上一篇
下一篇
使用RADIUS来验证Web代理用户
作者:Fish 日期:2009-12-23
远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议。RADIUS客户端(通常是拨号服务器、虚拟专用网络 (VPN) 服务器或无线访问点)以RADIUS消息的形式将用户凭据和连接参数信息发送到RADIUS服务器,RADIUS服务器将用户身份信息转送到一个认证服务器上(在域环境中,这个认证服务器是活动目录的域控制器),认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应RADIUS客户端的身份验证请求。如果用户提交的身份验证信息有效并且用户获得连接授权,那么允许该客户连接;如果身份验证信息无效或者用户没有获得授权,那么连接将被拒绝。因此,如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准,可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。
在Windows Server系列中,微软同样提供了RADIUS服务器,不过称为Internet身份验证服务器(IAS,Internet Authentication Server),你可以通过添加/删除Windows程序来添加,本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账,但是在ISA 2004中,除了可以在VPN服务中部署RADIUS身份验证外,你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务,位于非域环境下的ISA Server就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时,你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证(即密码身份验证协议(PAP)或 Shiva 密码身份验证协议(SPAP)),否则Web代理客户将不能通过IAS服务器的身份验证。
如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,你必须同时配置RADIUS服务器和ISA防火墙。
本文的试验网络结构如下图所示:
内部网络IP地址范围为10.1.1.0/24,部署了内部域CONTOSO.COM。Berlin上安装了ISA 2004企业版作为边缘防火墙,连接内部和Internet,并没有加入域;Denver是DC、DNS、IAS服务器;Perth是内部网络中的一台客户机,加入了域CONTOSO.COM;Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。
各计算机的TCP/IP设置如下,在试验之前已经确认了网络连接工作正常:
Berlin(ISA 2004):
LAN Interface:
IP:10.1.1.8/24
DG:None
DNS:None
Internet Interface:
IP:39.1.1.8/24
DG:39.1.1.1
DNS:None
Denver(IAS/DC/DNS):
LAN Interface:
IP:10.1.1.5/24
DG:10.1.1.8
DNS:10.1.1.5
Perth:
LAN Interface:
IP:10.1.1.2/24
DG:10.1.1.8
DNS:10.1.1.5
Istanbul:
Internet Interface
IP:39.1.1.7/24
DG:39.1.1.1
DNS:None
本文中的试验步骤如下:
在RADIUS服务器上配置识别ISA防火墙为RADIUS客户;
在RADIUS服务器上创建Web代理用户使用的远程访问策略;
配置ISA防火墙使用RADIUS验证Web代理用户;
在ISA防火墙创建访问规则允许RADIUS用户的访问;
测试;
为了启用RADIUS身份验证,我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户,执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:
在IAS服务器上运行管理工具下的Internet验证服务,在Internet验证服务控制台,右击RADIUS客户,然后点击新建RADIUS客户;
在名字和地址页,在友好名字栏为ISA防火墙输入一个名字,在此我们命名为ISA Firewall,在客户地址(IP或者DNS)栏你可以输入RADIUS客户的IP地址或者域名,如果使用域名则必须保证RADIUS服务器能够正确解析,建议总是使用IP地址。在此我输入ISA防火墙内部接口的IP地址10.1.1.8,点击下一步;
在附加信息页,设置客户-销售商栏为标准RADIUS;在共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入,此共享密钥将会同样在ISA防火墙上配置使用,然后勾选请求必须包含消息验证者属性,点击完成;
注意:请求必须包含消息验证者属性是个匹配性设置,如果你在RADIUS服务器上进行了设置,那么你需要在ISA防火墙上做同样的设置。对于Web代理客户的设置验证,此选项可以不设置,不过建议总是选择此选项。
此时,让RADIUS服务器识别ISA Server为RADIUS客户的配置就结束了,创建好的配置如下图所示:
待续·············
在Windows Server系列中,微软同样提供了RADIUS服务器,不过称为Internet身份验证服务器(IAS,Internet Authentication Server),你可以通过添加/删除Windows程序来添加,本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账,但是在ISA 2004中,除了可以在VPN服务中部署RADIUS身份验证外,你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务,位于非域环境下的ISA Server就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时,你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证(即密码身份验证协议(PAP)或 Shiva 密码身份验证协议(SPAP)),否则Web代理客户将不能通过IAS服务器的身份验证。
如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,你必须同时配置RADIUS服务器和ISA防火墙。
本文的试验网络结构如下图所示:
内部网络IP地址范围为10.1.1.0/24,部署了内部域CONTOSO.COM。Berlin上安装了ISA 2004企业版作为边缘防火墙,连接内部和Internet,并没有加入域;Denver是DC、DNS、IAS服务器;Perth是内部网络中的一台客户机,加入了域CONTOSO.COM;Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。
各计算机的TCP/IP设置如下,在试验之前已经确认了网络连接工作正常:
Berlin(ISA 2004):
LAN Interface:
IP:10.1.1.8/24
DG:None
DNS:None
Internet Interface:
IP:39.1.1.8/24
DG:39.1.1.1
DNS:None
Denver(IAS/DC/DNS):
LAN Interface:
IP:10.1.1.5/24
DG:10.1.1.8
DNS:10.1.1.5
Perth:
LAN Interface:
IP:10.1.1.2/24
DG:10.1.1.8
DNS:10.1.1.5
Istanbul:
Internet Interface
IP:39.1.1.7/24
DG:39.1.1.1
DNS:None
本文中的试验步骤如下:
在RADIUS服务器上配置识别ISA防火墙为RADIUS客户;
在RADIUS服务器上创建Web代理用户使用的远程访问策略;
配置ISA防火墙使用RADIUS验证Web代理用户;
在ISA防火墙创建访问规则允许RADIUS用户的访问;
测试;
为了启用RADIUS身份验证,我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户,执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:
在IAS服务器上运行管理工具下的Internet验证服务,在Internet验证服务控制台,右击RADIUS客户,然后点击新建RADIUS客户;
在名字和地址页,在友好名字栏为ISA防火墙输入一个名字,在此我们命名为ISA Firewall,在客户地址(IP或者DNS)栏你可以输入RADIUS客户的IP地址或者域名,如果使用域名则必须保证RADIUS服务器能够正确解析,建议总是使用IP地址。在此我输入ISA防火墙内部接口的IP地址10.1.1.8,点击下一步;
在附加信息页,设置客户-销售商栏为标准RADIUS;在共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入,此共享密钥将会同样在ISA防火墙上配置使用,然后勾选请求必须包含消息验证者属性,点击完成;
注意:请求必须包含消息验证者属性是个匹配性设置,如果你在RADIUS服务器上进行了设置,那么你需要在ISA防火墙上做同样的设置。对于Web代理客户的设置验证,此选项可以不设置,不过建议总是选择此选项。
此时,让RADIUS服务器识别ISA Server为RADIUS客户的配置就结束了,创建好的配置如下图所示:
待续·············
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: -
发表评论