入門 硬件知識 電腦基礎 上網入門 故障 電腦修護 電腦健康 精通電腦 網站 DIV+CSS 建站知識 SEO知識
教程 電腦操作 平面設計 路由設置 技巧 Word Excel QQ技巧 壁紙 自然風景 酷車美女 系統桌面
系統 安裝系統 系統技巧 系統設置 安全 木馬查殺 黑客防御 安全資訊 美女 明星寫真 清純美女 性感美女

主頁 > 服務器 > ISA2006 > INTRODUCE

ISA2006詳解Radius服務器在VPN中的應用:ISA教程之二十二

發布時間:2013-11-06 作者:電腦知識網 來源:www.2994509.live 字號:

今天我們來介紹一種經常和VPN配合使用的身份驗證服務器-Radius服務器。

Radius是Remote Authentication Dial In User Service的縮寫,意思是遠程用戶撥號認證服務。Radius原本設計用于對撥號用戶進行身份驗證和計費,這些功能經常被電信部門所使用,我們撥號上網后收到的賬單就是Radius服務器統計出來的。Radius使用一段時間后,大家發現Radius協議功能強大,使用方便且易于擴充,因此經過改進后,Radius現已成為國際通用的認證計費協議,廣泛使用在普通電話上網、ADSL上網、小區寬帶上網、IP電話等多種場合。

有了Radius這樣一個專業的認證服務器,VPN就輕松多了。VPN服務器只需成為Radius客戶端,然后把VPN用戶發來的身份驗證憑據轉發到Radius服務器,自己就可以坐等結果通知了。這樣一來VPN服務器可以從身份驗證工作中解脫出來,專心干好自己的本職工作。而Radius服務器也可以發揮自己的專業優勢,讓用戶身份驗證能夠使用智能卡,雙因子驗證等高級技術。下面我們先舉一個例子,向大家介紹一下Radius的應用。如下圖拓撲所示,Beijing是一個工作組環境下的ISA服務器,按理說無法對域用戶進行身份驗證。但我們在域控制器Denver上安裝了一個Radius服務器。這樣一來ISA服務器只要把域用戶發來的驗證請求轉交給Radius服務器,就能通過Radius服務器對訪問者進行域用戶驗證,這樣是不是很方便呢?順便說一下,有些硬件防火墻也可以通過Radius來對域用戶提供支持。

 

 

Radius服務器安裝

首先我們在Denver上安裝Radius服務器,Radius服務器并不一定要安裝在域控制器上,我們在此完全是為了實驗方便才把Radius和域控制器集于一身。在Denver上依次點擊 控制面板-添加或刪除程序-添加/刪除Windows組件,如下圖所示,選擇網絡服務組件中的“Internet驗證服務”,點擊確定后我們就可以在Denver上安裝Radius服務了。

 

 

Radius服務器添加客戶端

想利用Radius服務器對訪問者進行身份驗證,ISA首先得成為Radius的客戶端,下面我們就在Radius服務器中把ISA服務器添加為客戶端。在Denver上依次點擊 開始-程序-管理工具-Internet驗證服務,如下圖所示,右鍵“點擊Radius客戶端”,選擇“新建Radius客戶端”。

 

 

為Radius客戶端配置一個易于記憶的名字,并填寫客戶端的IP。

 

 

接下來在客戶端-供應商類型中應選擇“Microsoft”,注意設置Radius服務器和客戶端的共享密碼。Radius服務器和客戶端依靠這個密碼進行彼此的身份驗證。這個密碼并不在網絡上傳遞,如果Radius服務器認為有必要,還會使用挑戰/響應的機制向Radius客戶端提出身份驗證請求。具體就是Radius服務器生成一個隨機字符串,然后用這個共享口令加密,然后把加密后的密文傳給客戶端,要求客戶端對密文解密后再回傳給服務器,如果客戶端回送的內容和原始的隨機字符串一樣,那客戶端的身份就得到了認可。

 

 

如下圖所示,Radius服務器已經把ISA服務器添加成了客戶端。

 

 

配置使用Radius服務器

Radius服務器已經把ISA服務器添加成了客戶端,那我們接下來就需要在ISA服務器上配置使用Radius服務器進行身份驗證。如下圖所示,在ISA的管理工具中定位到“虛擬專用網絡”,點擊右側面板中的“指定Radius配置”。

 

 

如下圖所示,我們勾選“使用Radius進行身份驗證”以及“使用Radius記賬”,然后點擊“Radius服務器”。

 

 

點擊下圖中的“添加”按鈕,添加Radius服務器的配置。

 

 

如下圖所示,我們在服務器名中填寫了Radius服務器的完全合格域名,在共享的機密中點擊“更改”按鈕,填寫了Radius服務器設置的共享密碼,點擊確定后完成Radius服務器的配置。

 

 

配置Radius服務器啟用日志

由于在ISA服務器中配置了使用Radius服務器進行記賬,因此我們在Radius服務器中啟用日志功能。在Denver的管理工具中打開Internet驗證,點擊“遠程訪問記錄”,如下圖所示,我們可以選擇使用文件記錄或數據庫記錄,今天我們只是簡單地實驗一下,因此選擇“本地文件”。

如下圖所示,我們選擇在日志中記錄“記賬請求”,“身份驗證請求”和“周期性狀態”。

VPN訪問實驗

好了,所有的配置都就緒了,我們在客戶機Istanbul上進行Radius實驗了,如下圖所示,我們在Istanbul上準備以contoso\administrator的身份進行VPN身份驗證,由于ISA服務器在工作組環境,因此如果不使用Radius服務器,ISA服務器無法驗證域用戶的身份。點擊連接,看看結果如何?

如下圖所示,Istanbul已經成功地撥入了VPN服務器,Radius服務器起作用了。

接下來讓我們去Radius服務器看看日志中有沒有記錄這次訪問,Radius的日志文件存儲在C:\Windows\system32\logfiles目錄下,如下圖所示,我們打開此目錄中的IN0808.log,這就是Radius的日志文件。

 

如下圖所示,Radius服務器的日志中很清晰地記錄了客戶端的這次訪問,OK,Radius服務器配置成功!


文章: ISA2006詳解Radius服務器在VPN中的應用:ISA教程之二十二
地址:http://www.2994509.live/server/201311/8131.html
------分隔線----------------------------
------分隔線----------------------------
熱門ISA2006文章推薦
神武菜农怎么赚钱