Radius认证服务器的配置与应用

学习目标学习目标 l 熟悉身份认证的概念l 熟悉IEEE 802.1x协议的工作特点l 掌握基于Windows Server 2003的Radius服务器的安装和配置方法l 掌握交换机上IEEE 802.1x及相关协议的启用和配置方法l 掌握Radius认证系统的应用和故障排除方法第第1010讲讲 RadiusRadius认证服务器的配置与应认证服务器的配置与应用用 重点难点重点难点l 掌握基于Windows Server 2003的Radius服务器的安装和配置方法l 掌握交换机上IEEE 802.1x及相关协议的启用和配置方法l 掌握Radius认证系统的应用和故障排除方法 身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。近年来，越来越多的单位通过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius认证系统的使用最为广泛。在大量的企业、政府机关、高校，通过Radius认证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权限，并记录相关的信息。本讲在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上，以Windows Server 2003操作系统和Cisco交换机为例，详细介绍用户身份认证系统的安装、配置、使用和故障排除方法。10.1.1 身份认证的概念身份认证的概念身份认证（身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户是）是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术，确提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术，确认系统访问者的身份和权限，使计算机和网络系统的访问策略能够可靠、有认系统访问者的身份和权限，使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，从而保证系统和效地执行，防止攻击者假冒合法用户获得资源的访问权限，从而保证系统和数据的安全以及授权访问者的合法利益。数据的安全以及授权访问者的合法利益。计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关系，双方通信过程中，一方实体向另一方实体提供这个证据证明自已的身份，系，双方通信过程中，一方实体向另一方实体提供这个证据证明自已的身份，另一方通过相应的机制来验证证据，以确定该实体是否与证据所显示的身份另一方通过相应的机制来验证证据，以确定该实体是否与证据所显示的身份一致。一致。10.1 身份认证概述身份认证概述10.1.2 认证、授权与审计认证、授权与审计在计算机网络安全领域，将认证、授权与审计统称为在计算机网络安全领域，将认证、授权与审计统称为AAA或或3A，即英文，即英文Authentication（认证）、（认证）、Authorization（授权）和（授权）和Accounting（审计）。（审计）。1 认证认证认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。源的问题。2 授权授权授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。源使用权限。4.2 PKI的概念和组成的概念和组成3 审计审计审计也称为记帐（审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都）或审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。要留下记录，以便进行核查。安全性评估（安全性评估（security assessment）是审计操作的进一步扩展。在安全性评）是审计操作的进一步扩展。在安全性评估中，专业人员对网络中容易受到入侵者攻击的部分进行内部检查，对网络估中，专业人员对网络中容易受到入侵者攻击的部分进行内部检查，对网络存在的薄弱环节进行阶段性评估。通过对评估结果的分析，既可以发现网络存在的薄弱环节进行阶段性评估。通过对评估结果的分析，既可以发现网络中存在的设计缺陷，也可以为今后的网络调整提供权威的数据支撑。用户对中存在的设计缺陷，也可以为今后的网络调整提供权威的数据支撑。用户对资源的访问过程如图资源的访问过程如图1所示所示 图1.用户访问系统资源的过程 IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了采用了“可控端口可控端口”和和“不可控端口不可控端口”的逻辑功能，从而实现认证与业务的的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。分离，保证了网络传输的效率。IEEE 802系列局域网（系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是）标准占据着目前局域网应用的主要份额，但是传统的传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。相当于物理上断开了连接。10.2 IEEE 802.1x协议与协议与RADIUD服务器服务器IEEE 802.1x协议采用现有的可扩展认证协议（协议采用现有的可扩展认证协议（Extensible Authentication Protocol，EAP），它是），它是IETF提出的提出的PPP协议的扩展，最早是为解决基于协议的扩展，最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理）的接入方式。其中，前者是基于物理端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持IEEE 802.1x协议。协议。10.2.2 RADIUS服务器服务器RADIUS（Remote Authentication Dial In User Service，远程用户拨号认，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（证服务）服务器提供了三种基本的功能：认证（Authentication）、授权）、授权（Authorization）和审计（）和审计（Accounting），即提供了），即提供了3A功能。其中审计也功能。其中审计也称为称为“记账记账”或或“计费计费”。RADIUS协议采用了客户机协议采用了客户机/服务器（服务器（C/S）工作模式。网络接入服务器）工作模式。网络接入服务器（Network Access Server，NAS）是）是RADIUS的客户端，它负责将用户的验的客户端，它负责将用户的验证信息传递给指定的证信息传递给指定的RADIUS服务器，然后处理返回的响应。服务器，然后处理返回的响应。RADIUS服务器服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全服务器之间的用户密码经过加密发送，提供了密码使用的安全性。性。在如图在如图2所示的网络中，所示的网络中，RADIUS服务器对服务器对RADIUS客户端（图客户端（图2中直接标为中直接标为“客客户端户端”）进行用户验证、资源访问授权、记账等操作，）进行用户验证、资源访问授权、记账等操作，图 2 RADIUS 系统的组成 10.2.3 系统规划系统规划为了说明基于为了说明基于IEEE 802.1x与与RADIUS服务器系统的实现过程，本讲专门设计了一个实服务器系统的实现过程，本讲专门设计了一个实验。本实验是一个具有较大应用价值的综合实验：一是本实验立足目前的网络应用实际，验。本实验是一个具有较大应用价值的综合实验：一是本实验立足目前的网络应用实际，可以直接在安全要求不太高的网络环境中使用；二是本实验的实现原理与目前市面上流可以直接在安全要求不太高的网络环境中使用；二是本实验的实现原理与目前市面上流行的记费认证系统基本相同，通过本实验可以帮助读者了解一些商业软件的功能特点；行的记费认证系统基本相同，通过本实验可以帮助读者了解一些商业软件的功能特点；三是通过实践将会加深对本章前面介绍的理论知识的认识。三是通过实践将会加深对本章前面介绍的理论知识的认识。图3 实验拓扑 10.2.4 基于基于IEEE 802.1x认证系统的组成认证系统的组成由图由图3所示，一个完整的基于所示，一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者的认证系统由认证客户端、认证者和认证服务器和认证服务器3部分（角色）组成。部分（角色）组成。1认证客户端。认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是客户端标准的软件，目前最典型的就是Windows XP操作系统自带的操作系统自带的IEEE802.1x客户端支持。另外，一些网络设备制造商也开发了自己的客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。客户端软件。2 认证者认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。与网络的连接状态。扮演认证者角色的设备有两种类型的端口：受控端口（扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。器与交换机的正常通讯。3.认证服务器认证服务器认证服务器通常为认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有操作系统自带有RADIUS服服务器组件。务器组件。10.3.1 安装安装RADIUS服务器服务器如果这台计算机是一台如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加的独立服务器（未升级成为域控制器，也未加入域），则可以利用入域），则可以利用SAM来管理用户账户信息；如果是一台来管理用户账户信息；如果是一台Windows Server 2003域控制域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用比利用SAM来安全、稳定，但来安全、稳定，但RADIUS服务器提供的认证功能相同。为便于实验，下面以一服务器提供的认证功能相同。为便于实验，下面以一台运行台运行Windows Server 2003的独立服务器为例进行介绍，该计算机的的独立服务器为例进行介绍，该计算机的IP地址为地址为172.16.2.10。10.3 RADIUS服务器的安装与配置服务器的安装与配置 图4 选择“网络服务”组件 图5 选取“Internet验证服务”子组件 如果用户要在自己的运行有Windows Server 2003的计算机上对RADIUS服务器进行远程管理，可以在本地计算机上选择“开始”“运行”，在打开的对话框的文本框中输入MMC命令，打开“控制台”窗口，在该窗口中选择“文件”“添加/删除管理单元”“添加”“Internet验证服务”“添加”“另一台计算机”，在打开的对话框中输入远程RADIUS服务器的IP地址，来创建管理控制台，通过管理控制台对远程RADIUS服务器进行管理。提示：如果读者是通过域控制器的Active Directory数据库来进行用户账户的管理，则需要建立IAS服务器与Active Directory数据库之间的连接，这样当RADIUS客户端需要进行身份验证、授权或记账等操作时，就通过Active Directory数据库来完成。图6 “Internet验证服务”窗口 10.3.2 创建用户账户创建用户账户在这一节中，需要为所有通过认证才能够访问网络的用户在在这一节中，需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账户。服务器中创建账户。这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了IEEE 802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够访问认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够访问网络中的资源。下面，读者创建一个测试用的用户账户（如网络中的资源。下面，读者创建一个测试用的用户账户（如wq），并设置相应的密码。），并设置相应的密码。图7 创建用户账户 图8 创建组并添加用户账户 另外，选择另外，选择“开始开始”“运行运行”，在打开的对话框中输入组策略编辑器命令，在打开的对话框中输入组策略编辑器命令“gpedit.msc”，单击，单击“确定确定”按钮，在出现的对话框中依次选择按钮，在出现的对话框中依次选择“计算机配计算机配置置”“Windows设置设置”“安全设置安全设置”“账户策略账户策略”“密码策略密码策略”，启用启用“用可还原的加密来储存密码用可还原的加密来储存密码”策略项，如图策略项，如图9所示。所示。图9 启用“用可还原的加密来储存密码”策略项 10.3.3 设置远程访问策略设置远程访问策略下面，在下面，在RADIUS服务器的服务器的“Internet验证服务验证服务”窗口中，需要为图窗口中，需要为图3中的交换机及中的交换机及通过该交换机进行认证的用户设置远程访问策略。具体方法如下：通过该交换机进行认证的用户设置远程访问策略。具体方法如下：图10 新建远程访问策略 图11 选择配置方式 图12 选择访问方法 图13 选择授权方式 图14 选择身份验证方法 图17 选择属性类型 图18 显示已添加的策略名称 图15 确认设置信息 图16.只保留新建的远程访问策略 图18 选择要申请证书的类型 图19 输入用户的详细信息 图20 证书申请结束后的显示 图21 显示未被颁发的证书名称 10.3.4 创建创建RADIUS客户端客户端需要说明的是，这里要创建的需要说明的是，这里要创建的RADIUS客户端，是指类似于图客户端，是指类似于图3中的交换机设备，在实中的交换机设备，在实际应用中也可以是际应用中也可以是VPN服务器、无线服务器、无线AP等，而不是用户端的计算机。等，而不是用户端的计算机。RADIUS服务器只会接受由服务器只会接受由RADIUS客户端设备发过来的请求，为此需要在客户端设备发过来的请求，为此需要在RADIUS服服务器上来指定务器上来指定RADIUS客户端。以图客户端。以图3的网络拓扑为例，具体步骤如下：的网络拓扑为例，具体步骤如下：图 19 新建 RADIUS 客户端 图20 设置 RADIUS客户端的名称和IP 地址 图21 设置共享密钥和认证方式 图22 显示已创建的RADIUS客户端 下面，对支持IEEE 802.1x认证协议的交换机进行配置，使它能够接授用户端的认证请求，并将请求转发给RADIUS服务器进行认证，最后将认证结果返回给用户端。以图3所示的网络拓扑为例，交换机的IP地址为172.16.2.11/24，在交换机上只需要对FastEthernet0/1端口进行认证，其他端口可不进行设置。所以，在本实验中图3中的RADIUS服务器和应用服务器不要接在认证端口上。具体操作如下：（1）设置交换机的管理地址。10.4 交换机（交换机（RADIUS客户端）的配置客户端）的配置在以上命令中，在以上命令中，172.16.2.10为为RADIUS服务器的服务器的IP地址，地址，1812是是RADIUS服务器服务器默认的认证端口，默认的认证端口，1813是系统默认的计账端口。其中，是系统默认的计账端口。其中，auth-port 1812 acct-port 1813可以省略。可以省略。Key后面的后面的wangqun为交换机与为交换机与RADIUS服务器之间的共服务器之间的共享密钥（在图享密钥（在图21中设置）。中设置）。（4）配置交换机的认证端口。下面，将交换机的第一个端口）配置交换机的认证端口。下面，将交换机的第一个端口FastEthernet 0/1设置为需要进行设置为需要进行IEEE 802.1x认证的端口。具体操作如下：认证的端口。具体操作如下：本实验中客户端计算机以本实验中客户端计算机以Windows XP SP2为例进行介绍，具体步骤如下：为例进行介绍，具体步骤如下：（1）配置客户端的）配置客户端的IP地址，如地址，如172.16.2.13。（2）打开用户端计算机网络的）打开用户端计算机网络的“本地连接本地连接”属性对话框，然后选择属性对话框，然后选择“验证验证”标签项，在打开的如图标签项，在打开的如图23所示的对话框中选取所示的对话框中选取“启用此网络的启用此网络的IEEE 802.1x验验证证”，并在，并在“EAP类型类型”下拉列表中选取下拉列表中选取“MD5-质询质询”，其他选项可不选。，其他选项可不选。10.5 用户端连接测试用户端连接测试 图23 启用客户端IEEE 802.1x验证 图24 系统要求输入用户名和密码 图25 输入用户名和密码对话框 图26 通过认证的用户事件记录 图 27.未通过认证的用户事件记录 IEEE 802.1xIEEE 802.1x是一个基于端口的网络访问控制标准，为局域网用户提供是一个基于端口的网络访问控制标准，为局域网用户提供点对点（从用户计算机到接入交换机）的安全接入认证。在一个完整的点对点（从用户计算机到接入交换机）的安全接入认证。在一个完整的基于基于IEEE 802.1xIEEE 802.1x的认证系统（参见图的认证系统（参见图3 3）由认证客户端、认证者和认证）由认证客户端、认证者和认证服务器服务器3 3部分组成。本讲提供的基于部分组成。本讲提供的基于IEEE 802.1xIEEE 802.1x的认证方案，不但实现的认证方案，不但实现过程简单，而且实现成本低廉，可以提供用户对网络或设备访问的合法过程简单，而且实现成本低廉，可以提供用户对网络或设备访问的合法性的认证手段，已经成为业界普遍关注的技术，并开始大量应用。性的认证手段，已经成为业界普遍关注的技术，并开始大量应用。9、静夜四无邻，荒居旧业贫。22.8.122.8.1Monday,August 01,202210、雨中黄叶树，灯下白头人。6:59:326:59:326:598/1/2022 6:59:32 AM11、以我独沈久，愧君相见频。22.8.16:59:326:59Aug-221-Aug-2212、故人江海别，几度隔山川。6:59:326:59:326:59Monday,August 01,202213、乍见翻疑梦，相悲各问年。22.8.122.8.16:59:326:59:32August 1,202214、他乡生白发，旧国见青山。2022年8月1日星期一上午6时59分32秒6:59:3222.8.115、比不了得就不比，得不到的就不要。2022年8月上午6时59分22.8.16:59August 1,202216、行动出成果，工作出财富。2022年8月1日星期一6时59分32秒6:59:321 August 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午6时59分32秒上午6时59分6:59:3222.8.19、没有失败，只有暂时停止成功！。22.8.122.8.1Monday,August 01,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。6:59:326:59:326:598/1/2022 6:59:32 AM11、成功就是日复一日那一点点小小努力的积累。22.8.16:59:326:59Aug-221-Aug-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。6:59:326:59:326:59Monday,August 01,202213、不知香积寺，数里入云峰。22.8.122.8.16:59:326:59:32August 1,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年8月1日星期一上午6时59分32秒6:59:3222.8.115、楚塞三湘接，荆门九派通。2022年8月上午6时59分22.8.16:59August 1,202216、少年十五二十时，步行夺得胡马骑。2022年8月1日星期一6时59分32秒6:59:321 August 202217、空山新雨后，天气晚来秋。上午6时59分32秒上午6时59分6:59:3222.8.19、杨柳散和风，青山澹吾虑。22.8.122.8.1Monday,August 01,202210、阅读一切好书如同和过去最杰出的人谈话。6:59:326:59:326:598/1/2022 6:59:32 AM11、越是没有本领的就越加自命不凡。22.8.16:59:326:59Aug-221-Aug-2212、越是无能的人，越喜欢挑剔别人的错儿。6:59:326:59:326:59Monday,August 01,202213、知人者智，自知者明。胜人者有力，自胜者强。22.8.122.8.16:59:326:59:32August 1,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年8月1日星期一上午6时59分32秒6:59:3222.8.115、最具挑战性的挑战莫过于提升自我。2022年8月上午6时59分22.8.16:59August 1,202216、业余生活要有意义，不要越轨。2022年8月1日星期一6时59分32秒6:59:321 August 202217、一个人即使已登上顶峰，也仍要自强不息。上午6时59分32秒上午6时59分6:59:3222.8.1MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉