Radius与IAS的运作流程.doc

Radius与IAS的运作流程Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行；或是转给Radius代理服务器，然后再由它转给另外一台Radius服务器。您可以利用Windows Server 2003内的IAS，来架设Radius服务器或是Radius代理服务器。IAS可以让Windows Server 2003扮演Radius服务器，而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。IAS服务器扮演Radius服务器的角色，它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。其运作流程如下：1、 远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自客户端的连接请求。2、 存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记帐的工作。3、 IAS RADIUS服务器会检查用户的帐户名称与密码是否正确，并且利用用户的帐户设置与远程访问策略内的设置，来决定用户是否有权限来连接。4、 若用户有权限来连接，它会通知存取服务器，再由存取服务器让客户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将此次的连接请求记录下来。IAS RADIUS服务器在检查用户身份与帐户设置时，它可以从以下所列的用户帐户数据库中得到这些信息： IAS RADIUS服务器的本机安全性，也就是SAM Windows nt 4 的域用户帐户数据库 Active Directory数据库后两者要求IAS RADIUS服务器必须是域的成员，此时它所读取的帐户可以是所属域内的帐户，或是有双向信任关系的其它域内的帐户。若未将验证、授权与记帐的工作转给RADIUS服务器，则每一台远程访问服务器或VPN服务器必须自己运行这些工作，因此每一台远程访问服务器或VPN服务器都需要有自己的远程访问策略与远程访问记录文件，如此将增加维护这些信息的负担。在将验证、授权与记帐的工作转给RADIUS服务器后，您只需要维护位于RADIUS服务器内的远程访问策略与远程访问记录文件即可，此时的远程访问服务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。安装IAS服务器控制面板-添加/删除windows组件-网络服务-Internet验证服务让IAS服务器读取Active Directory内的用户帐户如果用户是利用Active Directory内的用户帐户来连接，则IAS服务器必须向DC询问用户帐户的信息，才能够决定用户是否有权限连接，不过您必须事先将IAS服务器注册到Active Directory内。请先到IAS服务器上，利用具有域系统管理员身份的帐户来登录，然后选择以下几种注册方法之一： 利用“Internet验证服务”主控制窗口 到“命令提示符”下运行netsh命令 利用“Active Directory用户和计算机”主控制窗口以上的方法都可以将IAS服务器注册到IAS服务器所隶属的域内。如果要读取其他域内的用户帐户信息，则需要将IAS服务器注册到其他的域，注册方法为：请到IAS服务器内，利用具有其他域系统管理员身份的帐户登录，然后通过netsh命令或者“Active Directory用户和计算机”主控制窗口来将其注册到其他的域。RADIUS服务器与RADIUS客户端的设置指定RADIUS客户端IAS服务器安装完成后，系统默认是将它设为RADIUS服务器，以下步骤用来指定此RADIUS服务器的RADIUS客户端。请为此RADIUS客户端设置一个名称，然后输入其IP地址，或是输入主机名称，然后单击“验证”按钮来寻找其IP地址。客户端-供应商 请选择提供RADIUS客户端软件的供应商。若列表中找不到供应商或不知道供应商，则请选择“RADIUS Standard”。共享的机密、确认共享的机密 您可以在“共享的机密”处设置一个密码，并在RADIUS客户端也设置相同的密码，只有双方密码相同时，才接受RADIUS客户端传来的验证、授权、记帐请求。注意密码是区分大小写的。如果双方所采用的验证方法是PAP、CHAP、MS-CHAP、MSCHAP V2的话，则您可以请求对方传送“消息验证程序属性”，以提高安全性。若验证方法是采用EAP，则它会自动启用此功能，不需要另外设置。设置让远程访问服务器或VPN服务器来使用RADIUS请到远程访问服务器或VPN服务器上，右击服务器，选择“属性”-“安全”，在“身份验证提供程序”处选择“RADIUS身份验证”，单击“配置”服务器名 请输入RADIUS服务器的主机名称或IP地址机密 输入与RADIUS服务器端相同的共享密码超时 若等候时间到达时，仍然没有接收到此台RADIUS服务器的响应，则自动将验证请求转发到另外一台RADIUS服务器（若设置多台RADIUS服务器的话）初始分数 若同时设置了多台RADIUS服务器，则此处用来设置它们的优先级，系统会先将验证请求送到优先级较高的RADIUS服务器。初始分数值越大，优先级越高。端口 输