配置RADIUS遠(yuǎn)程認(rèn)證服務(wù)

創(chuàng)建RADIUS服務(wù)器

使用域管理員身份登錄某臺(tái)服務(wù)器，在服務(wù)器管理器中左側(cè)點(diǎn)擊“角色”項(xiàng)，在右側(cè)點(diǎn)擊“添加角色”鏈接，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，在選擇服務(wù)器角色窗口中選擇“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”項(xiàng)，在下一步窗口中選擇“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)，之后點(diǎn)擊“安裝”按鈕完成所需安裝操作。對(duì)于本機(jī)來(lái)說(shuō)，可以在管理工具菜單中點(diǎn)擊“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)，來(lái)啟動(dòng)網(wǎng)絡(luò)策略服務(wù)器。

在本例中，網(wǎng)絡(luò)策略服務(wù)器隸屬于域環(huán)境，所以需要在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本地）”項(xiàng)，在其右鍵菜單上點(diǎn)擊“在Active Directory中注冊(cè)服務(wù)器”項(xiàng)，系統(tǒng)會(huì)彈出提示窗口，點(diǎn)擊“確定”按鈕，將網(wǎng)絡(luò)策略服務(wù)器注冊(cè)到其所隸屬的域。或以域管理員身份登錄RADIUS服務(wù)器，在PowerShell界面執(zhí)行“netsh ras add registeredserver”命令實(shí)現(xiàn)同樣的效果。

最直接的方法是以域管理員身份登錄域控制器，在Active Directory管理中心中的“User”中雙擊“RAS and Servers”組，在其管理窗口左側(cè)點(diǎn)擊“添加”按鈕，將該RADIUS服務(wù)器添加到該組中。

管理RADIUS客戶端

在本例中，VPN服務(wù)器就是RADIUS客戶端。當(dāng)網(wǎng)絡(luò)策略服務(wù)器安裝后，系統(tǒng)默認(rèn)將其視為RADIUS服務(wù)器，需要指定RADIUS客戶端。

在RADIUS服務(wù)器上打開網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口，在左側(cè)選擇“NPS（本地）”→“RADIUS客戶端和服務(wù)器”→“RADIUS客戶端”項(xiàng)，在其右鍵菜單中點(diǎn)擊“新建”項(xiàng)，在新建RADIUS客戶端窗口（如圖1）中的“設(shè)置”面板中選擇“啟用此RADIUS客戶端”項(xiàng)，在“友好名稱”欄中輸入客戶端名稱（例如“VPN服務(wù)”），在“地址（IP或DNS）”欄中輸入VPN服務(wù)器的IP地址或計(jì)算機(jī)名稱，如果輸入的是計(jì)算機(jī)名稱，需要點(diǎn)擊“驗(yàn)證”按鈕，來(lái)檢測(cè)是否可以解析到VPN服務(wù)器的IP地址。

在“共享機(jī)密”欄中選擇“手動(dòng)”項(xiàng)，可以手工輸入密碼。也可以選擇“生成”項(xiàng)，讓系統(tǒng)自動(dòng)創(chuàng)建密碼。

注意，密碼是區(qū)分大小寫的，在RADIUS客戶端也需要設(shè)置相同的密碼，否則RADIUS服務(wù)器將拒絕接受客戶端發(fā)送來(lái)的各種請(qǐng)求信息。

然后在“高級(jí)”面板中選擇“Microsoft”或者“RADIUS Standard” 項(xiàng) 均可。選擇“Accept-Request消息必須包含Message-Authenticator”項(xiàng)，表示雙方 采 用 了 PAP，CHAP，MSCHAP，MS-CHAP v2安全驗(yàn)證方式的話，則需要RADIUS客戶端發(fā)送消息驗(yàn)證程序?qū)傩?，這樣如果有假冒的RADIUS客戶端的話，就可以將其IP找出來(lái)，這樣可以提高雙方通訊的安全性。如果采用的是EAP驗(yàn)證方式，則默認(rèn)選中該功能。

選擇“RADIUS客戶端支持NAP”項(xiàng)，表示客戶端需要支持網(wǎng)絡(luò)訪問(wèn)保護(hù)功能，即客戶端必須是健康的。保存設(shè)置信息后，就可以將VPN服務(wù)器變成RADIUS客戶端了。在VPN服務(wù)器上打開路由和遠(yuǎn)程訪問(wèn)控制臺(tái)，在左側(cè)點(diǎn)擊“路由和遠(yuǎn)程訪問(wèn)”→“VPN（本地）”項(xiàng)，在屬性窗口中的“安全”面板中的“身份驗(yàn)證提供程序”列表中選擇“RADIUS身份驗(yàn)證”項(xiàng)。

圖1 新建RADIUS客戶端

點(diǎn)擊“配置”按鈕，在彈出窗口中點(diǎn)擊“添加”按鈕，在添加RADIUS服務(wù)器窗口（如圖2）中的“服務(wù)器名稱”欄中輸入RADIUS服務(wù)器IP，在“共享機(jī)密”欄中輸入上述密碼。在“超時(shí)”欄中設(shè)置合適的數(shù)值（默認(rèn)5秒）。如果VPN服務(wù)器將訪問(wèn)請(qǐng)求發(fā)送給該RADIUS服務(wù)器后，在預(yù)設(shè)時(shí)間內(nèi)未收到回應(yīng)信息，就會(huì)將驗(yàn)證請(qǐng)求發(fā)送給其他服務(wù)器，當(dāng)然，需要存在多臺(tái)RADIUS服務(wù)器方可。如果存在多臺(tái)RADIUS服務(wù)器的話，可以在“初始分?jǐn)?shù)”欄中為該RADIUS服務(wù)器設(shè)置優(yōu)先級(jí)參數(shù)，該值越大優(yōu)先級(jí)越高。在發(fā)送驗(yàn)證請(qǐng)求時(shí)，VPN服務(wù)器會(huì)優(yōu)先將其發(fā)送給優(yōu)先級(jí)高的RADIUS服務(wù)器。在“端口”欄中可以更改RADIUS服務(wù)器的端口號(hào)，默認(rèn)為1812。

圖2 添加RADIUS服務(wù)器

選擇“一直使用消息驗(yàn)證者”項(xiàng)，則需要RADIUS服務(wù)器端上選擇“Accept-Request消息必須包含Message-Authenticator”項(xiàng)與之匹配。在“安全”面板中的“記賬提供程序”列表中選擇“RADIUS記賬”項(xiàng)，表示VPN服務(wù)器將記賬操作轉(zhuǎn)交給RADIUS服務(wù)器來(lái)處理，所謂記賬指的是記錄每一個(gè)遠(yuǎn)程連接的狀態(tài)，例如接受或者拒絕遠(yuǎn)程連接，記錄其登錄和注銷操作等。點(diǎn)擊“配置”按鈕，可以對(duì)其進(jìn)行配置，具體測(cè)操作比較簡(jiǎn)單大體和上述相同，記賬服務(wù)的默認(rèn)端口號(hào)為1813。

設(shè)置RADIUS代理服務(wù)

在一些情況下，單一的RADIUS服務(wù)器時(shí)無(wú)法滿足需求的。這就需要使用RADIUS代理服務(wù)。那么，RADIUS服務(wù)器是自行處理連接請(qǐng)求，還是將其轉(zhuǎn)發(fā)給其他的RADIUS服務(wù)器，其實(shí)是由其內(nèi)置的連接請(qǐng)求策略決定。當(dāng)安裝好網(wǎng)絡(luò)策略服務(wù)器后，其實(shí)際上就變成了RADIUS服務(wù)器。通過(guò)設(shè)置連接請(qǐng)求策略，就可以確定是讓該RADIUS服務(wù)器來(lái)處理連接請(qǐng)求，還是交由另外的RADIUS服務(wù)器來(lái)處理驗(yàn)證請(qǐng)求。在RADIUS服務(wù)器的網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)左側(cè)點(diǎn)擊“NPS（本地）”→“策略”→“連接請(qǐng)求策略”項(xiàng)，在窗口右側(cè)顯示其內(nèi)置的名稱為“Use Windows authentication for all users”的連接請(qǐng)求策略，雙擊該策略，在其屬性窗口中的“條件”面板中顯示只要一個(gè)星期內(nèi)任意時(shí)段都可以連接的控制功能。

在“設(shè)置”面板中左側(cè)點(diǎn)擊“身份驗(yàn)證”項(xiàng)，在右側(cè)默認(rèn)選擇“在此服務(wù)器上時(shí)請(qǐng)求進(jìn)行身份驗(yàn)證”項(xiàng)，表示直接由該RADIUS服務(wù)器對(duì)連接請(qǐng)求進(jìn)行驗(yàn)證。如果選擇“將請(qǐng)求轉(zhuǎn)發(fā)到以下遠(yuǎn)程RADIUS服務(wù)器組進(jìn)行身份驗(yàn)證”項(xiàng)，那么該機(jī)就會(huì)充當(dāng)RADIUS代理服務(wù)器的角色，在其下的列表中選擇RADIUS服務(wù)器組的特定RADIUS服務(wù)器。當(dāng)然，前提是必須創(chuàng)建RADIUS服務(wù)器組方可。如果選擇“不驗(yàn)證憑據(jù)就接受用戶”項(xiàng)，則直接允許用戶的任意連接請(qǐng)求。

在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)左側(cè)選擇“NPS（本地）”→“RADIUS客戶端和服務(wù)器”→“遠(yuǎn)程RADIUS服務(wù)器組”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”項(xiàng)，在彈出窗口的“組名”欄中設(shè)置RADIUS服務(wù)器組的名稱，點(diǎn)擊“添加”按鈕，在打開窗口中的“服務(wù)器”欄中輸入目標(biāo)RADIUS服務(wù)器的IP，點(diǎn)擊“驗(yàn)證”按鈕，如果輸入的是計(jì)算機(jī)名稱，可以點(diǎn)擊“驗(yàn)證”按鈕，檢測(cè)是否可以解析其IP。

按同樣的方法可以添加其他的RADIUS服務(wù)器。在上述窗口右側(cè)顯示創(chuàng)建的RADIUS服務(wù)器組信息，雙擊目標(biāo)組，在其屬性窗口中顯示包含的所有RADIUS服務(wù)器。雙擊目標(biāo)RADIUS服務(wù)器，在其屬性窗口中可以更改其地址、身份驗(yàn)證方式、共享密碼等參數(shù)。在其中的“負(fù)載均衡”面板中可設(shè)置該RADIUS服務(wù)器的優(yōu)先級(jí)和權(quán)重，優(yōu)先級(jí)為1表示等級(jí)最高。當(dāng)RADIUS代理服務(wù)器在轉(zhuǎn)發(fā)連接請(qǐng)求時(shí)，首先轉(zhuǎn)發(fā)給優(yōu)先級(jí)高的RADIUS服務(wù)器。如果兩臺(tái)RADIUS優(yōu)先級(jí)相同，則比較其權(quán)重參數(shù)，權(quán)重越高，轉(zhuǎn)發(fā)的頻率就越高。