54SA.COM|专注于系统运维管理,为中国SA提供动力!

54SA.COM|系统运维网

系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > 域服务器 >

对多个远程访问服务器使用RADIUS集中验证(2)

分享到:
时间:2010-10-28 21:26来源:网络 作者:COCO

  安装ISA
  
  默认情况下,安装Windows2000 Server时并不安装Internet验证服务器。接照以下步骤来安装IAS服务器。
  
  (1)在Windows 2000 Server服务器上打开控制面板,双击[添加/删除程序]。
  (2)选择[添加/删除Window组件],切换到[Window组件]选项卡,在[组件]列表中选择[网络服务],单击[详细信息]。
  (3)选中Internet验证服务]复选框,然后单击[确定]按钮。
  (4)单击(下一步)按钮,再单击[完成]按钮。
  
  安装IAS组件之后,将在[程序]菜单的[管理工具]中加入[Internet验证服务]。IAS的设置很简单。选择[开始]-[程序]-[管理工具],[Internet验证服务],打开[Internet验证服务]控制台,如图4.70所示。
  
   
  
  配置RADIUS
  
  对于有多个远程访问服务器的情况,通常使用RADIUS进行集中管理,这样就要配置RADIUS客户机和服务器。在实际应用中,不管是不是远程访问服务器,只要支持RADIUS协议,就能由RADIUS服务器提供远程访问的用户凭据身份验证和远程访问活动计账。这里以Windows2000远程访问服务器作为RADIUS服务器客户机。以IAS作为RADIUS服务器来讲解基本的配置过程。
  
  主要完成以下步骤:
  
  ·配置远程访问服务器。
  ·配置RADIUS身份验证的远程访问服务器。
  ·配置RADEUS记账的远程访问服务器。
  ·配置IAS服务器。
  
  配置IAS服务器
  
  主要是配置IAS端口,并将要使用RADIUS服务的远程访问服务器注册为客户机。
  
  配置IAS端口
  
  打开[Internet验证服务]控制台。用鼠标右键单击[Internet验证服务],然后单击[属性],切换到如图4.71所示的[RADIUS]选项卡,进行端口设置。用于RADIUS验证的默认UDP端口是1812或1645,用于RADIUS记账的默认UDP端口是1813或1646,一般用默认值即可。也可自定义端口。如果使用多端□设置。请用逗号分隔各个端口。
  
   
  
  不管选用哪个端口,都应确认IAS和NAS(RADIUS客户机)配置为使用同一端口。
  
  注册RADIUS客户机
  
  一定要在IAS服务器上注册RADIUS客户机。
  
  (1)打开[Internet验证服务]控制台。用鼠标右键单击[客户端],从快捷菜单中选择[新建客户端]。
  (2)弹出如图4.72所示的对话框,在[好记的名称]输入框中为RADIUS客户祝设置名称。
  
   
  
  (3)在[协议]下拉列表中选择[RADIUS],然后单击[下一步]按钮。
  (4)弹出如图4.73所示的对话框,在[客户端地址(IP或DNS)]中输入客广端的IP地址或DNS名。
  
   
  
  如果打算使用DNS名称,可单击[验证]按钮,再单击[解析DNSS名]对话框中的[解析],然后选择想要与来自[搜索结果]中的名称相关联的IP地址。
  
  (5)从[客户端。供应商]下拉列表中选择制造商的名称。
  
  一般选择默认的[RADIUS Standard]即可。只有打算利用 "客户端-提供商"属性控制访问的远程访问策略时,才指定其他选项。例如,如果RADIUS客户机是Windows2000远程访问服务器,可选择[Microsoft]。
  
  (6)在[共享的机密]框中输入客户机的共享密码,然后在[确认共享的机密]中重复输入该密码。
  
  这里的密码用于对IAS服务器和RADIUS客户机之间传输的信息进行加密。两端的密码必须完全相同,并区分大小写。密码可以使用任何标准字母、数字和特殊字符。 
  
  (7)如果RADIUS客户机支持使用数字签名进行验证,如利用PAP、CHAP或MS-CHAP协议,可选中[客户端必须总是在请求中发送签名属性]复选框,否则。不要选中该复选框。
  
  (8)完成以上设置后,单击[完成]按钮,将RADIUS客户机注册到IAS服务器。
  
  可根据需要,将多个远程访问服务器作为RADIUS客户机注册到IAS服务器。对于已注册的客户机,可以修改其属性。
  
  2.设置RADIUS客户机
  
  远程访问服务器必须配置为RADIUS客户机,才能使用RADIUS服务。可以分别配置Windows2000远程访问服务器的身份验证和计账提供程序。例如。远程访问服务器可以使用Windows2000服务器本身作为它的身份验证提供程序,而使用RADIUS作为计账提供程序。也可以配置多个RADIUS服务器,这样,如果主RADIUS服务器不能用了,就可自动使用从RADIUS服务器(作为备份)。可以在使用路由和远程访问安装向导时设置RADIUS客户机。对已经启用的远程访问服务器,可以进行手工设置。
  
  使用RADIUS身份验证
  
  (1)特许[路由和远程访问]控制台。
  (2)用鼠标右键单击要配置RADIUS身份验证的服务器名,然后单击[属性]按钮。
  (3)打开属性设置对话框,并切换到如图4.74所示的[安全]选项卡,从[验证提供程序]下拉列表中选择[RADIUS身份验证],然后单击[配置]按钮。
  
   
  
  (4)在如图4.75所示的[RADIUS身份验证]对话框中,单击[添加)按钮。
  
   
  
  (5)在如图4.76所示的[添加RADIUS服务器]对话框中,配置RADIUS身份验证服务器的下列选项,然后单击[确定]按钮。
  
                                       
  
  ·服务器名:设置IAS服务器的IP地址或主机名称。                    
  ·机密:设置与IAS服务器共享的密码。该密码用于对它们之间传输的消息进行加密。远程访  问服务器和IAS服务器使用的共享密码必须完全相同。                   
  ·超时:设置远程访问服务器从IAS服务器获得响应的时限。                
  ·初始分数:确定要尝试的IAS服务器优先级。分值越高,优先级越高。           
  ·端口: 设置RADIUS身份验证的UDP端口。这里使用IAS服务器,一般用默认值1812即可。 
  ·一直使用数字签名:如果远程访问服务器要求使用数字签名进行验证(如利用PAP、CHAP或 MS-CHAP协议),就必须选中该项,否则不要选中该选项。
  
  使用RADIUS记账
  
  与RADIUS身份验证的操作步骤基本一样,用于记账的RADIUS服务器设置如图4.77所示。这里不再赘述。
  
     
  
  在Windows2000远程访问服务器上更改RADIUS参数设置之后,只有重新启动路由和远程访问服务,设置才能生效。
  
  3.在Active Directory中注册IAS服务
  
  根据上述设置,IAS服务器可以使用本地服务器的账号信息审核RADIUS客户机提交的验证请求,这种情况适合于在独立的Windows2000 Server计算机上安装IAS服务。
  
  如果IAS服务器要使用Active Directory中的账号信息,就必须在Active Directory中注册IAS服务,也就是将lAS服务器添加到控制器的RAS和IAS服务器组。具体步骤如下。
  
  (1)登录到具有域管理员身份的账户的IAS服务器。
  (2)打开[Internet验证服务]控制台。
  (3)如图4.78所示,用鼠标右键单击[Internet验证服务],从快捷菜单中选择[在Achve Directory中注册服务],可将其注册到默认域。
  
   
  
  (4)弹出如图4.79所示的对话框,单击[确定]按钮。
  
   
  
  (5)弹出如图4.80所示的对话框,表示注册成功,IAS服务器可以读取域用户账户拨入属性。单击[确定]按钮完成。
  
  

[责任编辑:Lavy]

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>