使用RADIUS来认证VPN用户图文教程.docx
- 文档编号:2872869
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:8
- 大小:716.93KB
使用RADIUS来认证VPN用户图文教程.docx
《使用RADIUS来认证VPN用户图文教程.docx》由会员分享,可在线阅读,更多相关《使用RADIUS来认证VPN用户图文教程.docx(8页珍藏版)》请在冰豆网上搜索。
使用RADIUS来认证VPN用户图文教程
使用RADIUS来认证VPN用户
译自ThomasWShinderM.D.,UsingRADIUSAuthenticationwiththeISAFirewallVPNServer(2004),有改动
前言:
在这篇文章中,介绍了如何配置ISAServer的VPN服务使用RADIUS身份验证。
主要步骤为配置RADIUS服务器(Windows下的IAS服务、配置用户账户的拨入权限、配置ISAServer的VPN服务。
和ISAServer2000一样,ISA防火墙(ISAServer2004)支持使用RADIUS来认证VPN客户。
在ISA防火墙不是内部域的成员时,使用RADIUS认证非常有用。
当非域成员的ISA防火墙使用RADIUS来认证VPN客户时,ISA防火墙将用户的身份验证信息转送到背部的RADIUS服务器上。
微软的RADIUS服务器称为InternetAuthenticationServer(IAS)。
RADIUS服务器将用户身份信息转送到一个认证服务器上,在域环境中,这个认证服务器是活动目录的域控制器。
认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应ISA防火墙。
如果用户提交的身份验证信息有效并且用户具有拨入权限,那么允许该客户的VPN连接;如果身份验证信息无效或者用户没有拨入权限,那么连接将被拒绝。
如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端。
ISA防火墙必须配置使用一个或多个RADIUS服务器,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。
所以,为了让RADIUS正常工作,必须配置RADIUS服务器和ISA防火墙。
在这篇文章中,我们试验的网络拓朴结构如下图所示:
注意,在此例中,域控制器就是一个RADIUS服务器,你可以把它放在域中的其他机器上。
域控同时还作为DHCP服务器、DNS服务器、WINS服务器和证书服务器,我们将使用除了证书服务器外的其他服务。
我们的试验步骤如下:
配置RADIUS服务器;
配置用户账户的拨入权限;
启用和配置ISA防火墙的VPN服务;
配置防火墙策略来控制VPN客户的访问;
建立VPN远程访问连接;
配置RADIUS服务器
IAS可以通过添加/删除Windows组件来安装。
在你安装RADIUS服务器之后,可以立即启动它,不需要重启计算机。
我们需要做两件事:
配置RADIUS服务器识别ISA防火墙为RADIUS客户和为VPN客户建立远程访问策略。
执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:
在IAS服务器,点击开始,指向管理工具,然后点击Internet验证服务;
在Internet验证服务控制台,右击RADIUS客户,然后点击新建RADIUS客户;
在名字和地址页,为ISA防火墙输入一个名字,在此我们命名为ISAFirewall,在客户地址(IP或者DNS)文本框内输入ISA防火墙内部接口的IP地址,点击“下一步”;
在附加信息页,确认客户-销售商选项设置为标准RADIUS。
在共享密钥文本框内输入一个密码,然后在确认共享密钥文本框内再次输入进行确认。
然后勾选请求必须包含消息验证者属性,点击完成;
下一步是建立应用到VPN客户的远程访问策略。
我们在此例中使用默认的VPN客户远程访问策略;执行以下步骤:
在Internet验证服务控制台,右击远程访问策略,点击新建远程访问策略;
在欢迎使用新建远程访问策略向导页,点击下一步;在策略配置方式页,选择使用向导为通用环境建立典型的策略选项,在策略名字文本框中输入一个名字,在此我们命名为VPNClients,点击下一步;
在访问方式页,选择VPN
选项,然后点击Next;
在访问的组或者用户页,选择组,然后点击添加;在选择组对话框,在输入选择的对象名文本框中输入DomainUsers,然后点击检查名称,然后点击确定,然后点击下一步;
保留MicrosoftEncryptedAuthenticationversion2(MS-CHAPv2)的选择;你可以选择其他的认证方式,点击下一步;
在策略加密级别页,选择适合于你的VPN客户的选项。
因为我们使用的是WindowsXP和Windows2000,所以,我们去掉Basicencryption和Strongencryption的勾选,点击下一步;
在完成新建远程访问策略向导页点击完成;
配置用户账户的拨入权限
下一步是启用用户账户的拨入权限。
如果你的活动目录域是本地模式或者是WindowsServer2003域,那么你不需要执行这步,因为用户的拨入权限默认就是通过远程访问策略来控制的。
在混合域模式中,每个用户都必须单独的允许拨入权限,在这个例子中,我们配置administrator账户的拨入权限;
执行以下步骤:
打开ActiveDirectoryUsersandComputers控制台;点击用户节点,然后双击administrator,在拨入标签,选择允许访问,最后点击确定。
启用和配置ISA防火墙的VPN服务
执行以下步骤:
打开ISAServer管理控制台,然后点击虚拟专用网节点;
在虚拟专用网节点,点击任务面板的任务标签,然后点击配置VPN客户访问;
在VPN客户属性对话框,勾选允许VPN客户访问;
点击组标签(注意,这个标签只对基于本地模式的活动目录和WindowsServer2003域模式有效),如果你不在此设置允许访问的组,那么所有的组都不会允许通过VPN访问。
但是这个选项,需要ISAServer也作为活动目录域的成员。
因为这儿我们不会将ISAServer加入域,所以在这儿我们不需要添加组。
点击协议标签,默认设置是启用PPTP,如果你想使用L2TP/IPSecVPN的连接则直接勾选它们。
我总是勾选它们,就算没有准备好使用L2TP/IPSec,不过,如果你没有计划使用PKI或者分布式证书,则不需要勾选。
在此,我们只是使用PPTP。
点击用户映射标签,这个一个很容易混淆的概念。
不过一定要记住,如果ISAServer没有加入域,那么不要使用用户映射。
ISAServer必须有访问活动目录数据库的权限,才能将没有提供域信息的VPN客户(如RADIUS客户)映射到ISAServer(这个信息是转送到RADIUS服务器,不是给ISAServer)。
因为ISAServer在此不是域环境的成员,它不能访问任何Windows的名字空间。
这个和Windows身份验证有点混淆,什么是Windows身份验证,我可以告诉你,Windows身份验证就是除了RADIUS和EAP认证的其他身份验证。
也许你对这些设置还有疑问,但是事实上,如果你在没有加入域的ISAServer上使用用户映射,并且配置VPN服务使用RADIUS认证,那么没有谁可以连接到ISAServer。
你会看见如下的对话框,如果你执行网络监控,你会发现VPN客户向ISAServer发送了一个断开连接的信息。
但是,如果ISAServer不是域的成员,那么你不能使用加强的基于用户/组的访问控制。
不过目前我们得到一些资料,不久我们就可以使用ISAServer来加强基于用户/组的访问控制。
现在我们配置ISAServer使用的RADIUS服务器:
1.在任务面板,点击指定RADIUS配置;
2.在RADIUS标签,勾选使用RADIUS身份认证和记录用户的RADIUS。
3.点击RADIUS服务器标签,点击添加按钮;
4.在添加RADIUS服务器对话框,在服务器名文本框中输入RADIUS服务器的IP地址,你可以输入名字,但是ISAServer一定要能正确的解析出IP地址。
7.点击应用保存修改和更新防火墙策略。
5.点击修改按钮,输入你在RADIUS服务器上配置作为识别ISAServer为RADIUS客户端的密码,然后勾选总是使用消息认证,点击确定;
6.在RADIUS服务器页点击确定;
7.在ISA管理控制台点击应用保存修改和更新防火墙策略。
配置VPN访问策略
你需要建立访问规则来允许VPN客户网络访问内部网络。
因为我们使用RADIUS认证,所以不能对VPN客户连接使用加强的基于用户和组的访问控制(注意,这个地方很容易混淆。
Tom的意思是不能在访问规则对应的用户中使用基于组和用户的选择,但是对于协议和源、目的网络,仍然可以很好的控制)。
所以,我强烈建议你在可能的时候,总是将ISAServer加入域。
例如,你不能只允许一个OWAUsers组在连接到VPN服务器后访问你内部的OWA服务器,因为你只能允许所有用户。
下面我们将建立一个访问规则允许VPN用户只能通过SSL连接访问OWA站点。
执行以下步骤来建立访问规则:
1.在ISAServer管理控制台,点击防火墙策略,然后点击任务面板中的任务标签,然后点击建立新的访问规则;
2.在欢迎使用新建访问规则向导页,为这个规则输入一个名字,在此我们命名为VPNClientstoInternal,点击下一步;
3.在规则动作页,选择允许;
4.在协议页,在这个规则应用到选择选择的协议,然后点击添加;在添加协议对话框,点击通用协议,然后双击HTTPS,然后点击关闭;在协议页点击下一步;
5.在源网络页,点击添加;在添加网络实体对话框,点击网络,然后双击VPN客户网络,点击关闭,点击下一步;
6.在目的网络页,点击添加;在添加网络实体对话框,点击新建,然后点击计算机;在新建计算机规则元素页,在名字文本框中输入一个名字,在此我们命名为OWASite,然后输入OWASite的IP地址,然后点击确定。
在添加网络实体对话框,点击计算机,然后双击OWASite,点击关闭,点击下一步;
7.在用户集页,点击下一步;然后在完成新建访问规则向导页点击完成;
8、点击应用以保存修改和更新防火墙策略;
建立VPN远程访问连接
在远程VPN客户上建立VPN连接,你可以发现,你只能访问OWA站点,并且只能使用HTTPS进行访问。
下图是ISA中的日志信息,VPN客户得到的IP地址是10.0.0.101。
很奇怪的,你可以在ISA的记录中找到用户身份信息,但是就算你在访问规则中设置了对应的用户组,这个设置也是不起作用的。
往下我们可以看到客户发往OWA站点的连接请求。
第六行就是我们建立的访问规则VPNClientstoInternal所允许的,但是,你看见用户名了吗?
我试着建立一个FTP连接,因为没有规则允许,我希望它被拒绝,并且它也被拒绝了。
第三、四、五行就是拒绝的信息。
同样了,它提供了用户名,所以我们相信,一定有办法来基于用户/组来控制使用RADIUS认证的VPN客户。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 使用 RADIUS 认证 VPN 用户 图文 教程
![提示](https://static.bdocx.com/images/bang_tan.gif)