前面我們介紹的幾種***都是在域環境下利用ISA2006 server實現的。今天我們來介紹一下不在域環境下使用***,這種方法是需要一個服務器-------***配合使用的身份驗證服務器:Radius服務器。
RADIUS:Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前應用最廣泛的AAA協議。
RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可以成爲RADIUS的客戶端。RADIUS協議認證機制靈活,可以採用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。
由於RADIUS協議簡單明確,可擴充,因此得到了廣泛應用,包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks,基於撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務。最近IEEE提出了802.1x標準,這是一種基於端口的標準,用於對無線網絡的接入認證,在認證時也採用RADIUS協議。
radius 服務器對用戶的認證過程通常需要利用nas 等設備的代理認證功能,radius 客戶端和radius 服務器之間通過共享密鑰認證相互間交互的消息,用戶密碼採用密文方式在網絡上傳輸,增強了安全性。radius 協議合併了認證和授權過程,即響應報文中攜帶了授權信息。
基本交互步驟如下:
(1) 用戶輸入用戶名和口令;
(2) radius 客戶端根據獲取的用戶名和口令,向radius 服務器發送認證請求包(access-request)。
(3) radius 服務器將該用戶信息與users 數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(access-accept)發送給radius 客戶端;如果認證失敗,則返回access-reject 響應包。
(4) radius 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則radius 客戶端向radius 服務器發送計費開始請求包(accounting-request),status-type 取值爲start;
(5) radius 服務器返回計費開始響應包(accounting-response);
(6) radius 客戶端向radius 服務器發送計費停止請求包(accounting-request),status-type 取值爲stop;
(7) radius 服務器返回計費結束響應包(accounting-response)。
大致的拓撲如下:beijing爲ISA服務器,Radius客戶端,Istanbul爲外網的測試機。Florence爲內網的域控制器、Radius服務器。
一、安裝Radius服務器
首先我們讓域控制器做Radius服務器,在域控制器上打開控制面板選擇“網絡服務”中的“Interent驗證服務”,來安裝Radius服務器
二、配置Radius服務器
安裝完成後我們來配置一下Radius服務器,如圖在Florence上打開Interent驗證服務
右擊“新建Radius客戶端”
輸入一個名稱以及客戶端的IP地址,因爲我們以ISA服務器爲客戶端,所以這輸入ISA服務器內網網卡的IP地址。
因爲這是微軟的軟件,所以供應商選擇“Microsoft”。設置Radius服務器和客戶端的共享密碼。Radius服務器和客戶端依靠這個密碼進行身份驗證。就是Radius服務器生成一個隨機字符串,然後用這個共享口令加密,接着Radius服務器會把加密後的密文傳給客戶端,要求客戶端對密文解密後再回傳給服務器,如果客戶端回送的內容和原始的隨機字符串一樣,那客戶端就通過了身份驗證。輸入完畢後點擊“完成”完成客戶端的創建。
接下來我們啓用Radius服務器的遠程訪問記錄,來看看客戶端是怎麼連接到Radius服務器的,點擊“遠程訪問記錄”中的“本地文件”屬性
勾選“身份驗證請求”
接着切換到日至選項卡下,日至的存放路徑是“c:\windows\system32\LogFiles”文件中,創建新日誌文件默認的是“每月”,我們改爲“每天”。點擊確定
三、創建ISA訪問規則與配置ISA服務器
接下來要進行的是創建一條ISA服務器的訪問規則。右擊“防火牆策略”,選擇“訪問規則”
輸入訪問規則名稱
選擇“允許”
這裏我們選擇所有的出站通訊
點擊右上角的“添加”,選擇“***客戶端”,這是訪問源地址
接下來內部地址我們選擇“內部”
所有用戶
點擊“完成”,完成ISA服務器訪問規則的創建
下面我們來配置ISA中的***網絡,點擊***選項卡中的“指定RADIUS配置”
勾選“使用Radius進行省份驗證”和“使用Radius記錄”,在選擇“RADIUS服務器”
選擇“添加”來添加一臺Radius服務器
輸入Radius服務器的完全合格域名,接着選擇“更改”輸入在Radius服務器中預設的密鑰,點解確定退出
選擇地址分配,輸入一個IP地址範圍,供***客戶端使用,我們定義爲192.168.100.1——192.168.100.200
在“常規”選項卡中,我們勾選“啓用***客戶端訪問”,同時設置允許最大的***客戶端數量爲默認的“100”.,大家注意的是***客戶端的最大數量不能超過地址池中的地址數。
最後應用一下ISA服務器
四、***客戶機測試
萬事俱備只欠東風!!!最後我們來測試一下看看外網的用戶能不能通過***連接到內部呢?在客戶機上打開“網絡連接”屬性,右擊新建連接嚮導選擇“新建連接”
“連接到我的工作場所的網絡”
選擇“虛擬專用網絡連接”
輸入公司名稱
輸入ISA服務器外網的IP地址,輸入完整的域名也可以。
選擇“只是我使用”
打開新建的連接,輸入用戶名,密碼以及所在的域,點擊左下角的“連接”
OK!輸入的用戶名和口令通過了身份驗證,***連接成功,我們來看看新連接的狀態是什麼?IP地址是什麼?使用的是什麼協議?右擊新連接選擇“狀態”。
如下圖所示,我們可以看到當前使用的協議是“PPTP”,***客戶機分配到的IP地址是192.168.100.3,地址池中的第一個地址總是保留給***服務器,192.168.100.1是***服務器中第一個IP,它是***用戶連接內網所使用的網關。
我們在客戶機上輸入命令來查看一下IP,如圖
最後我們打開Radius的日誌看看,日誌文件存儲在C:\Windows\system32\logfiles目錄下,如下圖所示,我們打開此目錄中的IN0808.log,這就是Radius的日誌文件。Radius服務器上的日誌中記錄了這次訪問。
