Radius
是
Remote Authentication Dial In User Service
的缩写,意思是远程用户拨号认证服务。
Radius
原本设计用于对拨号用户进行身份验证和计费,这些功能经常被电信部门所使用,我们拨号上网后收到的账单就是
Radius
服务器统计出来的。
Radius
使用一段时间后,大家发现
Radius
协议功能强大,使用方便且易于扩充,因此经过改进后,
Radius
现已成为国际通用的认证计费协议,广泛使用在普通电话上网、
ADSL
上网、小区宽带上网、
IP
电话等多种场合。
有了
Radius
这样一个专业的认证服务器,
VPN
就轻松多了。
VPN
服务器只需成为
Radius
客户端,然后把
VPN
用户发来的身份验证凭据转发到
Radius
服务器,自己就可以坐等结果通知了。这样一来
VPN
服务器可以从身份验证工作中解脱出来,专心干好自己的本职工作。而
Radius
服务器也可以发挥自己的专业优势,让用户身份验证能够使用智能卡,双因子验证等高级技术。下面我们先举一个例子,向大家介绍一下
Radius
的应用。如下图拓扑所示,
Beijing
是一个工作组环境下的
ISA
服务器,按理说无法对域用户进行身份验证。但我们在域控制器
Denver
上安装了一个
Radius
服务器。这样一来
ISA
服务器只要把域用户发来的验证请求转交给
Radius
服务器,就能通过
Radius
服务器对访问者进行域用户验证,这样是不是很方便呢?顺便说一下,有些硬件防火墙也可以通过
Radius
来对域用户提供支持。
一 Radius服务器安装
首先我们在
Denver
上安装
Radius
服务器,
Radius
服务器并不一定要安装在域控制器上,我们在此完全是为了实验方便才把
Radius
和域控制器集于一身。在
Denver
上依次点击
控制面板-添加或删除程序-添加/删除Windows组件,如下图所示,选择网络服务组件中的“Internet验证服务”,点击确定后我们就可以在Denver上安装Radius服务了。
二 Radius服务器添加客户端
想利用
Radius
服务器对访问者进行身份验证,
ISA
首先得成为
Radius
的客户端,下面我们就在
Radius
服务器中把
ISA
服务器添加为客户端。在
Denver
上依次点击
开始-程序-管理工具-Internet验证服务,如下图所示,右键“点击Radius客户端”,选择“新建Radius客户端”。
为
Radius
客户端配置一个易于记忆的名字,并填写客户端的
IP
。
接下来在客户端
-
供应商类型中应选择“
Microsoft
”,注意设置
Radius
服务器和客户端的共享密码。
Radius
服务器和客户端依靠这个密码进行彼此的身份验证。这个密码并不在网络上传递,如果
Radius
服务器认为有必要,还会使用挑战
/
响应的机制向
Radius
客户端提出身份验证请求。具体就是
Radius
服务器生成一个随机字符串,然后用这个共享口令加密,然后把加密后的密文传给客户端,要求客户端对密文解密后再回传给服务器,如果客户端回送的内容和原始的随机字符串一样,那客户端的身份就得到了认可。
如下图所示,
Radius
服务器已经把
ISA
服务器添加成了客户端。
三配置使用Radius服务器
Radius
服务器已经把
ISA
服务器添加成了客户端,那我们接下来就需要在
ISA
服务器上配置使用
Radius
服务器进行身份验证。如下图所示,在
ISA
的管理工具中定位到“虚拟专用网络”,点击右侧面板中的“指定
Radius
配置”。
如下图所示,我们勾选“使用
Radius
进行身份验证”以及“使用
Radius
记账”,然后点击“
Radius
服务器”。
点击下图中的“添加”按钮,添加
Radius
服务器的配置。
如下图所示,我们在服务器名中填写了
Radius
服务器的完全合格域名,在共享的机密中点击“更改”按钮,填写了
Radius
服务器设置的共享密码,点击确定后完成
Radius
服务器的配置。
四配置Radius服务器启用日志
由于在
ISA
服务器中配置了使用
Radius
服务器进行记账,因此我们在
Radius
服务器中启用日志功能。在
Denver
的管理工具中打开
Internet
验证,点击“远程访问记录”,如下图所示,我们可以选择使用文件记录或数据库记录,今天我们只是简单地实验一下,因此选择“本地文件”。
如下图所示,我们选择在日志中记录“记账请求”,“身份验证请求”和“周期性状态”。
五 VPN访问实验
好了,所有的配置都就绪了,我们在客户机
Istanbul
上进行
Radius
实验了,如下图所示,我们在
Istanbul
上准备以
contoso\administrator
的身份进行
VPN
身份验证,由于
ISA
服务器在工作组环境,因此如果不使用
Radius
服务器,
ISA
服务器无法验证域用户的身份。点击连接,看看结果如何?
如下图所示,
Istanbul
已经成功地拨入了
VPN
服务器,
Radius
服务器起作用了。
接下来让我们去
Radius
服务器看看日志中有没有记录这次访问,
Radius
的日志文件存储在
C:\Windows\system32\logfiles
目录下,如下图所示,我们打开此目录中的
IN0808.log
,这就是
Radius
的日志文件。
如下图所示,
Radius
服务器的日志中很清晰地记录了客户端的这次访问,
OK
,
Radius
服务器配置成功!