如果有多台Wimdows2000远程访问服务器,为避免对所有的远程访问服务器的远程访问策略进行单独管理,可将其中一个运行Windows2000的计算机配置为验证服务器,由其提供集中的远程访问身份验证、授权、计账和审核,远程访问服务器接到远程客户机的验证请求后,直接转发给验证服务器进行处理。可以在规模不同的各种网络配置中使用微软的Internet验证服务器(IAS)实现集中验证,从小规模网络的独立服务器到大规模的企业网络和ISP网络。
RADIUS简介
RDIUS是远程身份验证拨入用户服务(Remote Authemtication Dial-in User Service)的英文简称。它是一个工业标准协议(由RFC2138和2139定义),它为分布式拨号网络提供身份验证、授权和计账服务。
RDIUS基于客户朋反务器结构,如图4.68所示。RDIUS客户机将远程客户机提供的账号和密码等信息提交给RDIUS服务器,RADIUS服务器执行客户机身份验证,将验证结果返回RDIUS客户机,再由RADIUS客户机据此结果判断是否要让远程访问客户端登录,并授予相关的访问权限。RADIUS客户机只是起着代理作用。真正实施验证的是RADIUS服务器。RADIUS客户机也称为网络访问服务器(NAS)。
RADlUS标准可用于异构网络环境,实现对拨号用户(拨号连接或VPN连接)的集中管理。在实际应用中,RADIUS客户机通常是ISP使用的拨号服务器,RADIUS服务器通常是专门用于验证拨号用户身份并授权的专门服务器。
微软提供了完整的RADIUS解决方案,如图4.69所示。RADIUS服务器由Internet验证服务(简称IAS)来实现的。IAS的最早版本包含在WindowsNT4.0 Option Pack中,现在Windows200O Server/Advanced Server集成了增强的IAS组件。Windows2000远程访问服务器可作为RADIUS客户机,可以使用IAS作为身份验证和计账提供程序。这样,无论是ISP,还是大型企业,都可用Windows2000 Server/Advanced Server来集中管理远程访问用户的身份验证和计账。
了解Internet验证服务器
Internet验证服务器是微软对标准RADIUS服务器的实现。Windows2000服务器版的IAS组件用于集中管理用户(使用拨号连接或VPN连接至网络的用户)的身份验证、授权、计账和远程访问策略;它支持WindowsNT 4.0和Windows 2000的域用户,支持各种不同的网络访问服务器,当然包括Windows2000远程访问服务器
1.IAS的特性
IAS包括以下特性。
集中式用户验证
用户的身份验证是一项基本的安全措施。IAS支持多种验证协议和验证方法,支持的验证方法有:
?PPP验证协议,如PAP、CHAP、MS-CHAP。
?可扩展的身份验证协议(EAP),允许使用智能卡、证书、一次性密码和令牌卡。
?拨号号码标识服务(DNIS)。这种方法基于用户呼叫的号码。
?自动号码标识服务(ANI)。这种方法基于他人呼叫用户的号码。ANI又称为呼叫者ID。
?来宾身份验证。
支持外包远程访问
外包拨号(也称为大规模拨号)涉及企业与ISP之间的合作。其中ISP允许企业用户在建立VPN隧道之前连接至ISP的网络。用户在连接至ISP的网络访问服务请求(NAS)时,身份验证和使用记录被转发至企业的IAS服务器。IAS服务器允许企业控制用户身份验证,跟踪使用情况,并管理由哪一个用户访问ISP网络。外包的优点是它可潜在地节约成本。通过使用ISP的路由器、网络访问服务器和线路,可以节省许多基础设施费用。
集中式用户授权
要授予连接用户访问网络的合适权限,IAS要对Windows NT 4.0域和Windows2000 Active Directory中的用户进行身份验证。IAS支持Active Directory中的新功能,如用户主名称(UPN)和通用组。
对于控制哪些用户被允许连接到网络的情况,远程访问策略提供了极大的灵活性。尽管对每个用户账户
远程访问权限的管理很简单,但是对于规模很大的网络并不实用。
集中管理网络访问服务器
对RADIUS标准的支持允许IAS对实现该标准的任何NAS连接参数进行控制。RADIUS标准还允许个别远程访问供应商创建称为供应商特定属性的专用扩展名。在IAS的多供应商目录中已包括许多供应商的扩展名。
远程访问策略通过提供创建条件型配置文件的能力,使网络管理员能够更灵活地管理不同连接参数。可以使用配置文件来配置用户的网络连接参数。
集中审核和使用记账
对RADIUS标准的支持允许IAS将审核信息(例如,验证成功、拒绝和自动账户封锁)和使用性信息(例如。登录和注销记录)记录在日志文件中。IAS支持可以直接导入数据库的日志文件格式。可以利用任何数据分析软件包分析日志记录。
与Windows2000路由和远程访问的集成
IAS与路由和远程访问共享远程访问策略以及记账功能。这种集成在IAS与路由和远程访问上的实现是一致的。
2.IAS工作原理
IAS使用存储在Windows2000域控制器或本地安全账户管理器(SAM)中的用户数据,以核实通过RADIUS协议接收的验证请求。下面介绍NAS和IAS服务器之间的典型交互过程。这里NAS指网络访问服务器,可以是Windows2000远程访问服务器。
(1)远程用户通过拨号网络(或VPN连接)方式拨入NAS服务器。
(2)NAS向IAS服务器转发RADIUS验证请求。
NAS将创建Access-Request包来说明RADIUS验证请求。该包包含用户名、用户密码、客户端的ID以及用户目前访问的端口ID。Access-Request包通过网络提交给IAS服务器。如果在限定的时间内没有响应,则该请求将进行多次重发。
(3)IAS服务器收到来自NAS的RADIUS验证请求后,将会验证远程访问策略以及用户的拨入属性,以确定是接受还是拒绝此请求。
如果符合条件。IAS将为该用户发送Access-Accept包。Access-Accept包还包含基于用户配置文件和远程访问策略的用户授权信息。NAS将会解释授权数据,以确定此服务器已授权的网络权限。
如果不符合条件,则IAS将给NAS发送Access-ReJect包。而且NAS将断开与该用户的连接。
如果NAS在限定的时间内没有得到验证请求的任何响应,则它会重发此请求,然后再将此请求发送给备份IAS服务器。例如,如果IAS服务器无法连接到域控制器,或找不到该用户所属的域控制器,它就会直接放弃此数据包;接着,NAS或RADIUS代理会重新传输此请求并发送给IAS备份服务器,而备份服务器则会根据该域的数据库验证此用户;如果IAS备份服务器没有响应。NAS就会断开与用户的连接。
可以向IAS服务器发送请求的任何服务器者体属于客户端。客户端可以是NAS或其他RADIUS服务器。当IAS直接从NAS接收请求时,NAS就是客户端。当RADIUS服务器从它的客户端NAS向本地IAS服务器转发验证请求时,RADIUS服务器就是客户端。
(未完待续)