使用RADIUS来验证Web代理用户Word下载.docx
《使用RADIUS来验证Web代理用户Word下载.docx》由会员分享,可在线阅读,更多相关《使用RADIUS来验证Web代理用户Word下载.docx(37页珍藏版)》请在冰豆网上搜索。
因此,如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准,可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。
在WindowsServer系列中,微软同样提供了RADIUS服务器,不过称为Internet身份验证服务器(IAS,InternetAuthenticationServer),你可以通过添加/删除Windows程序来添加,本文中的RADIUS服务器即IAS服务器。
最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账,但是在ISA2004中,除了可以在VPN服务中部署RADIUS身份验证外,你也可以在Web代理中使用RADIUS身份验证。
通过RADIUS服务,位于非域环境下的ISAServer就可以验证RADIUS服务器所属域中的用户账户。
当使用IAS作为RADIUS服务器来验证Web代理客户时,你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证(即密码身份验证协议(PAP)或Shiva密码身份验证协议(SPAP)),否则Web代理客户将不能通过IAS服务器的身份验证。
如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。
所以,为了让RADIUS正常工作,你必须同时配置RADIUS服务器和ISA防火墙。
本文的试验网络结构如下图所示:
内部网络IP地址范围为10.1.1.0/24,部署了内部域CONTOSO.COM。
Berlin上安装了ISA2004企业版作为边缘防火墙,连接内部和Internet,并没有加入域;
Denver是DC、DNS、IAS服务器;
Perth是内部网络中的一台客户机,加入了域CONTOSO.COM;
Istanbul是Internet上的一台WEB服务器。
我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。
各计算机的TCP/IP设置如下,在试验之前已经确认了网络连接工作正常:
Berlin(ISA2004):
LANInterface:
∙IP:
10.1.1.8/24
∙DG:
None
∙DNS:
InternetInterface:
39.1.1.8/24
39.1.1.1
Denver(IAS/DC/DNS):
10.1.1.5/24
10.1.1.8
10.1.1.5
Perth:
10.1.1.2/24
Istanbul:
InternetInterface
39.1.1.7/24
本文中的试验步骤如下:
∙在RADIUS服务器上配置识别ISA防火墙为RADIUS客户;
∙在RADIUS服务器上创建Web代理用户使用的远程访问策略;
∙配置ISA防火墙使用RADIUS验证Web代理用户;
∙在ISA防火墙创建访问规则允许RADIUS用户的访问;
∙测试;
为了启用RADIUS身份验证,我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户,执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:
在IAS服务器上运行管理工具下的Internet验证服务,在Internet验证服务控制台,右击RADIUS客户,然后点击新建RADIUS客户;
在名字和地址页,在友好名字栏为ISA防火墙输入一个名字,在此我们命名为ISAFirewall,在客户地址(IP或者DNS)栏你可以输入RADIUS客户的IP地址或者域名,如果使用域名则必须保证RADIUS服务器能够正确解析,建议总是使用IP地址。
在此我输入ISA防火墙内部接口的IP地址10.1.1.8,点击下一步;
在附加信息页,设置客户-销售商栏为标准RADIUS;
在共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入,此共享密钥将会同样在ISA防火墙上配置使用,然后勾选请求必须包含消息验证者属性,点击完成;
注意:
请求必须包含消息验证者属性是个匹配性设置,如果你在RADIUS服务器上进行了设置,那么你需要在ISA防火墙上做同样的设置。
对于Web代理客户的设置验证,此选项可以不设置,不过建议总是选择此选项。
此时,让RADIUS服务器识别ISAServer为RADIUS客户的配置就结束了,创建好的配置如下图所示:
在RADIUS服务器上创建Web代理用户使用的远程访问策略
现在我们需要创建Web代理用户使用的远程访问策略,在此例中,我将创建一个如果用户组条件匹配DomainAdmins的就授权访问的自定义访问策略,执行以下步骤以创建Web代理用户使用的远程访问策略:
在Internet验证服务控制台,点击远程访问策略节点,然后右击右面板的空白处,选择新建远程访问策略;
在欢迎使用新建远程访问策略向导页,点击下一步;
在策略配置方式页,由于RADIUS服务器设置的通用环境并不适合Web代理客户的身份验证,因此我选择创建一个自定义策略,在策略名字栏输入一个名字,在此我们命名为WPCusers,点击下一步;
在策略条件页,点击添加;
在弹出的属性选择对话框,选择Windows组,点击添加;
在弹出的组对话框,点击添加;
输入domainadmins,点击确定;
在组对话框上点击确定;
在策略条件页上列出了我刚才创建的条件,你可以根据你的需要加入其他条件,例如最常用的日期和时间限制条件等,点击下一步;
在权限页,选择授权远程访问权限,点击下一步;
在配置文件页,点击编辑配置文件;
在弹出的编辑拨入配置文件对话框,点击身份验证标签,然后勾选未加密的身份验证(PAP,SPAP),然后点击确定;
这一步至关重要,对于Web代理用户的身份验证是必须的。
在弹出的拨入配置提示对话框上点击No,然后在配置文件页点击下一步;
在正在完成新建远程访问策略向导页,点击完成;
此时,为Web代理用户使用的远程访问策略就创建好了。
最后需要注意一点,如果你的活动目录域是混合域模式,那么你需要为每个用户手动允许拨入权限;
如果你的域模式是本地模式或者是WindowsServer2003域,那么你不需要执行这步,因为用户的拨入权限默认就是通过远程访问策略来控制的。
我的域正好是WindowsServer2003域,
用户的拨入权限默认就是通过远程访问策略来控制的,所以我不需要为每个用户手动允许远程访问。
现在我们需要配置ISA防火墙使用RADIUS服务器来验证Web代理用户,在ISA管理控制台,展开对应阵列下的配置,再点击网络,然后右击内部网络,选择属性;
标准版的配置步骤基本一样,点击配置下的网络,然后右击内部网络选择属性即可。
在弹出的内部网络属性页,点击Web代理标签,然后点击身份验证;
在弹出的身份验证对话框,由于配置RADIUS身份验证就不能再使用其他的身份验证方式,所以取消默认的集成身份验证方式的选择;
在弹出的警告框上点击确定;
然后选择RADIUS,要求所有用户进行身份验证选项根据你自己的需要进行选择,然后点击RADIUS服务器;
在弹出的RADIUS服务器对话框,点击添加;
在添加RADIUS服务器对话框,在服务器名栏中输入RADIUS服务器的IP地址,你也可以输入名字,但是必须保证ISA防火墙能正确的解析,建议总是使用IP地址。
在此我输入RADIUS的服务器IP地址10.1.1.5,下面的端口和超时设置保持默认值;
根据你在RADIUS服务器上的设置来决定是否选择总是使用消息验证器选项,由于我在RADIUS服务器上也进行了设置,所以在此我也勾选此设置;
然后点击共享密钥栏的修改按钮;
在弹出的共享密钥对话框,输入并确认共享密钥,这个和在RADIUS服务器上所设置的共享密钥必须完全一致,然后点击确定;
然后在添加RADIUS服务器对话框上点击确定;
在RADIUS服务器对话框上点击确定;
在身份验证对话框上点击确定;
然后在内部网络属性对话框上点击确定;
此时,已经成功的配置ISA防火墙使用RADIUS验证Web代理用户了。
现在我创建一个访问规则来允许RADIUS用户的访问,你需要创建一个RADIUS用户集,在此我利用ISA防火墙访问规则创建向导的一站式处理方式,在创建规则的过程中创建RADIUS用户。
在ISA管理控制台中,右击ISA防火墙阵列下的防火墙策略,指向新建,选择访问规则;
在欢迎使用新建访问规则向导页,输入规则名字,在此我命名为AllowWPCUsersAccessExternal,点击下一步;
在规则动作页,选择允许,点击下一步;
在协议页,选择选择的协议,然后添加HTTP协议,点击下一步;
在访问规则源页,点击添加按钮加入内部网络,然后点击下一步;
在访问规则目的页,点击添加按钮加入外部网络,点击下一步;
在用户集页,选择默认的所有用户,然后点击移除;
再点击添加按钮;
在弹出的添加用户对话框,点击新建;
在新建用户集向导页,输入用户集名称,在此我命名为WPCUsers,点击下一步;
在用户页,点击添加按钮,然后选择RADIUS...;
在添加用户对话框,选择指定用户名,然后输入域中的账户名称,在此我输入DomainAdmins组中的一个账户wpcuser,点击确定;
在用户集页,点击下一步;
在正在完成新建用户集向导页,点击完成;
然后在添加用户对话框,选择刚创建好的WPCUsers,然后点击添加,再点击关闭;
在正在完成新建访问规则向导页,点击完成;
升级会员 