簡介
RADIUS server配置 RADIUS 伺服器
在“ISA
伺服器管理”的控制台樹中,單擊“常規”: 對於 ISA Server 2004 Enterprise Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“陣列”、“
Array_Name”、“配置”,然後單擊“常規”。 對於 ISA Server 2004 Standard Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“
Server_Name”、“配置”,然後單擊“常規”。 在詳細信息窗格中,單擊“定義 RADIUS 伺服器”。 在“RADIUS 伺服器”選項卡上,單擊“添加”。 在“伺服器名”中,鍵入要用於
身份驗證的 RADIUS 伺服器的名稱。 單擊“更改”,然後在“新機密”中,鍵入要用於 ISA 伺服器與 RADIUS 伺服器之間的安全通訊的共享機密。必須在 ISA 伺服器與 RADIUS 伺服器上配置相同的共享機密,RADIUS 通訊才能成功。 在“連線埠”中,鍵入 RADIUS 伺服器要對傳入的 RADIUS 身份驗證請求使用的
用戶數據報協定(UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 伺服器,請將連線埠值設定為 1645。 在“逾時(秒)”中,鍵入 ISA 伺服器將嘗試從 RADIUS 伺服器獲得回響的時間(秒),超過此時間之後,ISA 伺服器將嘗試另一台 RADIUS 伺服器。 如果基於共享機密的訊息驗證程式與每個 RADIUS 訊息一起傳送,請選擇“總是使用訊息驗證程式”。
注意事項
要打開“ISA
伺服器管理”,請單擊“開始”,依次指向“所有程式”、“Microsoft ISA Server”,然後單擊“ISA 伺服器管理”。 當為 RADIUS
身份驗證配置 ISA 伺服器時,RADIUS 伺服器的配置會套用於使用 RADIUS 身份驗證的所有規則或網路對象。 共享機密用於驗證 RADIUS 訊息(Access-Request 訊息除外)是否是配置了相同的共享機密且啟用了 RADIUS 的設備傳送的。 請務必更改 RADISU 伺服器上的默認預共享
密鑰。 配置強共享密鑰,並經常更改,以防止詞典攻擊。強共享機密是一串很長(超過 22 個
字元)的隨機字母、數字和標點符號。 如果選擇“總是使用訊息驗證程式”,請確保 RADIUS 伺服器能夠接收並配置為接收訊息驗證程式。 對於 VPN 客戶端,可擴展的
身份驗證協定(EAP) 訊息始終是隨同訊息驗證程式一起傳送的。對於 Web 代理客戶端,將僅使用密碼身份驗證協定 (PAP)。 如果 RADIUS 伺服器運行了 Internet
身份驗證服務 (IAS),並且為此
伺服器配置的 RADIUS 客戶端選擇了“請求必須包含訊息驗證程式屬性”選項,則必須選擇“總是使用訊息驗證程式”。
關鍵部件
客戶機/伺服器體系結構 網路訪問伺服器(NAS)作為 RADIUS 客戶機運行。客戶機負責將訂戶信息傳遞至指定的 RADIUS 伺服器,然後根據返回的回響進行操作。
RADIUS 伺服器可以擔當其它 RADIUS 伺服器或者是其它種類的認證伺服器的代理。
網路安全性 通過使用加密的共享機密信息來認證客戶機和 RADIUS 伺服器間的事務。從不通過網路傳送機密信息。此外,在客戶機和 RADIUS 伺服器間傳送任何訂戶密碼時,都要加密該密碼。
靈活認證機制 RADIUS 伺服器可支持多種認證訂戶的方法。當訂戶提供訂戶名和原始密碼時,RADIUS 可支持
點對點協定(PPP)、密碼認證協定(PAP)、提問握手認證協定(CHAP)以及其它認證機制。
可擴展協定 所有事務都由變長的三元組“屬性-長度-值”組成。可在不影響現有協定實現的情況下添加新屬性值。
相關介紹
網路策略伺服器 (NPS) 可用作對遠程身份驗證撥入用戶服務 (RADIUS) 客戶端執行身份驗證、授權和記帳的 RADIUS 伺服器。RADIUS 客戶端可以是訪問伺服器(如撥號伺服器或無線訪問點)或者 RADIUS 代理。將 NPS 用作 RADIUS 伺服器時,它提供以下功能:
為 RADIUS 客戶端傳送的所有訪問請求提供中心身份驗證和授權服務。
NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服務 (AD DS) 域或本地安全帳戶管理器 (SAM) 用戶帳戶資料庫對用於嘗試連線的用戶憑據進行身份驗證。NPS 使用用戶帳戶的撥入屬性和網路策略對連線授權。
為 RADIUS 客戶端傳送的所有記帳請求提供中心記帳記錄服務。
記帳請求存儲在本地日誌檔案或 Microsoft(R) SQL Server(TM) 資料庫中,以用於進行分析。
下圖顯示了作為各種訪問客戶端的 RADIUS 伺服器的 NPS,還顯示了 RADIUS 代理。NPS 使用 AD DS 域對傳入的 RADIUS 訪問請求訊息執行用戶憑據身份驗證。
訪問方式
將 NPS 用作 RADIUS 伺服器時,RADIUS 訊息將採用以下方式為網路訪問連線提供身份驗證、授權和記帳功能:
訪問伺服器(如撥號網路訪問伺服器、VPN 伺服器和無線訪問點)從訪問客戶端接收連線請求。
訪問伺服器(配置為使用 RADIUS 作為身份驗證、授權、記帳協定)將創建訪問請求訊息並將其傳送給 NPS 伺服器。
NPS 伺服器將評估訪問請求訊息。
如果需要,NPS 伺服器會向訪問伺服器傳送訪問質詢訊息。訪問伺服器將處理質詢,並向 NPS 伺服器傳送更新的訪問請求。
系統將檢查用戶憑據,並使用指向域控制器的安全連線來獲取用戶帳戶的撥入屬性。
系統將使用用戶帳戶的撥入屬性和網路策略對連線嘗試進行授權。
如果對連線嘗試進行身份驗證和授權,則 NPS 伺服器會向訪問伺服器傳送訪問接受訊息。
如果不對連線嘗試進行身份驗證或授權,則 NPS 伺服器會向訪問伺服器傳送訪問拒絕訊息。
訪問伺服器將完成與訪問客戶端的連線過程,並向 NPS 伺服器傳送記帳請求訊息,在那裡記錄訊息。
NPS 伺服器會向訪問伺服器傳送記帳回響訊息。
注意 |
---|
此外,在建立連線期間、關閉訪問客戶端連線時,以及啟動和停止訪問伺服器時,訪問伺服器還會傳送記帳請求訊息。 |
在以下情況下,您可以使用 NPS 作為 RADIUS 伺服器:
使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用戶帳戶資料庫作為訪問客戶端的用戶帳戶資料庫。
在多個撥號伺服器、VPN 伺服器或請求撥號路由器上使用路由和遠程訪問,並且要將網路策略配置與記帳連線日誌記錄集中在一起。
您正在向服務提供商外購撥號、VPN 或無線訪問。訪問伺服器使用 RADIUS 對您所在組織的成員建立的連線進行身份驗證和授權。
您要對一組不同種類的訪問伺服器集中進行身份驗證、授權和記帳。
注意 |
---|
在 Windows Server(R) 2003 作業系統的 Internet 驗證服務 (IAS) 中,網路策略即是遠程訪問策略。 |