配置RADIUS遠(yuǎn)程認(rèn)證服務(wù)

利用VPN遠(yuǎn)程訪問，可以讓用戶在任何位置都可快捷方便地訪問內(nèi)網(wǎng)資源。但如何對(duì)這些VPN訪問進(jìn)行安全認(rèn)證，是維護(hù)網(wǎng)絡(luò)運(yùn)作不可忽視的問題。使用RADIUS（Remote Authentication Dial-In User Service）服務(wù)器，就可以很好地完成任務(wù)。RASIUS是一種客戶端/服務(wù)器協(xié)議，當(dāng)用戶利用遠(yuǎn)程連接工具連接到遠(yuǎn)程訪問服務(wù)器、VPN服務(wù)器（這些服務(wù)器稱為RADIUS客戶端）等目標(biāo)主機(jī)上時(shí)，這些主機(jī)就可以進(jìn)行用戶身份驗(yàn)證、授權(quán)訪問、記賬操作等相關(guān)的任務(wù)，提交給RADIUS服務(wù)器來完成。

創(chuàng)建RADIUS服務(wù)器

使用域管理員身份登錄某臺(tái)服務(wù)器，在服務(wù)器管理器左側(cè)點(diǎn)擊“角色”項(xiàng)，在右側(cè)點(diǎn)擊“添加角色”鏈接，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”，在“選擇服務(wù)器角色”窗口中選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”項(xiàng)，在“下一步”窗口中選擇“網(wǎng)絡(luò)策略服務(wù)器”，之后點(diǎn)擊“安裝”完成安裝操作。對(duì)于本機(jī)可以在管理工具菜單中點(diǎn)擊“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)，來啟動(dòng)網(wǎng)絡(luò)策略服務(wù)器。

在本例中，網(wǎng)絡(luò)策略服務(wù)器隸屬于域環(huán)境，所以需要在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本地）”項(xiàng)，在右鍵菜單上點(diǎn)擊“在Active Directory中注冊(cè)服務(wù)器”項(xiàng)，系統(tǒng)會(huì)彈出提示窗口。點(diǎn)擊確定按鈕，將網(wǎng)絡(luò)策略服務(wù)器注冊(cè)到其所隸屬的域，或者以域管理員身份登錄RADIUS服 務(wù) 器，在PowerShell界面中執(zhí)行“netsh ras add registeredserver”命令，來實(shí)現(xiàn)同樣的效果。

最直接的方法是，以域管理員身份登錄域控制器，在Active Directory管理中心中的“User”中雙擊“RAS and Servers”組，在管理窗口左側(cè)點(diǎn)擊“添加”按鈕，將RADIUS服務(wù)器添加到該組中。

管理RADIUS客戶端

在本例中，VPN服務(wù)器就是RADIUS客戶端。當(dāng)網(wǎng)絡(luò)策略服務(wù)器安裝之后，系統(tǒng)默認(rèn)將其視為RADIUS服務(wù)器，這就需要指定RADIUS客戶端。在RADIUS服務(wù)器上打開網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口，在左側(cè)選擇“NPS（本地）→RADIUS客戶端和服務(wù)器→RADIUS客戶端”項(xiàng)，在右鍵菜單中點(diǎn)擊“新建”項(xiàng)，在新建RADIUS客戶端窗口（如圖1）中的“設(shè)置”面板中選擇“啟用此RADIUS客戶端”項(xiàng)，在“友好名稱”欄中輸入客戶端名稱（例如“VPN服務(wù)”），在“地址（IP或DNS）”欄中輸入VPN服務(wù)器的IP地址或者計(jì)算機(jī)名稱，如果輸入的是計(jì)算機(jī)名稱，需要點(diǎn)擊“驗(yàn)證”按鈕，來檢測(cè)是否可以解析到VPN服務(wù)器的IP地址。

在“共享機(jī)密”欄中選擇“手動(dòng)”項(xiàng)，可以手工輸入密碼。也可以選擇“生成”項(xiàng)，讓系統(tǒng)自動(dòng)創(chuàng)建密碼。注意，密碼是區(qū)分大小寫的，在RADIUS客戶端也需要設(shè)置相同的密碼，否則RADIUS服務(wù)器將拒絕接受客戶端發(fā)送來的各種請(qǐng)求信息。

在“高 級(jí)”面 板 中選 擇“Microsoft”或 者“RADIUS Standard”均可。選 擇“Accept-Request消息必須包含Message-Authenticator”項(xiàng)，表示雙方采用了 PAP、CHAP、MSCHAP、MS-CHAP v2安全驗(yàn)證方式的話，則需要RADIUS客戶端發(fā)送消息驗(yàn)證程序?qū)傩?，這樣如有假冒的RADIUS客戶端，就可將其IP找出，這樣可以提高雙方通訊安全性。如果采用的是EAP驗(yàn)證方式，則默認(rèn)選中該功能。

圖1 創(chuàng)建RADUIS客戶端

圖2 配置RADIUS客戶端屬性

圖3 添加RADIUS服務(wù)器

選 擇“RADIUS客戶端支持NAP”項(xiàng)，表示客戶端需要支持網(wǎng)絡(luò)訪問保護(hù)功能，即客戶端必須是健康的。保存設(shè)置信息后，就可以將VPN服務(wù)器變成RADIUS客戶端了。在VPN服務(wù)器上打開路由和遠(yuǎn)程訪問控制臺(tái)，在左側(cè)點(diǎn)擊“路由和遠(yuǎn)程訪問→VPN（本地）”項(xiàng)，在屬性窗口（如圖2）中的“安全”面板中的“身份驗(yàn)證提供程序”列表中選擇“RADIUS身份驗(yàn)證”項(xiàng)。

點(diǎn)擊“配置”按鈕，在彈出窗口中點(diǎn)擊“添加”按鈕，在添加RADIUS服務(wù)器窗口（如圖3）中的“服務(wù)器名稱”欄中輸入RADIUS服務(wù)器的IP，在“共享機(jī)密”欄中輸入上述密碼。在“超時(shí)”欄中設(shè)置合適的數(shù)值，默認(rèn)為5秒。如果VPN服務(wù)器將訪問請(qǐng)求發(fā)送給該RADIUS服務(wù)器后，在預(yù)設(shè)時(shí)間內(nèi)沒有收到回應(yīng)信息，就會(huì)將驗(yàn)證請(qǐng)求發(fā)送給其他的RADIUS服務(wù)器，當(dāng)然，需要存在多臺(tái)RADIUS服務(wù)器方可。

如果存在多臺(tái)RADIUS服務(wù)器，可以在“初始分?jǐn)?shù)”欄中為該RADIUS服務(wù)器設(shè)置優(yōu)先級(jí)參數(shù)，該值越大優(yōu)先級(jí)越高。在發(fā)送驗(yàn)證請(qǐng)求時(shí)，VPN服務(wù)器會(huì)優(yōu)先將其發(fā)送給優(yōu)先級(jí)高的RADIUS服務(wù)器。在“端口”欄中可以更改RADIUS服務(wù)器的端口號(hào)，默認(rèn)為1812。

選擇“一直使用消息驗(yàn)證者”項(xiàng)，則需要RADIUS服務(wù)器端上選擇“Accept-Request消息必須包含Message-Authenticator”項(xiàng)與之匹配。在“安全”面板中的“記賬提供程序”列表中選擇“RADIUS記賬”項(xiàng)，表示VPN服務(wù)器將記賬操作轉(zhuǎn)交給RADIUS服務(wù)器來處理。所謂記賬，指的是記錄每一個(gè)遠(yuǎn)程連接的狀態(tài)，例如接受或者拒絕遠(yuǎn)程連接，記錄登錄和注銷操作等。點(diǎn)擊“配置”按鈕可以對(duì)其進(jìn)行配置，具體測(cè)操作大體和上述相同，記賬服務(wù)的默認(rèn)端口號(hào)為1813。

設(shè)置RADIUS代理服務(wù)

圖4 查看連接請(qǐng)求策略信息

在一些情況下，單一的RADIUS服務(wù)器無法滿足需求，這就需要使用RADIUS代理服務(wù)。那么，RADIUS服務(wù)器是自行處理連接請(qǐng)求，還是將其轉(zhuǎn)發(fā)給其他的RADIUS服務(wù)器，其實(shí)是由內(nèi)置的連接請(qǐng)求策略決定的。當(dāng)安裝好網(wǎng)絡(luò)策略服務(wù)器后，其實(shí)際上就變成了RADIUS服務(wù)器。通過設(shè)置連接請(qǐng)求策略，就可以確定是讓該RADIUS服務(wù)器來處理連接請(qǐng)求，還是交由另外的RADIUS服務(wù)器來處理驗(yàn)證請(qǐng)求。在RADIUS服務(wù)器的網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)（如圖4）左側(cè)點(diǎn)擊“NPS（本地）→策略→連接請(qǐng)求策略”項(xiàng)，在窗口右側(cè)顯示其內(nèi)置的名稱為“Use Windows authentication for all users”的連接請(qǐng)求策略，雙擊該策略，在屬性窗口中的“條件”面板中顯示只要一個(gè)星期內(nèi)任意時(shí)段都可以連接的控制功能。

在“設(shè)置”面板中左側(cè)點(diǎn)擊“身份驗(yàn)證”項(xiàng)，在右側(cè)默認(rèn)選擇“在此服務(wù)器上時(shí)請(qǐng)求進(jìn)行身份驗(yàn)證”項(xiàng)，表示直接由該RADIUS服務(wù)器對(duì)連接請(qǐng)求進(jìn)行驗(yàn)證。如果選擇“將請(qǐng)求轉(zhuǎn)發(fā)到以下遠(yuǎn)程RADIUS服務(wù)器組進(jìn)行身份驗(yàn)證”項(xiàng)，該機(jī)就會(huì)充當(dāng)RADIUS代理服務(wù)器的角色，在列表中選擇RADIUS服務(wù)器組的特定RADIUS服務(wù)器。當(dāng)然，前提是必須創(chuàng)建RADIUS服務(wù)器組方可。如果選擇“不驗(yàn)證憑據(jù)就接受用戶”項(xiàng)，則直接允許用戶的任意連接請(qǐng)求。

在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)左側(cè)選擇“NPS（本地）→RADIUS客戶端和服務(wù)器→遠(yuǎn)程RADIUS服務(wù)器組”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建”項(xiàng)，在彈出窗口的“組名”欄中設(shè)置RADIUS服務(wù)器組的名稱，點(diǎn)擊“添加”按鈕，在打開窗口中的“服務(wù)器”欄中輸入目標(biāo)RADIUS服務(wù)器的IP，點(diǎn)擊“驗(yàn)證”按鈕，如果輸入的是計(jì)算機(jī)名稱，可以點(diǎn)擊“驗(yàn)證”按鈕，檢測(cè)是否可以解析其IP。

按照同樣的方法，可以添加其他的RADIUS服務(wù)器。在上述窗口右側(cè)顯示創(chuàng)建的RADIUS服務(wù)器組信息，雙擊目標(biāo)組，在屬性窗口中顯示所包含的所有RADIUS服務(wù)器。雙擊目標(biāo)RADIUS服務(wù)器，在屬性窗口中可以更改其地址、身份驗(yàn)證方式、共享密碼、記賬端口等參數(shù)。在“負(fù)載均衡”面板中可以設(shè)置該RADIUS服務(wù)器的優(yōu)先級(jí)和權(quán)重，優(yōu)先級(jí)為1表示等級(jí)最高。當(dāng)RADIUS代理服務(wù)器在轉(zhuǎn)發(fā)連接請(qǐng)求時(shí)，優(yōu)先級(jí)越高，轉(zhuǎn)發(fā)的頻率也越高，即首先轉(zhuǎn)發(fā)給優(yōu)先級(jí)高的RADIUS服務(wù)器。如果兩臺(tái)RADIUS優(yōu)先級(jí)相同，則比較權(quán)重參數(shù)，權(quán)重越高，轉(zhuǎn)發(fā)的頻率就越高。