安装并配置Internet认证服务 - 王朝网络宽屏版

每一个路由器和交换机在它们的设置中都应该包含以下的内容：

aaa new-model

aaa authentication login default group radius local

aaa authorization exec default group radius local

radius-server host xxx.xxx.xxx.xxx auth-port 1645 acct-port 1646 retransmit 3 key yoursecret

radius-server retransmit 3

这些入口对你的机器进行了设置。现在让我们讨论如何配置RADIUS服务器。对于Windows操作系统，Internet认证服务IAS (Internet Authentication Service)即为微软的RADIUS服务器的执行。

安装IAS

为了正确安装IAS，请遵循以下的步骤：

1.定位到开始|设置|控制面板Start| Settings | Control Panel。

2.双击添加/删除程序(Add/Remove Programs)。

3.选择添加/删除Windows组件(Add/Remove Windows Components)。

4.在组件列表中，选择网络服务(Networking Services)，并点击详细内容。

5.选择Internet验证服务(Internet Authentication Service)的确认框，然后点击OK，并点击下一步。

完成安装之后，系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着，你必须为每一台机器设置一个客户端，并指定一个远距离访问规范以控制访问。

配置一个IAS客户端

客户端的配置相当简单和直接。请遵循以下的步骤：

2.双击客户端文件夹(Clients folder)，并选择新客户端(New Client)。

3.给客户端分配一个名称，并点击下一步(Next)。

4.指定客户端的IP地址或者DNS名称。

5.更改客户端的管理者，以与建立这一服务管理器的相匹配。(很多机器都使用RADIUS标准配置。)

6.在机器配置中键入密码。

7.点击完成(Finish)。

指定一个远程访问规范

为了控制机器的访问，你必须指定一个规范。请遵循以下的步骤：

2.双击远程访问规范(Remote Access Policies)，并选择新远程访问规范(New Remote Access Policy)。

3.命名这一规范，并点击下一步(Next)以开始指定规范。

4.点击添加(Add)，选择规范友好名称(Policy Friendly Name)，并输入客户端名称。

5.点击添加(Add)，选择Windows组(Windows-Groups)，并选择可以访问的权限组。

6.选择分配远程访问权限(Grant Remote Access Permission)，并点击下一步(Next)。

完成规范指定之后，你必须为RADIUS客户端设置一个“轮廓(profile)”。在本文中，我们使用的是一个Cisco路由器。请遵循以下的步骤：

1.点击编译轮廓(Edit Profile)。

2.在验证(Authentication)标签上，选择未加密验证（Unencrypted Authentication，PAP, SPAP）。

3.在高级(Advanced)标签上，移除外框协议入口(Framed-Protocol entry)，并更改服务类型(Service-Type)入口。

4.添加一个指定管理者的属性，并将管理者从RADIUS标准改变为Cisco。

5.选择Yes It Conforms，并选择配置属性(Configure Attribute)。

6.为属性值输入shell:priv-lvl=15。

这些步骤可以完成你的配置。当你使用RADIUS认证Telnet你的网络机器时，你的域名帐号(domain account)将会确认和分配你的访问等级权限。

路由器和RADIUS服务器配置完成之后，你将不再需要依赖于你的网络机器上的当地存储密码。

最后需要考虑的内容

RADIUS认证不是访问控制的最安全的方式，但是它相当方便，而且它也是安全访问到你的网络机器的很好的步骤。

我不会推荐使用Telnet作为访问你的网络机器的一种方式，因为Telnet使用的是纯文本，这样会容易造成网络堵塞，而且知道你的网络连接的人都可以很容易地读取文本内容。