Radius与IAS的运作流程

1、Radius与IAS的运作流程Radius是一种C/S的通讯协议，它使Radius客户端可以将验证用户身份、授 权与记帐等工作转给Radius服务器来运行；或是转给Radius代理服务器，然后 再由它转给另外一台Radius服务器。您可以利用Windows Server 2003内的IAS，来架设Radius服务器或是Radius 代理服务器。IAS可以让Windows Server 2003扮演Radius服务器，而其Radius客户端可 以是远程访问服务器、VPN服务器或无线接入点等存取服务器。IAS服务器扮演Radius服务器的角色，它可以替Radius客户端来运行验证 用户身份、授权与

2、记帐的工作。其运作流程如下：1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自 客户端的连接请求。2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记 帐的工作。3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确，并且 利用用户的帐户设置与远程访问策略内的设置，来决定用户是否有 权限来连接。4、若用户有权限来连接，它会通知存取服务器，再由存取服务器让客 户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将 此次的连接请求记录下来。IAS RADIUS服务器在检查用户身份与帐户设置时，它可以从以下所列的用 户帐户数据库中得到这些信息：I

3、AS RADIUS服务器的本机安全性，也就是SAMWindows nt 4的域用户帐户数据库Active Directory 数据库后两者要求IAS RADIUS服务器必须是域的成员，此时它所读取的帐户可以 是所属域内的帐户，或是有双向信任关系的其它域内的帐户。若未将验证、授权与记帐的工作转给RADIUS服务器，则每一台远程访问 服务器或VPN服务器必须自己运行这些工作，因此每一台远程访问服务器或 VPN服务器都需要有自己的远程访问策略与远程访问记录文件，如此将增加维 护这些信息的负担。在将验证、授权与记帐的工作转给RADIUS服务器后，您只需要维护位于 RADIUS服务器内的远程访问策略与远

4、程访问记录文件即可，此时的远程访问服 务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。安装IAS服务器控制面板-添加/删除windows组件-网络服务-Internet验证服务让IAS服务器读取Active Directory内的用户帐户如果用户是利用Active Directory内的用户帐户来连接，则IAS服务器必须向DC 询问用户帐户的信息，才能够决定用户是否有权限连接，不过您必须事先将IAS 服务器注册到Active Directory内。请先到IAS服务器上，利用具有域系统管理 员身份的帐户来登录，然后选择以下几种注册方法之一：利用“ Internet验证服务”主控制窗

5、口 到“命令提示符”下运行netsh命令 利用“ Active Directory用户和计算机”主控制窗口Active Directory 用F和计算机/ 文件(I)操作(A)查看(V)窗口地)帮助QI)归刁囱函了其瞄| x曾页Rs留塾逻痴您是-J Active Directory用户和计耸机 甲保存的查询 I白al. com田.度501E-|Zj Bui It in由 I ComputerE由 4 D om ai n C untr ull er eH | F :r e i griS e cm- i tyFr i nc i p:=lUsers名称I类型|描述|会 A1ti i ni e tr

6、at or用户管理计算机(域)的内置.C ert Fubli sher e安全蛆-本.此组的成员彼允许发行.DnsAdmins安全蛆-本.DNS管理员组DneUp dateFroxy安全组-全局允许替其他客户端do .Domain Admins安全蛆-全局指定的域管理员D um a in C um pu ters安全蛆-全局加入到域中的所有工作.D om a in C nt roll er e安全组-全局域中所有域控制器D um a in Gu es+.E安全蛆-全局域的所有来宾umain Uehi-e安全蛆-全局所有域用户Enterpri ze A1tiins安全组-通用企业的指定系统管理员

7、Group F 01 i cy C re at n r 0 w ners安全蛆-全局这个蠲中的成员可以修.Gue z t用户供来宾访问计耸机或访.HelpServi ceGroup安全组-本.帮助和支持中心蛆序IIS_WFG安全蛆-本.HS工作进程蛆g IUSR_AL-ABC用户匿名访问Internet信._善户用于启动进程外应用程.-本.这个蠲中的服荟器可以.1fJJScTLHTTra-diniTriM唇-11桀构的指定索统管理负fSUPF0RT_388945a0用户这是一个帮助和支持服.Users 20个对象以上的方法都可以将IAS服务器注册到IAS服务器所隶属的域内。如果要 读取其他域内

8、的用户帐户信息，则需要将IAS服务器注册到其他的域，注册方 法为：请到IAS服务器内，利用具有其他域系统管理员身份的帐户登录，然后 通过netsh命令或者“ Active Directory用户和计算机”主控制窗口来将其注册到 其他的域。RADIUS服务器与RADIUS客户端的设置指定RADIUS客户端IAS服务器安装完成后，系统默认是将它设为RADIUS服务器，以下步骤用 来指定此RADIUS服务器的RADIUS客户端。请为此RADIUS客户端设置一个名称，然后输入其IP地址，或是输入主机 名称，然后单击“验证”按钮来寻找其IP地址。客户端-供应商 请选择提供RADIUS客户端软件的供应商。

9、若列表中找不 到供应商或不知道供应商，则请选择“ RADIUS Standard”。共享的机密、确认共享的机密 您可以在“共享的机密”处设置一个密码， 并在RADIUS客户端也设置相同的密码，只有双方密码相同时，才接受RADIUS 客户端传来的验证、授权、记帐请求。注意密码是区分大小写的。如果双方所采用的验证方法是PAP、CHAP、MS-CHAP、MSCHAP V2的话， 则您可以请求对方传送“消息验证程序属性”，以提高安全性。若验证方法是采 用EAP，则它会自动启用此功能，不需要另外设置。设置让远程访问服务器或VPN服务器来使用RADIUS请到远程访问服务器或VPN服务器上，右击服务器，选择

10、“属性”-“安 全”，在“身份验证提供程序”处选择“RADIUS身份验证”，单击“配置”德理M添加（A）常规安全I IF I FFF I日志I身份验证方在身份验证提供程序为远程访问客户端和请求拨号路由器提供凭据验 征。服蓉器初始分数记帐提供程序难邪记帙提供程序（jO）Windows 记帙自定曳的IFSec 和远程访问服务E按从高给到低分的顺序查询下面的RADIUS服务器r为L2TP连接预共享的密钥皿服务器名僵）:机密:超时剋、）（T）：身份魅证提供程| RADIUS 身粉验iir 一直使用消息验证程序兔）初始分数:端（）：AFTECH-46E940TX 律地）届性RADIUS身情登证添加RADIUS屋翦黑服务器名 请输入RADIUS服务器的主机名称或IP地址机密输入与RADIUS服务器端相同的共享密码超时若等候时间到达时，仍然没有接收到此台RADIUS服务器的响应，则自动将验证请求转发到另外一台RADIUS服务器（若设 置多台RADIUS服务器的话）初始分数 若同时设置了多台RADIUS服务器，则此处用来设置