複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/RADIUS服務器/2164585
複製
複製成功

RADIUS服務器

鎖定
RADIUS 是一種用於在需要認證其鏈接的網絡訪問服務器(NAS)和共享認證服務器之間進行認證、授權和記帳信息的文檔協議。
RADIUS 服務器負責接收用户的連接請求、認證用户,然後返回客户機所有必要的配置信息以將服務發送到用户
中文名
RADIUS服務器
控制枱樹
“ISA服務器管理
注意事項
“Microsoft ISA Server

目錄

  1. 1 簡介
  2. 2 注意事項
  3. 3 關鍵部件
  4. 4 相關介紹
  5. 5 訪問方式

RADIUS服務器簡介

RADIUS server配置 RADIUS 服務器
在“ISA 服務器管理”的控制枱樹中,單擊“常規”: 對於 ISA Server 2004 Enterprise Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“陣列”、“Array_Name”、“配置”,然後單擊“常規”。 對於 ISA Server 2004 Standard Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然後單擊“常規”。 在詳細信息窗格中,單擊“定義 RADIUS 服務器”。 在“RADIUS 服務器”選項卡上,單擊“添加”。 在“服務器名”中,鍵入要用於身份驗證的 RADIUS 服務器的名稱。 單擊“更改”,然後在“新機密”中,鍵入要用於 ISA 服務器與 RADIUS 服務器之間的安全通訊的共享機密。必須在 ISA 服務器與 RADIUS 服務器上配置相同的共享機密,RADIUS 通訊才能成功。 在“端口”中,鍵入 RADIUS 服務器要對傳入的 RADIUS 身份驗證請求使用的用户數據報協議(UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 服務器,請將端口值設置為 1645。 在“超時(秒)”中,鍵入 ISA 服務器將嘗試從 RADIUS 服務器獲得響應的時間(秒),超過此時間之後,ISA 服務器將嘗試另一台 RADIUS 服務器。 如果基於共享機密的消息驗證程序與每個 RADIUS 消息一起發送,請選擇“總是使用消息驗證程序”。

RADIUS服務器注意事項

要打開“ISA 服務器管理”,請單擊“開始”,依次指向“所有程序”、“Microsoft ISA Server”,然後單擊“ISA 服務器管理”。 當為 RADIUS 身份驗證配置 ISA 服務器時,RADIUS 服務器的配置會應用於使用 RADIUS 身份驗證的所有規則或網絡對象。 共享機密用於驗證 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享機密且啓用了 RADIUS 的設備發送的。 請務必更改 RADISU 服務器上的默認預共享密鑰。 配置強共享密鑰,並經常更改,以防止詞典攻擊。強共享機密是一串很長(超過 22 個字符)的隨機字母、數字和標點符號。 如果選擇“總是使用消息驗證程序”,請確保 RADIUS 服務器能夠接收並配置為接收消息驗證程序。 對於 VPN 客户端,可擴展的身份驗證協議(EAP) 消息始終是隨同消息驗證程序一起發送的。對於 Web 代理客户端,將僅使用密碼身份驗證協議 (PAP)。 如果 RADIUS 服務器運行了 Internet 身份驗證服務 (IAS),並且為此服務器配置的 RADIUS 客户端選擇了“請求必須包含消息驗證程序屬性”選項,則必須選擇“總是使用消息驗證程序”。

RADIUS服務器關鍵部件

客户機/服務器體系結構 網絡訪問服務器(NAS)作為 RADIUS 客户機運行。客户機負責將訂户信息傳遞至指定的 RADIUS 服務器,然後根據返回的響應進行操作。
RADIUS 服務器可以擔當其它 RADIUS 服務器或者是其它種類的認證服務器的代理。
網絡安全性 通過使用加密的共享機密信息來認證客户機和 RADIUS 服務器間的事務。從不通過網絡發送機密信息。此外,在客户機和 RADIUS 服務器間發送任何訂户密碼時,都要加密該密碼。
靈活認證機制 RADIUS 服務器可支持多種認證訂户的方法。當訂户提供訂户名和原始密碼時,RADIUS 可支持點對點協議PPP)、密碼認證協議(PAP)、提問握手認證協議(CHAP)以及其它認證機制。
可擴展協議 所有事務都由變長的三元組“屬性-長度-值”組成。可在不影響現有協議實現的情況下添加新屬性值

RADIUS服務器相關介紹

網絡策略服務器 (NPS) 可用作對遠程身份驗證撥入用户服務 (RADIUS) 客户端執行身份驗證、授權和記帳的 RADIUS 服務器。RADIUS 客户端可以是訪問服務器(如撥號服務器或無線訪問點)或者 RADIUS 代理。將 NPS 用作 RADIUS 服務器時,它提供以下功能:
  • 為 RADIUS 客户端發送的所有訪問請求提供中心身份驗證和授權服務。NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服務 (AD DS) 域或本地安全帳户管理器 (SAM) 用户帳户數據庫對用於嘗試連接的用户憑據進行身份驗證。NPS 使用用户帳户的撥入屬性和網絡策略對連接授權。
  • 為 RADIUS 客户端發送的所有記帳請求提供中心記帳記錄服務。記帳請求存儲在本地日誌文件或 Microsoft(R) SQL Server(TM) 數據庫中,以用於進行分析。
圖1顯示了作為各種訪問客户端的 RADIUS 服務器的 NPS,還顯示了 RADIUS 代理。NPS 使用 AD DS 域對傳入的 RADIUS 訪問請求消息執行用户憑據身份驗證。
圖1 圖1

RADIUS服務器訪問方式

將 NPS 用作 RADIUS 服務器時,RADIUS 消息將採用以下方式為網絡訪問連接提供身份驗證、授權和記帳功能:
  1. 訪問服務器(如撥號網絡訪問服務器、VPN 服務器和無線訪問點)從訪問客户端接收連接請求。
  2. 訪問服務器(配置為使用 RADIUS 作為身份驗證、授權、記帳協議)將創建訪問請求消息並將其發送給 NPS 服務器。
  3. NPS 服務器將評估訪問請求消息。
  4. 如果需要,NPS 服務器會向訪問服務器發送訪問質詢消息。訪問服務器將處理質詢,並向 NPS 服務器發送更新的訪問請求。
  5. 系統將檢查用户憑據,並使用指向域控制器的安全連接來獲取用户帳户的撥入屬性。
  6. 系統將使用用户帳户的撥入屬性和網絡策略對連接嘗試進行授權。
  7. 如果對連接嘗試進行身份驗證和授權,則 NPS 服務器會向訪問服務器發送訪問接受消息。如果不對連接嘗試進行身份驗證或授權,則 NPS 服務器會向訪問服務器發送訪問拒絕消息。
  8. 訪問服務器將完成與訪問客户端的連接過程,並向 NPS 服務器發送記帳請求消息,在那裏記錄消息。
  9. NPS 服務器會向訪問服務器發送記帳響應消息。
注意
此外,在建立連接期間、關閉訪問客户端連接時,以及啓動和停止訪問服務器時,訪問服務器還會發送記帳請求消息。
在以下情況下,您可以使用 NPS 作為 RADIUS 服務器:
  • 使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用户帳户數據庫作為訪問客户端的用户帳户數據庫。
  • 在多個撥號服務器、VPN 服務器或請求撥號路由器上使用路由和遠程訪問,並且要將網絡策略配置與記帳連接日誌記錄集中在一起。
  • 您正在向服務提供商外購撥號、VPN 或無線訪問。訪問服務器使用 RADIUS 對您所在組織的成員建立的連接進行身份驗證和授權。
  • 您要對一組不同種類的訪問服務器集中進行身份驗證、授權和記帳。
注意
在 Windows Server(R) 2003 操作系統的 Internet 驗證服務 (IAS) 中,網絡策略即是遠程訪問策略。