RADIUS 是一种用于在需要认证其连结的网路访问伺服器(NAS)和共享认证伺服器之间进行认证、授权和记帐信息的文档协定。
RADIUS 伺服器负责接收用户的连线请求、认证用户,然后返回客户机所有必要的配置信息以将服务传送到用户。
基本介绍
- 中文名:RADIUS伺服器
- 用于:认证、授权和记帐信息的文档协定
- 控制台树:“ISA 伺服器管理
- 注意事项:“Microsoft ISA Server
简介
RADIUS server配置 RADIUS 伺服器
在“ISA 伺服器管理”的控制台树中,单击“常规”: 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 伺服器”。 在“RADIUS 伺服器”选项卡上,单击“添加”。 在“伺服器名”中,键入要用于身份验证的 RADIUS 伺服器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 伺服器与 RADIUS 伺服器之间的安全通讯的共享机密。必须在 ISA 伺服器与 RADIUS 伺服器上配置相同的共享机密,RADIUS 通讯才能成功。 在“连线埠”中,键入 RADIUS 伺服器要对传入的 RADIUS 身份验证请求使用的用户数据报协定(UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 伺服器,请将连线埠值设定为 1645。 在“逾时(秒)”中,键入 ISA 伺服器将尝试从 RADIUS 伺服器获得回响的时间(秒),超过此时间之后,ISA 伺服器将尝试另一台 RADIUS 伺服器。 如果基于共享机密的讯息验证程式与每个 RADIUS 讯息一起传送,请选择“总是使用讯息验证程式”。
注意事项
要打开“ISA 伺服器管理”,请单击“开始”,依次指向“所有程式”、“Microsoft ISA Server”,然后单击“ISA 伺服器管理”。 当为 RADIUS 身份验证配置 ISA 伺服器时,RADIUS 伺服器的配置会套用于使用 RADIUS 身份验证的所有规则或网路对象。 共享机密用于验证 RADIUS 讯息(Access-Request 讯息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备传送的。 请务必更改 RADISU 伺服器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字元)的随机字母、数字和标点符号。 如果选择“总是使用讯息验证程式”,请确保 RADIUS 伺服器能够接收并配置为接收讯息验证程式。 对于 VPN 客户端,可扩展的身份验证协定(EAP) 讯息始终是随同讯息验证程式一起传送的。对于 Web 代理客户端,将仅使用密码身份验证协定 (PAP)。 如果 RADIUS 伺服器运行了 Internet 身份验证服务 (IAS),并且为此伺服器配置的 RADIUS 客户端选择了“请求必须包含讯息验证程式属性”选项,则必须选择“总是使用讯息验证程式”。
关键部件
客户机/伺服器体系结构 网路访问伺服器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 伺服器,然后根据返回的回响进行操作。
RADIUS 伺服器可以担当其它 RADIUS 伺服器或者是其它种类的认证伺服器的代理。
网路安全性 通过使用加密的共享机密信息来认证客户机和 RADIUS 伺服器间的事务。从不通过网路传送机密信息。此外,在客户机和 RADIUS 伺服器间传送任何订户密码时,都要加密该密码。
灵活认证机制 RADIUS 伺服器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协定(PPP)、密码认证协定(PAP)、提问握手认证协定(CHAP)以及其它认证机制。
可扩展协定 所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协定实现的情况下添加新属性值。
相关介绍
网路策略伺服器 (NPS) 可用作对远程身份验证拨入用户服务 (RADIUS) 客户端执行身份验证、授权和记帐的 RADIUS 伺服器。RADIUS 客户端可以是访问伺服器(如拨号伺服器或无线访问点)或者 RADIUS 代理。将 NPS 用作 RADIUS 伺服器时,它提供以下功能:
- 为 RADIUS 客户端传送的所有访问请求提供中心身份验证和授权服务。
NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服务 (AD DS) 域或本地安全帐户管理器 (SAM) 用户帐户资料库对用于尝试连线的用户凭据进行身份验证。NPS 使用用户帐户的拨入属性和网路策略对连线授权。 - 为 RADIUS 客户端传送的所有记帐请求提供中心记帐记录服务。
记帐请求存储在本地日誌档案或 Microsoft(R) SQL Server(TM) 资料库中,以用于进行分析。
下图显示了作为各种访问客户端的 RADIUS 伺服器的 NPS,还显示了 RADIUS 代理。NPS 使用 AD DS 域对传入的 RADIUS 访问请求讯息执行用户凭据身份验证。
访问方式
将 NPS 用作 RADIUS 伺服器时,RADIUS 讯息将採用以下方式为网路访问连线提供身份验证、授权和记帐功能:
- 访问伺服器(如拨号网路访问伺服器、VPN 伺服器和无线访问点)从访问客户端接收连线请求。
- 访问伺服器(配置为使用 RADIUS 作为身份验证、授权、记帐协定)将创建访问请求讯息并将其传送给 NPS 伺服器。
- NPS 伺服器将评估访问请求讯息。
- 如果需要,NPS 伺服器会向访问伺服器传送访问质询讯息。访问伺服器将处理质询,并向 NPS 伺服器传送更新的访问请求。
- 系统将检查用户凭据,并使用指向域控制器的安全连线来获取用户帐户的拨入属性。
- 系统将使用用户帐户的拨入属性和网路策略对连线尝试进行授权。
- 如果对连线尝试进行身份验证和授权,则 NPS 伺服器会向访问伺服器传送访问接受讯息。
如果不对连线尝试进行身份验证或授权,则 NPS 伺服器会向访问伺服器传送访问拒绝讯息。 - 访问伺服器将完成与访问客户端的连线过程,并向 NPS 伺服器传送记帐请求讯息,在那里记录讯息。
- NPS 伺服器会向访问伺服器传送记帐回响讯息。
| 注意 |
|---|
此外,在建立连线期间、关闭访问客户端连线时,以及启动和停止访问伺服器时,访问伺服器还会传送记帐请求讯息。 |
在以下情况下,您可以使用 NPS 作为 RADIUS 伺服器:
- 使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用户帐户资料库作为访问客户端的用户帐户资料库。
- 在多个拨号伺服器、VPN 伺服器或请求拨号路由器上使用路由和远程访问,并且要将网路策略配置与记帐连线日誌记录集中在一起。
- 您正在向服务提供商外购拨号、VPN 或无线访问。访问伺服器使用 RADIUS 对您所在组织的成员建立的连线进行身份验证和授权。
- 您要对一组不同种类的访问伺服器集中进行身份验证、授权和记帐。
| 注意 |
|---|
在 Windows Server(R) 2003 作业系统的 Internet 验证服务 (IAS) 中,网路策略即是远程访问策略。 |