RADIUS伺服器
RADIUS伺服器
RADIUS 是一種用於在需要認證其鏈接的網路訪問伺服器(NAS)和共享認證伺服器之間進行認證、授權和記帳信息的文檔協議。
RADIUS 伺服器負責接收用戶的連接請求、認證用戶,然後返回客戶機所有必要的配置信息以將服務發送到用戶。
RADIUS server配置 RADIUS 伺服器
在“ISA 伺服器管理”的控制台樹中,單擊“常規”:對於 ISA Server 2004 Enterprise Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“陣列”、“ Array_Name”、“配置”,然後單擊“常規”。對於 ISA Server 2004 Standard Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“ Server_Name”、“配置”,然後單擊“常規”。在詳細信息窗格中,單擊“定義 RADIUS 伺服器”。在“RADIUS 伺服器”選項卡上,單擊“添加”。在“伺服器名”中,鍵入要用於身份驗證的 RADIUS 伺服器的名稱。單擊“更改”,然後在“新機密”中,鍵入要用於 ISA 伺服器與 RADIUS 伺服器之間的安全通訊的共享機密。必須在 ISA 伺服器與 RADIUS 伺服器上配置相同的共享機密,RADIUS 通訊才能成功。在“埠”中,鍵入 RADIUS 伺服器要對傳入的 RADIUS 身份驗證請求使用的用戶數據報協議(UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 伺服器,請將埠值設置為 1645。在“超時(秒)”中,鍵入 ISA 伺服器將嘗試從 RADIUS 伺服器獲得響應的時間(秒),超過此時間之後,ISA 伺服器將嘗試另一台 RADIUS 伺服器。如果基於共享機密的消息驗證程序與每個 RADIUS 消息一起發送,請選擇“總是使用消息驗證程序”。
要打開“ISA 伺服器管理”,請單擊“開始”,依次指向“所有程序”、“Microsoft ISA Server”,然後單擊“ISA 伺服器管理”。當為 RADIUS 身份驗證配置 ISA 伺服器時,RADIUS 伺服器的配置會應用於使用 RADIUS 身份驗證的所有規則或網路對象。共享機密用於驗證 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享機密且啟用了 RADIUS 的設備發送的。請務必更改 RADISU 伺服器上的默認預共享密鑰。配置強共享密鑰,並經常更改,以防止詞典攻擊。強共享機密是一串很長(超過 22 個字元)的隨機字母、數字和標點符號。如果選擇“總是使用消息驗證程序”,請確保 RADIUS 伺服器能夠接收並配置為接收消息驗證程序。對於 VPN 客戶端,可擴展的身份驗證協議(EAP) 消息始終是隨同消息驗證程序一起發送的。對於 Web 代理客戶端,將僅使用密碼身份驗證協議 (PAP)。如果 RADIUS 伺服器運行了 Internet 身份驗證服務 (IAS),並且為此伺服器配置的 RADIUS 客戶端選擇了“請求必須包含消息驗證程序屬性”選項,則必須選擇“總是使用消息驗證程序”。
客戶機/伺服器體系結構 網路訪問伺服器(NAS)作為 RADIUS 客戶機運行。客戶機負責將訂戶信息傳遞至指定的 RADIUS 伺服器,然後根據返回的響應進行操作。
RADIUS 伺服器可以擔當其它 RADIUS 伺服器或者是其它種類的認證伺服器的代理。
網路安全性 通過使用加密的共享機密信息來認證客戶機和 RADIUS 伺服器間的事務。從不通過網路發送機密信息。此外,在客戶機和 RADIUS 伺服器間發送任何訂戶密碼時,都要加密該密碼。
靈活認證機制 RADIUS 伺服器可支持多種認證訂戶的方法。當訂戶提供訂戶名和原始密碼時,RADIUS 可支持點對點協議(PPP)、密碼認證協議(PAP)、提問握手認證協議(CHAP)以及其它認證機制。
可擴展協議 所有事務都由變長的三元組“屬性-長度-值”組成。可在不影響現有協議實現的情況下添加新屬性值。
網路策略伺服器 (NPS) 可用作對遠程身份驗證撥入用戶服務 (RADIUS) 客戶端執行身份驗證、授權和記帳的 RADIUS 伺服器。RADIUS 客戶端可以是訪問伺服器(如撥號伺服器或無線訪問點)或者 RADIUS 代理。將 NPS 用作 RADIUS 伺服器時,它提供以下功能:
• 為 RADIUS 客戶端發送的所有訪問請求提供中心身份驗證和授權服務。 NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服務 (AD DS) 域或本地安全帳戶管理器 (SAM) 用戶帳戶資料庫對用於嘗試連接的用戶憑據進行身份驗證。NPS 使用用戶帳戶的撥入屬性和網路策略對連接授權。
• 為 RADIUS 客戶端發送的所有記帳請求提供中心記帳記錄服務。記帳請求存儲在本地日誌文件或 Microsoft(R) SQL Server(TM) 資料庫中,以用於進行分析。
下圖顯示了作為各種訪問客戶端的 RADIUS 伺服器的 NPS,還顯示了 RADIUS 代理。NPS 使用 AD DS 域對傳入的 RADIUS 訪問請求消息執行用戶憑據身份驗證。
RADIUS伺服器
將 NPS 用作 RADIUS 伺服器時,RADIUS 消息將採用以下方式為網路訪問連接提供身份驗證、授權和記帳功能:
訪問伺服器(如撥號網路訪問伺服器、VPN 伺服器和無線訪問點)從訪問客戶端接收連接請求。
訪問伺服器(配置為使用 RADIUS 作為身份驗證、授權、記帳協議)將創建訪問請求消息並將其發送給 NPS 伺服器。
NPS 伺服器將評估訪問請求消息。
如果需要,NPS 伺服器會向訪問伺服器發送訪問質詢消息。訪問伺服器將處理質詢,並向 NPS 伺服器發送更新的訪問請求。
系統將檢查用戶憑據,並使用指向域控制器的安全連接來獲取用戶帳戶的撥入屬性。
系統將使用用戶帳戶的撥入屬性和網路策略對連接嘗試進行授權。
如果對連接嘗試進行身份驗證和授權,則 NPS 伺服器會向訪問伺服器發送訪問接受消息。如果不對連接嘗試進行身份驗證或授權,則 NPS 伺服器會向訪問伺服器發送訪問拒絕消息。
訪問伺服器將完成與訪問客戶端的連接過程,並向 NPS 伺服器發送記帳請求消息,在那裡記錄消息。
NPS 伺服器會向訪問伺服器發送記帳響應消息。
注意 |
此外,在建立連接期間、關閉訪問客戶端連接時,以及啟動和停止訪問伺服器時,訪問伺服器還會發送記帳請求消息。 |
在以下情況下,您可以使用 NPS 作為 RADIUS 伺服器:
• 使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用戶帳戶資料庫作為訪問客戶端的用戶帳戶資料庫。
• 在多個撥號伺服器、VPN 伺服器或請求撥號路由器上使用路由和遠程訪問,並且要將網路策略配置與記帳連接日誌記錄集中在一起。
• 您正在向服務提供商外購撥號、VPN 或無線訪問。訪問伺服器使用 RADIUS 對您所在組織的成員建立的連接進行身份驗證和授權。
• 您要對一組不同種類的訪問伺服器集中進行身份驗證、授權和記帳。
注意 |
在 Windows Server(R) 2003 操作系統的 Internet 驗證服務 (IAS) 中,網路策略即是遠程訪問策略。 |