每一个路由器和交换机在它们的设置中都应该包含以下的内容:
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local
radius-server host xxx.xxx.xxx.xxx auth-port 1645 acct-port 1646 retransmit 3 key yoursecret
radius-server retransmit 3
这些入口对你的机器进行了设置。现在让我们讨论如何配置RADIUS服务器。对于Windows操作系统,Internet认证服务IAS (Internet Authentication Service)即为微软的RADIUS服务器的执行。
安装IAS
为了正确安装IAS,请遵循以下的步骤:
1.定位到开始|设置|控制面板Start| Settings | Control Panel。
2.双击添加/删除程序(Add/Remove Programs)。
3.选择添加/删除Windows组件(Add/Remove Windows Components)。
4.在组件列表中,选择网络服务(Networking Services),并点击详细内容。
5.选择Internet验证服务(Internet Authentication Service)的确认框,然后点击OK,并点击下一步。
完成安装之后,系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着,你必须为每一台机器设置一个客户端,并指定一个远距离访问规范以控制访问。
配置一个IAS客户端
客户端的配置相当简单和直接。请遵循以下的步骤:
1.定位到开始|程序|管理工具|Internet服务管理器(Start | Programs | Administrative Tools | Internet Authentication Service)。
2.双击客户端文件夹(Clients folder),并选择新客户端(New Client)。
3.给客户端分配一个名称,并点击下一步(Next)。
4.指定客户端的IP地址或者DNS名称。
5.更改客户端的管理者,以与建立这一服务管理器的相匹配。(很多机器都使用RADIUS标准配置。)
6.在机器配置中键入密码。
7.点击完成(Finish)。
指定一个远程访问规范
为了控制机器的访问,你必须指定一个规范。请遵循以下的步骤:
1.定位到开始|程序|管理工具|Internet服务管理器(Start | Programs | Administrative Tools | Internet Authentication Service)。
2.双击远程访问规范(Remote Access Policies),并选择新远程访问规范(New Remote Access Policy)。
3.命名这一规范,并点击下一步(Next)以开始指定规范。
4.点击添加(Add),选择规范友好名称(Policy Friendly Name),并输入客户端名称。
5.点击添加(Add),选择Windows组(Windows-Groups),并选择可以访问的权限组。
6.选择分配远程访问权限(Grant Remote Access Permission),并点击下一步(Next)。
完成规范指定之后,你必须为RADIUS客户端设置一个“轮廓(profile)”。在本文中,我们使用的是一个Cisco路由器。请遵循以下的步骤:
1.点击编译轮廓(Edit Profile)。
2.在验证(Authentication)标签上,选择未加密验证(Unencrypted Authentication,PAP, SPAP)。
3.在高级(Advanced)标签上,移除外框协议入口(Framed-Protocol entry),并更改服务类型(Service-Type)入口。
4.添加一个指定管理者的属性,并将管理者从RADIUS标准改变为Cisco。
5.选择Yes It Conforms,并选择配置属性(Configure Attribute)。
6.为属性值输入shell:priv-lvl=15。
这些步骤可以完成你的配置。当你使用RADIUS认证Telnet你的网络机器时,你的域名帐号(domain account)将会确认和分配你的访问等级权限。
路由器和RADIUS服务器配置完成之后,你将不再需要依赖于你的网络机器上的当地存储密码。
最后需要考虑的内容
RADIUS认证不是访问控制的最安全的方式,但是它相当方便,而且它也是安全访问到你的网络机器的很好的步骤。
我不会推荐使用Telnet作为访问你的网络机器的一种方式,因为Telnet使用的是纯文本,这样会容易造成网络堵塞,而且知道你的网络连接的人都可以很容易地读取文本内容。
