Cable Guy 专栏 - 2004 年 4 月
配置路由和远程访问以使用 RADIUS 身份验证和记帐
.gif "cable_guy")
作者:Cable Guy
本页内容
简介
配置用于身份验证和授权的 RADIUS 服务器
配置用于记帐的 RADIUS 服务器
使用“路由和远程访问服务器安装向导”配置 RADIUS 服务器
为 IAS 配置 RADIUS 客户端
更多信息
简介
Microsoft® Windows® Server™ 2003 路由和远程访问服务支持两种不同类型的身份验证提供程序:
Windows 身份验证 路由和远程访问使用 Windows Server 2003 本地帐户,Active Directory 目录服务域或 Windows NT® 4.0 域对连接凭据、用户帐户属性和本地远程访问策略进行身份验证以授权连接尝试。
RADIUS 身份验证 路由和远程访问使用远程身份验证拨号用户服务 (RADIUS) 服务器来验证和授权连接尝试。
同样,路由和远程访问支持两种不同类型的记帐提供程序:
Windows 记帐路由和远程访问将连接记帐信息记录在日志文件中,您可以在路由和远程访问管理单元中,从本地远程访问日志文件夹属性来配置这些日志文件。
RADIUS 记帐 路由和远程访问向 RADIUS 服务器发送连接计帐信息。
您可以在路由和远程访问管理单元中,从服务器属性的安全选项卡上选择身份验证和记帐提供程序。示例如下。
.jpg "安全选项卡")
注意,您可以单独配置身份验证和记帐提供程序。例如,您可以配置 Windows 身份验证和 RADIUS 记帐。
一旦您指定了 RADIUS 身份验证提供程序或 RADIUS 记帐提供程序,您必须配置一个或一个以上 RADIUS 身份验证或记帐服务器。您可以单击身份验证提供程序旁边的配置来为基于 RADIUS 的身份验证和授权配置 RADIUS 服务器。您可以单击记帐提供程序旁边的配置来为基于 RADIUS 的记帐配置 RADIUS 服务器。
注意,您可以为身份验证和记帐配置不同组合的 RADIUS 服务器。例如,其中一组 RADIUS 服务器的唯一功能是提供身份验证和授权服务,另一组 RADIUS 服务器的唯一功能是为组织中多个基于 RADIUS 的访问服务器累积记帐数据。
配置用于身份验证和授权的 RADIUS 服务器
当您单击身份验证提供程序旁边的配置时,Windows 会显示下面的对话框。
.jpg "RADIUS 身份验证对话框")
RADIUS 身份验证对话框列出已配置的一组 RADIUS 身份验证服务器。当您单击添加来向列表中添加 RADIUS 身份验证服务器时,Windows 会显示以下对话框。
.jpg "添加 RADIUS 服务器对话框")
RADIUS 身份验证服务器的添加 RADIUS 服务器对话框有以下字段:
服务器名
键入 RADIUS 服务器的名称或 IP 地址。
机密
单击更改以键入 RADIUS 共享机密,此机密用来加密在路由和远程访问服务器与 RADIUS 服务器之间传送的部分 RADIUS 消息。您必须在路由和远程访问服务器与 RADIUS 服务器上配置相同的共享机密,这样,RADIUS 通讯才能成功。共享机密区分大小写。建议每个共享机密都由随机序列的大小写字母、数字和标点组成,不少于 22 个字符。为了确保随机性,请使用随机字符生成程序来创建共享机密。
超时
键入时间总量(以秒计算),此时间是路由和远程访问用来尝试获得 RADIUS 服务器响应的时间,超过这个时间后,它将尝试列表中另一个 RADIUS 服务器。
初始分数
路由和远程访问使用计分机制来决定使用哪台 RADIUS 服务器。与给定的 RADIUS 服务器相关的分数是初始分数(在此处配置)和基于 RADIUS 服务器响应的动态分数的组合。路由和远程访问使用当前分数最高的 RADIUS 服务器。在路由和远程访问启动时,您可以使用初始分数设置来配置列表中 RADIUS 服务器的首选顺序,但实际顺序可能会随着时间的推移根据 RADIUS 服务器的响应而变化。
端口
键入 RADIUS 服务器用于传入的 RADIUS 身份验证请求的用户数据报协议 (UDP) 端口。根据 Request for Comments (RFC) 2138,默认值是 1812。对于旧版 RADIUS 服务器,将 UDP 端口值设置为 1645。
一直使用消息验证程序
如果您想让路由和远程访问在每一个 RADIUS 消息中都包含消息验证程序 RADIUS 属性,请选择该项设置。消息验证程序 RADIUS 属性包含由共享机密加密的信息,它可以向接收 RADIUS 服务器证明已配置的 RADIUS 客户端发送了此消息。可扩展的身份验证协议 (EAP) 消息总是与消息验证程序 RADIUS 属性一起发送。如果您选择了该项设置,请确保您的 RADIUS 服务器能够并且已配置为从 RADIUS 客户端接收包含消息验证程序 RADIUS 属性的消息。
以下情况下您必须选择此选项:您的 RADIUS 服务器是一台运行着 Internet 验证服务 (IAS) 的基于 Windows Server 2003 的计算机,并且 IAS 服务器上的被配置给此路由和远程访问服务器的 RADIUS 客户端选中了 Client must always send the signature attribute in the request option(客户端必须总是在请求选项中发送签名属性)。有关更多信息,请参见本文的“为 IAS 配置 RADIUS 客户端”。
如果您单击确定,此 RADIUS 服务器将被添加到添加 RADIUS 服务器对话框中的 RADIUS 身份验证服务器列表中。
配置用于记帐的 RADIUS 服务器
单击记帐提供程序旁边的配置时,Windows 会显示下面的对话框。
.jpg "RADIUS 记帐对话框")
RADIUS 记帐对话框显示已配置的 RADIUS 记帐服务器列表。当您单击添加来向列表中添加 RADIUS 记帐服务器时,Windows 将显示以下对话框。
.jpg "添加 RADIUS 服务器对话框")
RADIUS 记帐服务器的添加 RADIUS 服务器对话框中有以下字段:
服务器名
键入 RADIUS 服务器的名称或 IP 地址。
机密
单击更改来键入 RADIUS 共享机密。
超时
键入时间总量(以秒计算),此时间是路由和远程访问用来尝试获得 RADIUS 服务器响应的时间,超过这个时间后,它将尝试列表中另一个 RADIUS 服务器。
初始分数
为 RADIUS 服务器键入初始分数。
端口
键入 RADIUS 服务器用于传入的 RADIUS 记帐请求的 UDP 端口。根据 RFC 2138,默认值是 1813。对于旧版 RADIUS 服务器,应将 UDP 端口值设置为 1646。
发送 RADIUS 记帐开和记帐关消息
如果您总是希望在路由和远程访问服务启动和关闭时,将 RADIUS 记帐开和记帐关消息发送给 RADIUS 服务器,请选择此设置。这使得 RADIUS 记帐服务器能够存储有关路由和远程访问服务是否进行了重新启动以及何时进行了重新启动的信息。
如果您选择了此设置,请确保您的 RADIUS 服务器(例如 IAS 服务器)能够接收和记录 RADIUS 记帐开和记帐关消息。
如果您单击确定,此 RADIUS 服务器将被添加到添加 RADIUS 服务器对话框中的 RADIUS 记帐服务器列表中。
使用“路由和远程访问服务器安装向导”配置 RADIUS 服务器
配置路由和远程访问来使用 RADIUS 身份验证和记帐的另一种方法是,通过“路由和远程访问服务器安装向导”来配置,此向导在执行路由和远程访问服务的初始配置时运行。
如果您选择了任何需要点对点协议 (PPP) 的选项(例如,基于拨号或虚拟专用网络的远程访问或请求拨号路由选择),您都会收到管理多个远程访问服务器页的提示,如下所示。
.jpg "管理多个远程访问服务器")
如果您想将 Windows 同时用作身份验证和记帐提供程序,请选择No, use Routing and Remote Access to authentication connection requests(不,使用路由和远程访问来验证连接请求)。如果您想将 RADIUS 同时用作身份验证和记帐提供程序,请选择Yes, set up this server to work with a RADIUS server(是,将此服务器设置为与 RADIUS 服务器一起使用)。当您单击下一步时,Windows 将显示 RADIUS 服务器选择页,如下图所示。
.jpg "RADIUS 服务器选择")
此页允许您配置主 RADIUS 服务器和备用 RADIUS 服务器的 IP 地址或名称,以及二者的 RADIUS 共享机密。完成此向导后,路由和远程访问服务器的配置如下所示:
最多有两个 RADIUS 身份验证服务器的 RADIUS 身份验证提供程序。主 RADIUS 服务器的初始分数为 30。备用 RADIUS 服务器,又称辅助 RADIUS 服务器,它的分数为 29。
最多有两个 RADIUS 记帐服务器的 RADIUS 记帐提供程序。主 RADIUS 服务器的初始分数是 30。备用 RADIUS 服务器的分数是 29。
两个 RADIUS 服务器具有相同的 RADIUS 共享机密。
如果您想为身份验证和记帐使用不同的 RADIUS 服务器,或者为每个 RADIUS 服务器使用不同的 RADIUS 共享机密,那么,您必须使用路由和远程访问管理单元来手动更改此配置。
为 IAS 配置 RADIUS 客户端
路由和远程访问是符合 Internet 工程任务组 (IETF) 的 RADIUS 客户端,它可以与任何符合 IETF 的 RADIUS 服务器一起使用。Windows Server 2003 包括了 Internet 验证服务 (IAS),符合 IETF 的 RADIUS 服务器和代理。IAS 是一个可选的 Windows 网络组件,可通过控制面板上的添加或删除程序进行安装。
一旦安装了 IAS,您必须配置 RADIUS 客户端和使用 RADIUS 进行身份验证、授权和记帐的网络组件。要添加与路由和远程访问服务器相对应的 RADIUS 客户端,请按以下步骤操作:
单击开始,单击控制面板,双击管理工具,然后双击 Internet 验证服务。
在 Internet 验证服务管理单元中,右键单击 RADIUS 客户端,然后单击新建 RADIUS 客户端。Windows 显示以下对话框。
.jpg "新建 RADIUS 客户端")
在友好名称中,键入路由和远程访问服务器的名称,稍后用它来识别 Internet 验证服务管理单元中的 RADIUS 客户端列表中的服务器。在客户端地址中,键入路由和远程访问服务器的 IP 地址或名称。如果您键入了一个名称,请单击验证,IAS 服务器就会把该名称解析为 IP 地址。
单击“下一步”。Windows 显示以下对话框。
.jpg "werw")
在共享机密和确认共享机密中,键入在路由和远程访问服务器上配置的共享机密。如果您选择了“Always use message authenticator on the Routing and Remote Access server”(一直在路由和远程访问服务器上使用消息验证程序),那么您必须选择“请求必须包括消息验证程序属性”。
单击“完成”以添加 RADIUS 客户端。
此过程使得路由和远程访问服务器能够向 IAS 服务器发送 RADIUS 请求消息,但是对于对连接进行验证和授权的 IAS 服务器,用户帐户可能必须修改,IAS 也可能必须配置相应的远程访问策略。有关更多信息,请参阅 Introduction to remote access policies(远程访问策略介绍)。
更多信息
有关主题的更多信息,请参考以下资源: