WindowsRadius認(rèn)證服務(wù)器的配置與應(yīng)用

會(huì)計(jì)學(xué)1WindowsRadius認(rèn)證服務(wù)器的配置與應(yīng)用

重點(diǎn)難點(diǎn)掌握基于WindowsServer2003的Radius服務(wù)器的安裝和配置方法掌握交換機(jī)上IEEE802.1x及相關(guān)協(xié)議的啟用和配置方法掌握Radius認(rèn)證系統(tǒng)的應(yīng)用和故障排除方法第1頁/共29頁身份認(rèn)證是計(jì)算機(jī)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同保護(hù)級(jí)別的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過程。使用身份認(rèn)證的主要目的是防止非授權(quán)用戶進(jìn)入系統(tǒng)，同時(shí)防止非授權(quán)用戶通過非正常操作訪問受控信息或惡意破壞系統(tǒng)數(shù)據(jù)的完整性。近年來，越來越多的單位通過身份認(rèn)證系統(tǒng)加密用戶對(duì)網(wǎng)絡(luò)資源的訪問，在眾多的解決方案中，Radius認(rèn)證系統(tǒng)的使用最為廣泛。在大量的企業(yè)、政府機(jī)關(guān)、高校，通過Radius認(rèn)證系統(tǒng)，實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問身份的認(rèn)證，以決定某一用戶是否具有上網(wǎng)權(quán)限，并記錄相關(guān)的信息。本講在簡(jiǎn)要介紹身份認(rèn)證的概念、IEEE802.x協(xié)議、Radius認(rèn)證系統(tǒng)等基礎(chǔ)概念的基礎(chǔ)上，以WindowsServer2003操作系統(tǒng)和Cisco交換機(jī)為例，詳細(xì)介紹用戶身份認(rèn)證系統(tǒng)的安裝、配置、使用和故障排除方法。第2頁/共29頁10.1.1身份認(rèn)證的概念身份認(rèn)證（Authentication）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對(duì)某種資源的訪問和使用權(quán)限。身份認(rèn)證通過標(biāo)識(shí)和鑒別用戶的身份，提供一種判別和確認(rèn)用戶身份的機(jī)制。身份認(rèn)證需要依賴其他相關(guān)技術(shù)，確認(rèn)系統(tǒng)訪問者的身份和權(quán)限，使計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，從而保證系統(tǒng)和數(shù)據(jù)的安全以及授權(quán)訪問者的合法利益。計(jì)算機(jī)網(wǎng)絡(luò)中的身份認(rèn)證是通過將一個(gè)證據(jù)與實(shí)體身份綁定來實(shí)現(xiàn)的。實(shí)體可能是用戶、主機(jī)、應(yīng)用程序甚至是進(jìn)程。證據(jù)與身份之間是一一對(duì)應(yīng)的關(guān)系，雙方通信過程中，一方實(shí)體向另一方實(shí)體提供這個(gè)證據(jù)證明自已的身份，另一方通過相應(yīng)的機(jī)制來驗(yàn)證證據(jù)，以確定該實(shí)體是否與證據(jù)所顯示的身份一致。10.1身份認(rèn)證概述第3頁/共29頁10.1.2認(rèn)證、授權(quán)與審計(jì)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，將認(rèn)證、授權(quán)與審計(jì)統(tǒng)稱為AAA或3A，即英文Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（審計(jì)）。1．認(rèn)證認(rèn)證是一個(gè)解決確定某一個(gè)用戶或其他實(shí)體是否被允許訪問特定的系統(tǒng)或資源的問題。2．授權(quán)授權(quán)是指當(dāng)用戶或?qū)嶓w的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資源使用權(quán)限。4.2PKI的概念和組成第4頁/共29頁3．審計(jì)審計(jì)也稱為記帳（Accounting）或?qū)徍?，出于安全考慮，所有用戶的行為都要留下記錄，以便進(jìn)行核查。安全性評(píng)估（securityassessment）是審計(jì)操作的進(jìn)一步擴(kuò)展。在安全性評(píng)估中，專業(yè)人員對(duì)網(wǎng)絡(luò)中容易受到入侵者攻擊的部分進(jìn)行內(nèi)部檢查，對(duì)網(wǎng)絡(luò)存在的薄弱環(huán)節(jié)進(jìn)行階段性評(píng)估。通過對(duì)評(píng)估結(jié)果的分析，既可以發(fā)現(xiàn)網(wǎng)絡(luò)中存在的設(shè)計(jì)缺陷，也可以為今后的網(wǎng)絡(luò)調(diào)整提供權(quán)威的數(shù)據(jù)支撐。用戶對(duì)資源的訪問過程如圖1所示

圖1.用戶訪問系統(tǒng)資源的過程

第5頁/共29頁IEEE802.1x是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，該協(xié)議的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而實(shí)現(xiàn)認(rèn)證與業(yè)務(wù)的分離，保證了網(wǎng)絡(luò)傳輸?shù)男省EEE802系列局域網(wǎng)（LAN）標(biāo)準(zhǔn)占據(jù)著目前局域網(wǎng)應(yīng)用的主要份額，但是傳統(tǒng)的IEEE802體系定義的局域網(wǎng)不提供接入認(rèn)證，只要用戶能接入集線器、交換機(jī)等控制設(shè)備，用戶就可以訪問局域網(wǎng)中其他設(shè)備上的資源，這是一個(gè)安全隱患，同時(shí)也不便于實(shí)現(xiàn)對(duì)局域網(wǎng)接入用戶的管理。IEEE802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級(jí)對(duì)接入設(shè)備（主要是計(jì)算機(jī)）進(jìn)行認(rèn)證和控制。連接在交換機(jī)端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)內(nèi)的資源，也可以接入外部網(wǎng)絡(luò)（如Internet）；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)內(nèi)部的資源，同樣也無法接入Internet，相當(dāng)于物理上斷開了連接。10.2IEEE802.1x協(xié)議與RADIUD服務(wù)器第6頁/共29頁IEEE802.1x協(xié)議采用現(xiàn)有的可擴(kuò)展認(rèn)證協(xié)議（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP協(xié)議的擴(kuò)展，最早是為解決基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)的認(rèn)證而開發(fā)的。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實(shí)際應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入端口間的點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機(jī)的一個(gè)物理端口僅連接一個(gè)計(jì)算機(jī)；另一種是基于無線局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機(jī)都支持IEEE802.1x協(xié)議。第7頁/共29頁10.2.2RADIUS服務(wù)器RADIUS（RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)）服務(wù)器提供了三種基本的功能：認(rèn)證（Authentication）、授權(quán)（Authorization）和審計(jì)（Accounting），即提供了3A功能。其中審計(jì)也稱為“記賬”或“計(jì)費(fèi)”。RADIUS協(xié)議采用了客戶機(jī)/服務(wù)器（C/S）工作模式。網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer，NAS）是RADIUS的客戶端，它負(fù)責(zé)將用戶的驗(yàn)證信息傳遞給指定的RADIUS服務(wù)器，然后處理返回的響應(yīng)。RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，并驗(yàn)證用戶身份，然后返回所有必須要配置的信息給客戶端用戶，也可以作為其他RADIUS服務(wù)器或其他類認(rèn)證服務(wù)器的代理客戶端。服務(wù)器和客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗(yàn)證，客戶端和RADIUS服務(wù)器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全性。第8頁/共29頁在如圖2所示的網(wǎng)絡(luò)中，RADIUS服務(wù)器對(duì)RADIUS客戶端（圖2中直接標(biāo)為“客戶端”）進(jìn)行用戶驗(yàn)證、資源訪問授權(quán)、記賬等操作，

圖2RADIUS系統(tǒng)的組成

第9頁/共29頁10.2.3系統(tǒng)規(guī)劃為了說明基于IEEE802.1x與RADIUS服務(wù)器系統(tǒng)的實(shí)現(xiàn)過程，本講專門設(shè)計(jì)了一個(gè)實(shí)驗(yàn)。本實(shí)驗(yàn)是一個(gè)具有較大應(yīng)用價(jià)值的綜合實(shí)驗(yàn)：一是本實(shí)驗(yàn)立足目前的網(wǎng)絡(luò)應(yīng)用實(shí)際，可以直接在安全要求不太高的網(wǎng)絡(luò)環(huán)境中使用；二是本實(shí)驗(yàn)的實(shí)現(xiàn)原理與目前市面上流行的記費(fèi)認(rèn)證系統(tǒng)基本相同，通過本實(shí)驗(yàn)可以幫助讀者了解一些商業(yè)軟件的功能特點(diǎn)；三是通過實(shí)踐將會(huì)加深對(duì)本章前面介紹的理論知識(shí)的認(rèn)識(shí)。

圖3

實(shí)驗(yàn)拓?fù)?/p>

第10頁/共29頁10.2.4基于IEEE802.1x認(rèn)證系統(tǒng)的組成由圖3所示，一個(gè)完整的基于IEEE802.1x的認(rèn)證系統(tǒng)由認(rèn)證客戶端、認(rèn)證者和認(rèn)證服務(wù)器3部分（角色）組成。1．認(rèn)證客戶端。認(rèn)證客戶端是最終用戶所扮演的角色，一般是個(gè)人計(jì)算機(jī)。它請(qǐng)求對(duì)網(wǎng)絡(luò)服務(wù)的訪問，并對(duì)認(rèn)證者的請(qǐng)求報(bào)文進(jìn)行應(yīng)答。認(rèn)證客戶端必須運(yùn)行符合IEEE802.1x客戶端標(biāo)準(zhǔn)的軟件，目前最典型的就是WindowsXP操作系統(tǒng)自帶的IEEE802.1x客戶端支持。另外，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的IEEE802.1x客戶端軟件。第11頁/共29頁2．認(rèn)證者認(rèn)證者一般為交換機(jī)等接入設(shè)備。該設(shè)備的職責(zé)是根據(jù)認(rèn)證客戶端當(dāng)前的認(rèn)證狀態(tài)控制其與網(wǎng)絡(luò)的連接狀態(tài)。扮演認(rèn)證者角色的設(shè)備有兩種類型的端口：受控端口（controlledPort）和非受控端口（uncontrolledPort）。其中，連接在受控端口的用戶只有通過認(rèn)證才能訪問網(wǎng)絡(luò)資源；而連接在非受控端口的用戶無須經(jīng)過認(rèn)證便可以直接訪問網(wǎng)絡(luò)資源。把用戶連接在受控端口上，便可以實(shí)現(xiàn)對(duì)用戶的控制；非受控端口主要是用來連接認(rèn)證服務(wù)器，以便保證服務(wù)器與交換機(jī)的正常通訊。3.認(rèn)證服務(wù)器認(rèn)證服務(wù)器通常為RADIUS服務(wù)器。認(rèn)證服務(wù)器在認(rèn)證過程中與認(rèn)證者配合，為用戶提供認(rèn)證服務(wù)。認(rèn)證服務(wù)器保存了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺(tái)認(rèn)證服務(wù)器可以對(duì)多臺(tái)認(rèn)證者提供認(rèn)證服務(wù)，這樣就可以實(shí)現(xiàn)對(duì)用戶的集中管理。認(rèn)證服務(wù)器還負(fù)責(zé)管理從認(rèn)證者發(fā)來的審計(jì)數(shù)據(jù)。微軟公司的WindowsServer2003操作系統(tǒng)自帶有RADIUS服務(wù)器組件。第12頁/共29頁10.3.1安裝RADIUS服務(wù)器如果這臺(tái)計(jì)算機(jī)是一臺(tái)WindowsServer2003的獨(dú)立服務(wù)器（未升級(jí)成為域控制器，也未加入域），則可以利用SAM來管理用戶賬戶信息；如果是一臺(tái)WindowsServer2003域控制器，則利用活動(dòng)目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動(dòng)目錄數(shù)據(jù)庫管理用戶賬戶信息要比利用SAM來安全、穩(wěn)定，但RADIUS服務(wù)器提供的認(rèn)證功能相同。為便于實(shí)驗(yàn)，下面以一臺(tái)運(yùn)行WindowsServer2003的獨(dú)立服務(wù)器為例進(jìn)行介紹，該計(jì)算機(jī)的IP地址為172.16.2.10。10.3RADIUS服務(wù)器的安裝與配置

圖4

選擇“網(wǎng)絡(luò)服務(wù)”組件

圖5

選取“Internet驗(yàn)證服務(wù)”子組件

第13頁/共29頁如果用戶要在自己的運(yùn)行有WindowsServer2003的計(jì)算機(jī)上對(duì)RADIUS服務(wù)器進(jìn)行遠(yuǎn)程管理，可以在本地計(jì)算機(jī)上選擇“開始”→“運(yùn)行”，在打開的對(duì)話框的文本框中輸入MMC命令，打開“控制臺(tái)”窗口，在該窗口中選擇“文件”→“添加/刪除管理單元”→“添加”→“Internet驗(yàn)證服務(wù)”→“添加”→“另一臺(tái)計(jì)算機(jī)”，在打開的對(duì)話框中輸入遠(yuǎn)程RADIUS服務(wù)器的IP地址，來創(chuàng)建管理控制臺(tái)，通過管理控制臺(tái)對(duì)遠(yuǎn)程RADIUS服務(wù)器進(jìn)行管理。提示：如果讀者是通過域控制器的ActiveDirectory數(shù)據(jù)庫來進(jìn)行用戶賬戶的管理，則需要建立IAS服務(wù)器與ActiveDirectory數(shù)據(jù)庫之間的連接，這樣當(dāng)RADIUS客戶端需要進(jìn)行身份驗(yàn)證、授權(quán)或記賬等操作時(shí)，就通過ActiveDirectory數(shù)據(jù)庫來完成。

圖6

“Internet驗(yàn)證服務(wù)”窗口

第14頁/共29頁10.3.2創(chuàng)建用戶賬戶在這一節(jié)中，需要為所有通過認(rèn)證才能夠訪問網(wǎng)絡(luò)的用戶在RADIUS服務(wù)器中創(chuàng)建賬戶。這樣，當(dāng)用戶的計(jì)算機(jī)連接到啟用了端口認(rèn)證功能的交換機(jī)上的端口上時(shí)，啟用了IEEE802.1x認(rèn)證功能的客戶端計(jì)算機(jī)需要用戶輸入正確的賬戶和密碼后，才能夠訪問網(wǎng)絡(luò)中的資源。下面，讀者創(chuàng)建一個(gè)測(cè)試用的用戶賬戶（如wq），并設(shè)置相應(yīng)的密碼。

圖7

創(chuàng)建用戶賬戶

圖8

創(chuàng)建組并添加用戶賬戶

第15頁/共29頁另外，選擇“開始”→“運(yùn)行”，在打開的對(duì)話框中輸入組策略編輯器命令“gpedit.msc”，單擊“確定”按鈕，在出現(xiàn)的對(duì)話框中依次選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”→“密碼策略”，啟用“用可還原的加密來儲(chǔ)存密碼”策略項(xiàng)，如圖9所示。

圖9

啟用“用可還原的加密來儲(chǔ)存密碼”策略項(xiàng)

第16頁/共29頁10.3.3設(shè)置遠(yuǎn)程訪問策略下面，在RADIUS服務(wù)器的“Internet驗(yàn)證服務(wù)”窗口中，需要為圖3中的交換機(jī)及通過該交換機(jī)進(jìn)行認(rèn)證的用戶設(shè)置遠(yuǎn)程訪問策略。具體方法如下：

圖10

新建遠(yuǎn)程訪問策略

第17頁/共29頁

圖11

選擇配置方式

圖12

選擇訪問方法

圖13

選擇授權(quán)方式

圖14

選擇身份驗(yàn)證方法

第18頁/共29頁

圖17

選擇屬性類型

圖18

顯示已添加的策略名稱

圖15

確認(rèn)設(shè)置信息

圖16.

只保留新建的遠(yuǎn)程訪問策略

第19頁/共29頁

圖18

選擇要申請(qǐng)證書的類型

圖19

輸入用戶的詳細(xì)信息

圖20

證書申請(qǐng)結(jié)束后的顯示

圖21顯示未被頒發(fā)的證書名稱

第20頁/共29頁10.3.4創(chuàng)建RADIUS客戶端需要說明的是，這里要?jiǎng)?chuàng)建的RADIUS客戶端，是指類似于圖3中的交換機(jī)設(shè)備，在實(shí)際應(yīng)用中也可以是VPN服務(wù)器、無線AP等，而不是用戶端的計(jì)算機(jī)。RADIUS服務(wù)器只會(huì)接受由RADIUS客戶端設(shè)備發(fā)過來的請(qǐng)求，為此需要在RADIUS服務(wù)器上來指定RADIUS客戶端。以圖3的網(wǎng)絡(luò)拓?fù)錇槔?，具體步驟如下：

圖19

新建RADIUS客戶端

第21頁/共29頁

圖20

設(shè)置RADIUS客戶端的名稱和IP地址

圖21

設(shè)置共享密鑰和認(rèn)證方式

圖22

顯示已創(chuàng)建的RADIUS客戶端

第22頁/共29頁下面，對(duì)支持IEEE802.1x認(rèn)證協(xié)議的交換機(jī)進(jìn)行配置，使它能夠接授用戶端的認(rèn)證請(qǐng)求，并將請(qǐng)求轉(zhuǎn)發(fā)給RADIUS服務(wù)器進(jìn)行認(rèn)證，最后將認(rèn)證結(jié)果返回給用戶端。以圖3所示的網(wǎng)絡(luò)拓?fù)錇槔粨Q機(jī)的IP地址為172.16.2.11/24，在交換機(jī)上只需要對(duì)FastEthernet0/1端口進(jìn)行認(rèn)證，其他端口可不進(jìn)行設(shè)置。所以，在本實(shí)驗(yàn)中圖3中的RADIUS服務(wù)器和應(yīng)用服務(wù)器不要接在認(rèn)證端口上。具體操作如下：（1）設(shè)置交換機(jī)的管理地址。

10.4交換機(jī)（RADIUS客戶端）的配置第23頁/共29頁在以上命令中，172.16.2.10為RADIUS服務(wù)器的IP地址，1812是RADIUS服務(wù)器默認(rèn)的認(rèn)證端口，1813是系統(tǒng)默認(rèn)的計(jì)賬端口。其中，auth-port1812acct-port1813可以省略。Key后面的wangqun為交換機(jī)與RADIUS服務(wù)器之間的共享密鑰（在圖21中設(shè)置）。第24頁/共29頁