提供详细的认证日志记录（成功/失败事件、来源IP、用户名），支持日志输出至标准流或文件，便于集成监控系统（如ELK Stack）。
轻量级部署：基于Alpine Linux构建，镜像体积小，启动速度快，适合容器化环境快速部署与扩展。

使用场景

企业无线网络认证：为802.11无线接入点（AP）提供WPA2-Enterprise/WPA3-Enterprise认证服务，确保仅授权用户接入企业Wi-Fi。
有线网络控制：配合交换机802.1X端口认证，限制未授权设备接入内部有线网络。
接入认证：作为网关（如Open***、***）的Radius后端，验证远程接入用户身份。
网络设备管理认证：为交换机、路由器等网络设备的管理接口（如SSH、Web管理页）提供Radius认证，统一管理账号体系。

使用方法与配置说明

前置条件

已部署Kanidm服务器（版本≥1.1.0），并确保Radius Server可网络访问Kanidm API端口（默认8300/TCP）。
网络设备需预配置Radius客户端信息（IP地址、共享密钥），且与Radius Server网络互通。

镜像拉取

bash
docker pull kanidm/radius-server:latest

基础部署（docker run）

bash
docker run -d \
  --name kanidm-radius \
  --restart unless-stopped \
  -p 1812:1812/udp  # RADIUS认证端口（标准端口） \
  -p 1813:1813/udp  # RADIUS记账端口（可选，按需开放） \
  -e KANIDM_URL="[***]" \  # Kanidm服务器API地址 \
  -e KANIDM_RADIUS_SECRET="your-radius-shared-secret" \      # RADIUS客户端共享密钥（需与网络设备一致） \
  -e KANIDM_BIND_DN="admin" \                                # Kanidm管理员DN（用于查询用户数据） \
  -e KANIDM_BIND_PASSWORD="your-kanidm-admin-password" \     # Kanidm管理员密码 \
  -e LOG_LEVEL="info" \                                      # 日志级别（debug/info/warn/error） \
  kanidm/radius-server:latest

高级配置（docker-compose）

创建docker-compose.yml文件，支持持久化日志与自定义配置：

yaml
version: "3.8"
services:
  kanidm-radius:
    image: kanidm/radius-server:latest
    container_name: kanidm-radius
    restart: unless-stopped
    ports:
      - "1812:1812/udp"
      - "1813:1813/udp"
    environment:
      - KANIDM_URL="[***]"
      - KANIDM_RADIUS_SECRET="your-radius-shared-secret"
      - KANIDM_BIND_DN="admin"
      - KANIDM_BIND_PASSWORD="your-kanidm-admin-password"
      - LOG_LEVEL="info"
      - RADIUS_CLIENT_ALLOWLIST="192.168.1.0/24,10.0.0.10"  # 允许接入的Radius客户端IP（CIDR或单个IP）
    volumes:
      - ./radius-logs:/var/log/kanidm-radius  # 持久化日志目录（需提前创建并授权权限）

核心环境变量说明

环境变量	描述	示例值
`KANIDM_URL`	Kanidm服务器API地址（含协议与端口）	`[***]`
`KANIDM_RADIUS_SECRET`	RADIUS客户端共享密钥（网络设备需配置相同密钥）	`S3cr3tK3y!`
`KANIDM_BIND_DN`	用于查询Kanidm用户数据的绑定DN（通常为Kanidm管理员账号）	`admin`
`KANIDM_BIND_PASSWORD`	`KANIDM_BIND_DN`对应的密码	`AdminPassw0rd!`
`LOG_LEVEL`	日志级别（debug/info/warn/error），默认`info`	`debug`
`RADIUS_CLIENT_ALLOWLIST`	允许接入的Radius客户端IP列表（逗号分隔，支持CIDR），默认允许所有客户端	`192.168.1.0/24,10.0.0.5`
`RADIUS_AUTH_PORT`	RADIUS认证端口（UDP），默认`1812`	`1812`
`RADIUS_ACCT_PORT`	RADIUS记账端口（UDP），默认`1813`（如无需记账可关闭该端口映射）	`1813`

验证与测试

部署完成后，可使用radtest工具（freeradius-utils包提供）验证服务可用性：

bash
radtest testuser testpassword <radius-server-ip> 0 <radius-shared-secret>

若返回Access-Accept，表示认证成功；
若返回Access-Reject，需检查：Kanidm用户密码是否正确、网络设备IP是否在RADIUS_CLIENT_ALLOWLIST中、共享密钥是否匹配。

注意事项

安全建议：生产环境中需通过Kanidm TLS证书验证（配置KANIDM_TLS_CA_PATH环境变量指定CA证书路径），并限制RADIUS_CLIENT_ALLOWLIST仅包含可信网络设备IP。
性能优化：高并发场景下可通过调整容器CPU/内存资源（--cpus/--memory参数）或部署多个实例配合负载均衡（如HAProxy UDP负载均衡）提升处理能力。
版本兼容性：确保Kanidm Radius Server镜像版本与Kanidm后端服务器版本一致，避免API兼容性问题。

查看更多 radius 相关镜像 →

kanidm/server

Kanidm是一个简单安全的身份管理平台，支持Passkeys、OAuth2/OIDC、RADIUS和LDAPs等多种认证方式，提供WebUI和CLI管理工具，适用于从家庭实验室到大型企业的各种规模环境。

4500K+ pulls

上次更新：未知

kanidm/tools

Kanidm身份管理系统的命令行工具集，用于通过命令行界面管理Kanidm服务、用户、组及权限等核心功能。

150K+ pulls

上次更新：未知