安装ISA
默认情况下,安装Windows2000 Server时并不安装Internet验证服务器。接照以下步骤来安装IAS服务器。
(1)在Windows 2000 Server服务器上打开控制面板,双击[添加/删除程序]。
(2)选择[添加/删除Window组件],切换到[Window组件]选项卡,在[组件]列表中选择[网络服务],单击[详细信息]。
(3)选中Internet验证服务]复选框,然后单击[确定]按钮。
(4)单击(下一步)按钮,再单击[完成]按钮。
安装IAS组件之后,将在[程序]菜单的[管理工具]中加入[Internet验证服务]。IAS的设置很简单。选择[开始]-[程序]-[管理工具],[Internet验证服务],打开[Internet验证服务]控制台,如图4.70所示。
配置RADIUS
对于有多个远程访问服务器的情况,通常使用RADIUS进行集中管理,这样就要配置RADIUS客户机和服务器。在实际应用中,不管是不是远程访问服务器,只要支持RADIUS协议,就能由RADIUS服务器提供远程访问的用户凭据身份验证和远程访问活动计账。这里以Windows2000远程访问服务器作为RADIUS服务器客户机。以IAS作为RADIUS服务器来讲解基本的配置过程。
主要完成以下步骤:
?配置远程访问服务器。
?配置RADIUS身份验证的远程访问服务器。
?配置RADEUS记账的远程访问服务器。
?配置IAS服务器。
配置IAS服务器
主要是配置IAS端口,并将要使用RADIUS服务的远程访问服务器注册为客户机。
配置IAS端口
打开[Internet验证服务]控制台。用鼠标右键单击[Internet验证服务],然后单击[属性],切换到如图4.71所示的[RADIUS]选项卡,进行端口设置。用于RADIUS验证的默认UDP端口是1812或1645,用于RADIUS记账的默认UDP端口是1813或1646,一般用默认值即可。也可自定义端口。如果使用多端□设置。请用逗号分隔各个端口。
不管选用哪个端口,都应确认IAS和NAS(RADIUS客户机)配置为使用同一端口。
注册RADIUS客户机
一定要在IAS服务器上注册RADIUS客户机。
(1)打开[Internet验证服务]控制台。用鼠标右键单击[客户端],从快捷菜单中选择[新建客户端]。
(2)弹出如图4.72所示的对话框,在[好记的名称]输入框中为RADIUS客户祝设置名称。
(3)在[协议]下拉列表中选择[RADIUS],然后单击[下一步]按钮。
(4)弹出如图4.73所示的对话框,在[客户端地址(IP或DNS)]中输入客广端的IP地址或DNS名。
如果打算使用DNS名称,可单击[验证]按钮,再单击[解析DNSS名]对话框中的[解析],然后选择想要与来自[搜索结果]中的名称相关联的IP地址。
(5)从[客户端。供应商]下拉列表中选择制造商的名称。
一般选择默认的[RADIUS Standard]即可。只有打算利用 "客户端-提供商"属性控制访问的远程访问策略时,才指定其他选项。例如,如果RADIUS客户机是Windows2000远程访问服务器,可选择[Microsoft]。
(6)在[共享的机密]框中输入客户机的共享密码,然后在[确认共享的机密]中重复输入该密码。
这里的密码用于对IAS服务器和RADIUS客户机之间传输的信息进行加密。两端的密码必须完全相同,并区分大小写。密码可以使用任何标准字母、数字和特殊字符。
(7)如果RADIUS客户机支持使用数字签名进行验证,如利用PAP、CHAP或MS-CHAP协议,可选中[客户端必须总是在请求中发送签名属性]复选框,否则。不要选中该复选框。
(8)完成以上设置后,单击[完成]按钮,将RADIUS客户机注册到IAS服务器。
可根据需要,将多个远程访问服务器作为RADIUS客户机注册到IAS服务器。对于已注册的客户机,可以修改其属性。
2.设置RADIUS客户机
远程访问服务器必须配置为RADIUS客户机,才能使用RADIUS服务。可以分别配置Windows2000远程访问服务器的身份验证和计账提供程序。例如。远程访问服务器可以使用Windows2000服务器本身作为它的身份验证提供程序,而使用RADIUS作为计账提供程序。也可以配置多个RADIUS服务器,这样,如果主RADIUS服务器不能用了,就可自动使用从RADIUS服务器(作为备份)。可以在使用路由和远程访问安装向导时设置RADIUS客户机。对已经启用的远程访问服务器,可以进行手工设置。
使用RADIUS身份验证
(1)特许[路由和远程访问]控制台。
(2)用鼠标右键单击要配置RADIUS身份验证的服务器名,然后单击[属性]按钮。
(3)打开属性设置对话框,并切换到如图4.74所示的[安全]选项卡,从[验证提供程序]下拉列表中选择[RADIUS身份验证],然后单击[配置]按钮。
(4)在如图4.75所示的[RADIUS身份验证]对话框中,单击[添加)按钮。
(5)在如图4.76所示的[添加RADIUS服务器]对话框中,配置RADIUS身份验证服务器的下列选项,然后单击[确定]按钮。
?服务器名:设置IAS服务器的IP地址或主机名称。
?机密:设置与IAS服务器共享的密码。该密码用于对它们之间传输的消息进行加密。远程访
问服务器和IAS服务器使用的共享密码必须完全相同。
?超时:设置远程访问服务器从IAS服务器获得响应的时限。
?初始分数:确定要尝试的IAS服务器优先级。分值越高,优先级越高。
?端口: 设置RADIUS身份验证的UDP端口。这里使用IAS服务器,一般用默认值1812即可。
?一直使用数字签名:如果远程访问服务器要求使用数字签名进行验证(如利用PAP、CHAP或
MS-CHAP协议),就必须选中该项,否则不要选中该选项。
使用RADIUS记账
与RADIUS身份验证的操作步骤基本一样,用于记账的RADIUS服务器设置如图4.77所示。这里不再赘述。
在Windows2000远程访问服务器上更改RADIUS参数设置之后,只有重新启动路由和远程访问服务,设置才能生效。
3.在Active Directory中注册IAS服务
根据上述设置,IAS服务器可以使用本地服务器的账号信息审核RADIUS客户机提交的验证请求,这种情况适合于在独立的Windows2000 Server计算机上安装IAS服务。
如果IAS服务器要使用Active Directory中的账号信息,就必须在Active Directory中注册IAS服务,也就是将lAS服务器添加到域控制器的RAS和IAS服务器组。具体步骤如下。
(1)登录到具有域管理员身份的账户的IAS服务器。
(2)打开[Internet验证服务]控制台。
(3)如图4.78所示,用鼠标右键单击[Internet验证服务],从快捷菜单中选择[在Achve Directory中注册服务],可将其注册到默认域。
(4)弹出如图4.79所示的对话框,单击[确定]按钮。
(5)弹出如图4.80所示的对话框,表示注册成功,IAS服务器可以读取域用户账户拨入属性。单击[确定]按钮完成。
