《Radius認證服務器的配置與應用》由會員分享，可在線閱讀，更多相關《Radius認證服務器的配置與應用（30頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,網(wǎng)絡配置與應用,云服務器,http:/,wenku1,學習目標,熟悉身份認證的概念,熟悉,IEEE 802.1x,協(xié)議的工作特點,掌握基于,Windows Server 2003,的,Radius,服務器的安裝和配置方法,掌握交換機上,IEEE 802.1x,及相關協(xié)議的啟用和配置方法,掌握,Radius,認證系統(tǒng)的應用和故障排除方法,第,10,講,Radius,認證服務器的配置與應用,重點難點,掌握基于,Windows Server 2003,的,Radius,服務器的安裝和配置方法,掌握交換機上,IEE

2、E 802.1x,及相關協(xié)議的啟用和配置方法,掌握,Radius,認證系統(tǒng)的應用和故障排除方法,身份認證是計算機系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。使用身份認證的主要目的是防止非授權用戶進入系統(tǒng)，同時防止非授權用戶通過非正常操作訪問受控信息或惡意破壞系統(tǒng)數(shù)據(jù)的完整性。近年來，越來越多的單位通過身份認證系統(tǒng)加密用戶對網(wǎng)絡資源的訪問，在眾多的解決方案中，,Radius,認證系統(tǒng)的使用最為廣泛。在大量的企業(yè)、政府機關、高校，通過,Radius,認證系統(tǒng)，實現(xiàn)對用戶網(wǎng)絡訪問身份的認證，以決定某一用戶是否具有上網(wǎng)權限，并記錄相關的信息。本講

3、在簡要介紹身份認證的概念、,IEEE 802.x,協(xié)議、,Radius,認證系統(tǒng)等基礎概念的基礎上，以,Windows Server 2003,操作系統(tǒng)和,Cisco,交換機為例，詳細介紹用戶身份認證系統(tǒng)的安裝、配置、使用和故障排除方法。,10.1.1,身份認證的概念,身份認證（,Authentication,）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。身份認證通過標識和鑒別用戶的身份，提供一種判別和確認用戶身份的機制。身份認證需要依賴其他相關技術，確認系統(tǒng)訪問者的身份和權限，使計算機和網(wǎng)絡系統(tǒng)的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪

4、問權限，從而保證系統(tǒng)和數(shù)據(jù)的安全以及授權訪問者的合法利益。,計算機網(wǎng)絡中的身份認證是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體可能是用戶、主機、應用程序甚至是進程。證據(jù)與身份之間是一一對應的關系，雙方通信過程中，一方實體向另一方實體提供這個證據(jù)證明自已的身份，另一方通過相應的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所顯示的身份一致。,10.1 身份認證概述,10.1.2,認證、授權與審計,在計算機網(wǎng)絡安全領域，將認證、授權與審計統(tǒng)稱為,AAA,或,3A,，即英文,Authentication,（認證）、,Authorization,（授權）和,Accounting,（審計）。,1,認證,認證是一

5、個解決確定某一個用戶或其他實體是否被允許訪問特定的系統(tǒng)或資源的問題。,2 授權,授權是指當用戶或實體的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資源使用權限。,4.2 PKI,的概念和組成,3,審計,審計也稱為記帳（,Accounting,）或審核，出于安全考慮，所有用戶的行為都要留下記錄，以便進行核查。,安全性評估（,security assessment,）是審計操作的進一步擴展。在安全性評估中，專業(yè)人員對網(wǎng)絡中容易受到入侵者攻擊的部分進行內部檢查，對網(wǎng)絡存在的薄弱環(huán)節(jié)進行階段性評估。通過對評估結果的分析，既可以發(fā)現(xiàn)網(wǎng)絡中存在的設計缺陷，也可以為今后的網(wǎng)絡調整提供權威的數(shù)據(jù)支撐。用戶對資源

6、的訪問過程如圖,1,所示,圖,1,.,用戶訪問系統(tǒng)資源的過程,IEEE 802.1x,是一個基于端口的網(wǎng)絡訪問控制協(xié)議，該協(xié)議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而實現(xiàn)認證與業(yè)務的分離，保證了網(wǎng)絡傳輸?shù)男省?IEEE 802,系列局域網(wǎng)（,LAN,）標準占據(jù)著目前局域網(wǎng)應用的主要份額，但是傳統(tǒng)的,IEEE 802,體系定義的局域網(wǎng)不提供接入認證，只要用戶能接入集線器、交換機等控制設備，用戶就可以訪問局域網(wǎng)中其他設備上的資源，這是一個安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。,IEEE 802.1x,是一種基于端口的網(wǎng)絡接入控制技術，在局域網(wǎng)設備的物理接入級

7、對接入設備（主要是計算機）進行認證和控制。連接在交換機端口上的用戶設備如果能通過認證，就可以訪問局域網(wǎng)內的資源，也可以接入外部網(wǎng)絡（如,Internet,）；如果不能通過認證，則無法訪問局域網(wǎng)內部的資源，同樣也無法接入,Internet,，相當于物理上斷開了連接。,10.2 IEEE 802.1x,協(xié)議與,RADIUD,服務器,IEEE 802.1x,協(xié)議采用現(xiàn)有的可擴展認證協(xié)議（,Extensible Authentication Protocol,，,EAP,），它是,IETF,提出的,PPP,協(xié)議的擴展，最早是為解決基于,IEEE 802.11,標準的無線局域網(wǎng)的認證而開發(fā)的。雖然,IE

8、EE802.1x,定義了基于端口的網(wǎng)絡接入控制協(xié)議，但是在實際應用中該協(xié)議僅適用于接入設備與接入端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網(wǎng)（,WLAN,）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持,IEEE 802.1x,協(xié)議。,10.2.2 RADIUS,服務器,RADIUS,（,Remote Authentication Dial In User Service,，遠程用戶撥號認證服務）服務器提供了三種基本的功能：認

9、證（,Authentication,）、授權（,Authorization,）和審計（,Accounting,），即提供了,3A,功能。其中審計也稱為“記賬”或“計費”。,RADIUS,協(xié)議采用了客戶機,/,服務器（,C/S,）工作模式。網(wǎng)絡接入服務器（,Network Access Server,，,NAS,）是,RADIUS,的客戶端，它負責將用戶的驗證信息傳遞給指定的,RADIUS,服務器，然后處理返回的響應。,RADIUS,服務器負責接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信息給客戶端用戶，也可以作為其他,RADIUS,服務器或其他類認證服務器的代理客戶端。服務器和

10、客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗證，客戶端和,RADIUS,服務器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全性。,在如圖,2,所示的網(wǎng)絡中，,RADIUS,服務器對,RADIUS,客戶端（圖,2,中直接標為“客戶端”）進行用戶驗證、資源訪問授權、記賬等操作，,圖,2,RADIUS,系統(tǒng)的組成,10.2.3,系統(tǒng)規(guī)劃,為了說明基于,IEEE 802.1x,與,RADIUS,服務器系統(tǒng)的實現(xiàn)過程，本講專門設計了一個實驗。本實驗是一個具有較大應用價值的綜合實驗：一是本實驗立足目前的網(wǎng)絡應用實際，可以直接在安全要求不太高的網(wǎng)絡環(huán)境中使用；二是本實驗的實現(xiàn)原理與目前市面上流行的記費認證

11、系統(tǒng)基本相同，通過本實驗可以幫助讀者了解一些商業(yè)軟件的功能特點；三是通過實踐將會加深對本章前面介紹的理論知識的認識。,圖,3,實驗拓撲,10.2.4,基于,IEEE 802.1x,認證系統(tǒng)的組成,由圖,3,所示，一個完整的基于,IEEE 802.1x,的認證系統(tǒng)由認證客戶端、認證者和認證服務器,3,部分（角色）組成。,1,認證客戶端。,認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡服務的訪問，并對認證者的請求報文進行應答。認證客戶端必須運行符合,IEEE 802.1x,客戶端標準的軟件，目前最典型的就是,Windows XP,操作系統(tǒng)自帶的,IEEE802.1x,客戶端支持。

12、另外，一些網(wǎng)絡設備制造商也開發(fā)了自己的,IEEE 802.1x,客戶端軟件。,2,認證者,認證者一般為交換機等接入設備。該設備的職責是根據(jù)認證客戶端當前的認證狀態(tài)控制其與網(wǎng)絡的連接狀態(tài)。,扮演認證者角色的設備有兩種類型的端口：受控端口（,controlled Port,）和非受控端口（,uncontrolled Port,）。其中，連接在受控端口的用戶只有通過認證才能訪問網(wǎng)絡資源；而連接在非受控端口的用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡資源。把用戶連接在受控端口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認證服務器，以便保證服務器與交換機的正常通訊。,3.,認證服務器,認證服務器通常為,

13、RADIUS,服務器。認證服務器在認證過程中與認證者配合，為用戶提供認證服務。認證服務器保存了用戶名及密碼，以及相應的授權信息，一臺認證服務器可以對多臺認證者提供認證服務，這樣就可以實現(xiàn)對用戶的集中管理。認證服務器還負責管理從認證者發(fā)來的審計數(shù)據(jù)。微軟公司的,Windows Server 2003,操作系統(tǒng)自帶有,RADIUS,服務器組件。,10.3.1,安裝,RADIUS,服務器,如果這臺計算機是一臺,Windows Server 2003,的獨立服務器（未升級成為域控制器，也未加入域），則可以利用,SAM,來管理用戶賬戶信息；如果是一臺,Windows Server 2003,域控制器，則

14、利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動目錄數(shù)據(jù)庫管理用戶賬戶信息要比利用,SAM,來安全、穩(wěn)定，但,RADIUS,服務器提供的認證功能相同。為便于實驗，下面以一臺運行,Windows Server 2003,的獨立服務器為例進行介紹，該計算機的,IP,地址為。,10.3 RADIUS,服務器的安裝與配置,圖,4,選擇,“,網(wǎng)絡服務,”,組件,圖,5,選取,“,Internet,驗證服務,”,子組件,如果用戶要在自己的運行有,Windows Server 2003,的計算機上對,RADIUS,服務器進行遠程管理，可以在本地計算機上選擇“開始”“運行”，在打開的對話框的文本框中輸入,MMC

15、,命令，打開“控制臺”窗口，在該窗口中選擇“文件”“添加,/,刪除管理單元”“添加”“,Internet,驗證服務”“添加”“另一臺計算機”，在打開的對話框中輸入遠程,RADIUS,服務器的,IP,地址，來創(chuàng)建管理控制臺，通過管理控制臺對遠程,RADIUS,服務器進行管理。,提示：如果讀者是通過域控制器的,Active Directory,數(shù)據(jù)庫來進行用戶賬戶的管理，則需要建立,IAS,服務器與,Active Directory,數(shù)據(jù)庫之間的連接，這樣當,RADIUS,客戶端需要進行身份驗證、授權或記賬等操作時，就通過,Active Directory,數(shù)據(jù)庫來完成。,圖,6,“,Intern

16、et,驗證服務,”,窗口,10.3.2,創(chuàng)建用戶賬戶,在這一節(jié)中，需要為所有通過認證才能夠訪問網(wǎng)絡的用戶在,RADIUS,服務器中創(chuàng)建賬戶。這樣，當用戶的計算機連接到啟用了端口認證功能的交換機上的端口上時，啟用了,IEEE 802.1x,認證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠訪問網(wǎng)絡中的資源。下面，讀者創(chuàng)建一個測試用的用戶賬戶（如,wq,），并設置相應的密碼。,圖,7,創(chuàng)建用戶賬戶,圖,8,創(chuàng)建組并添加用戶賬戶,另外，選擇“開始”“運行”，在打開的對話框中輸入組策略編輯器命令“,gpedit.msc”,，單擊“確定”按鈕，在出現(xiàn)的對話框中依次選擇“計算機配置”“,Windows,設置”“安全設置”“賬戶策略”“密碼策略”，啟用“用可還原的加密來儲存密碼”策略項，如圖,9,所示。,圖,9,啟用,“,用可還原的加密來儲存密碼,”,策略項,10.3.3,設置遠程訪問策略,下面，在,RADIUS,服務器的“,Internet,驗證服務”窗口中，需要為圖,3,中的交換機及通過該交換機進行認證的用戶設置遠程訪問策略。具體方法如下：,圖,10,新建遠程訪問策略,圖,11,選擇配