首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > 使用RADIUS来认证VPN用户 > 正文

使用RADIUS来认证VPN用户

出处:ISAServer.ORG 作者:作者:Thomas 时间:2004-9-14 0:58:00

译自 Thomas W Shinder M.D.Using RADIUS Authentication with the ISA Firewall VPN Server (2004),有改动

前言:在这篇文章中,介绍了如何配置ISA Server的VPN服务使用RADIUS身份验证。主要步骤为配置RADIUS服务器(Windows下的IAS服务、配置用户账户的拨入权限、配置ISA Server的VPN服务。

和ISA Server 2000一样,ISA防火墙(ISA Server 2004)支持使用RADIUS来认证VPN客户。在ISA防火墙不是内部域的成员时,使用RADIUS认证非常有用。


当非域成员的ISA防火墙使用RADIUS来认证VPN客户时,ISA防火墙将用户的身份验证信息转送到背部的RADIUS服务器上。微软的RADIUS服务器称为
Internet Authentication Server (IAS)。RADIUS服务器将用户身份信息转送到一个认证服务器上,在域环境中,这个认证服务器是活动目录的域控制器。认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应ISA防火墙。如果用户提交的身份验证信息有效并且用户具有拨入权限,那么允许该客户的VPN连接;如果身份验证信息无效或者用户没有拨入权限,那么连接将被拒绝。

如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端。ISA防火墙必须配置使用一个或多个RADIUS服务器,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,必须配置RADIUS服务器和ISA防火墙。

在这篇文章中,我们试验的网络拓朴结构如下图所示:



注意,在此例中,域控制器就是一个RADIUS服务器,你可以把它放在域中的其他机器上。域控同时还作为DHCP服务器、DNS服务器、WINS服务器和证书服务器,我们将使用除了证书服务器外的其他服务。

我们的试验步骤如下:

  • 配置RADIUS服务器;

  • 配置用户账户的拨入权限;

  • 启用和配置ISA防火墙的VPN服务;

  • 配置防火墙策略来控制VPN客户的访问;

  • 建立VPN远程访问连接;

配置RADIUS服务器

IAS可以通过添加/删除Windows组件来安装。
在你安装RADIUS服务器之后,可以立即启动它,不需要重启计算机。我们需要做两件事:配置RADIUS服务器识别ISA防火墙为RADIUS客户和为VPN客户建立远程访问策略。



执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:






  1. 在IAS服务器,点击
    开始,指向管理工具,然后点击Internet验证服务;



  2. Internet验证服务控制台右击RADIUS客户,然后点击新建RADIUS客户;





  3. 名字和地址页,为ISA防火墙输入一个名字,在此我们命名为ISA Firewall,在客户地址(IP或者DNS)文本框内输入ISA防火墙内部接口的IP地址,点击“下一步”;





  4. 附加信息页,确认客户-销售商选项设置为标准RADIUS。在共享密钥文本框内输入一个密码,然后在确认共享密钥文本框内再次输入进行确认。然后勾选请求必须包含消息验证者属性,点击完成





 



下一步是建立应用到VPN客户的远程访问策略。我们在此例中使用默认的VPN客户远程访问策略;执行以下步骤:


  1. Internet验证服务控制台,右击远程访问策略,点击新建远程访问策略

  2. 欢迎使用新建远程访问策略向导页,点击下一步;在策略配置方式页,选择使用向导为通用环境建立典型的策略选项,在策略名字文本框中输入一个名字,在此我们命名为VPN Clients,点击下一步

  3. 访问方式页,选择VPN
    选项,然后点击Next

  4. 访问的组或者用户页,选择,然后点击添加;在选择组对话框,在输入选择的对象名文本框中输入Domain
    Users
    ,然后点击检查名称,然后点击确定,然后点击下一步

  5. 保留Microsoft
    Encrypted Authentication version 2 (MS-CHAPv2)
    的选择;你可以选择其他的认证方式,点击下一步


  6. 策略加密级别页,选择适合于你的VPN客户的选项。因为我们使用的是Windows
    XP和Windows 2000,所以,我们去掉Basic encryptionStrong encryption
    的勾选,点击下一步

  7. 在完成新建远程访问策略向导页点击完成



配置用户账户的拨入权限

下一步是启用用户账户的拨入权限。如果你的活动目录域是本地模式或者是Windows Server
2003域,那么你不需要执行这步,因为用户的拨入权限默认就是通过远程访问策略来控制的。在混合域模式中,每个用户都必须单独的允许拨入权限,在这个例子中,我们配置administrator账户的拨入权限;



执行以下步骤:


打开 Active Directory Users and Computers 控制台;点击用户节点,然后双击administrator,在拨入标签,选择允许访问,最后点击确定





启用和配置ISA防火墙的VPN服务


执行以下步骤:


  1. 打开ISA Server管理控制台,然后点击虚拟专用网节点;

  2. 虚拟专用网节点,点击任务面板的任务标签,然后点击配置VPN客户访问

  3. 在VPN客户属性对话框,勾选允许VPN客户访问;

  4. 点击标签(注意,这个标签只对基于本地模式的活动目录和Windows
    Server 2003域模式有效),如果你不在此设置允许访问的组,那么所有的组都不会允许通过VPN访问。但是这个选项,需要ISA
    Server也作为活动目录域的成员。因为这儿我们不会将ISA Server加入域,所以在这儿我们不需要添加组。

  5. 点击协议标签,默认设置是启用PPTP,如果你想使用L2TP/IPSecVPN的连接则直接勾选它们。我总是勾选它们,就算没有准备好使用L2TP/IPSec,不过,如果你没有计划使用PKI或者分布式证书,则不需要勾选。在此,我们只是使用PPTP

  6. 点击用户映射标签,这个一个很容易混淆的概念。不过一定要记住,如果ISA
    Server没有加入域,那么不要使用用户映射。ISA Server必须有访问活动目录数据库的权限,才能将没有提供域信息的VPN客户(如RADIUS客户)映射到ISA
    Server(这个信息是转送到RADIUS服务器,不是给ISA Server)








因为ISA Server在此不是域环境的成员,它不能访问任何Windows的名字空间。这个和Windows身份验证有点混淆,什么是Windows身份验证,我可以告诉你,Windows身份验证就是除了RADIUS和EAP认证的其他身份验证。
也许你对这些设置还有疑问,但是事实上,如果你在没有加入域的ISA Server上使用用户映射,并且配置VPN服务使用RADIUS认证,那么没有谁可以连接到ISA Server。你会看见如下的对话框,如果你执行网络监控,你会发现VPN客户向ISA Server发送了一个断开连接的信息。




但是,如果ISA Server不是域的成员,那么你不能使用加强的基于用户/组的访问控制。不过目前我们得到一些资料,不久我们就可以使用ISA Server来加强基于用户/组的访问控制。


7. 点击应用保存修改和更新防火墙策略。


 



现在我们配置ISA Server使用的RADIUS服务器:



1.任务面板,点击指定RADIUS配置



2.RADIUS标签,勾选使用RADIUS身份认证记录用户的RADIUS



3.点击RADIUS服务器标签,点击添加按钮;



4.添加RADIUS服务器对话框,在服务器名文本框中输入RADIUS服务器的IP地址,你可以输入名字,但是ISA Server一定要能正确的解析出IP地址。







5.
点击修改按钮,输入你在RADIUS服务器上配置作为识别ISA Server为RADIUS客户端的密码,然后勾选总是使用消息认证,点击确定



6.RADIUS服务器页点击确定


7.在ISA管理控制台点击应用保存修改和更新防火墙策略。


配置
VPN访问策略

你需要建立访问规则来允许VPN客户网络访问内部网络。因为我们使用RADIUS认证,所以不能对VPN客户连接使用加强的基于用户和组的访问控制(注意,这个地方很容易混淆。Tom的意思是不能在访问规则对应的用户中使用基于组和用户的选择,但是对于协议和源、目的网络,仍然可以很好的控制)。所以,我强烈建议你在可能的时候,总是将ISA Server加入域。



例如,你不能只允许一个OWA Users组在连接到VPN服务器后访问你内部的OWA服务器,因为你只能允许所有用户。



下面我们将建立一个访问规则允许VPN用户只能通过SSL连接访问OWA站点。执行以下步骤来建立访问规则:



1.在ISA Server管理控制台,点击防火墙策略,然后点击任务面板中的任务标签,然后点击建立新的访问规则



2.欢迎使用新建访问规则向导页,为这个规则输入一个名字,在此我们命名为VPN Clients to Internal,点击下一步



3.规则动作页,选择允许



4.协议页,在这个规则应用到选择选择的协议,然后点击添加;在添加协议对话框,点击通用协议,然后双击HTTPS,然后点击关闭;在协议页点击下一步



5.源网络页,点击添加;在添加网络实体对话框,点击网络,然后双击VPN客户网络,点击关闭,点击下一步


6.目的网络页,点击添加;在添加网络实体对话框,点击新建,然后点击计算机新建计算机规则元素页,在名字文本框中输入一个名字,在此我们命名为OWA
Site
,然后输入OWA Site的IP地址,然后点击确定。在添加网络实体对话框,点击计算机,然后双击OWA Site,点击关闭,点击下一步



7.用户集页,点击下一步;然后在完成新建访问规则向导页点击完成



8、点击应用以保存修改和更新防火墙策略;


 



建立VPN远程访问连接



在远程VPN客户上建立VPN连接,你可以发现,你只能访问OWA站点,并且只能使用HTTPS进行访问。下图是ISA中的日志信息,VPN客户得到的IP地址是10.0.0.101。
很奇怪的,你可以在ISA的记录中找到用户身份信息,但是就算你在访问规则中设置了对应的用户组,这个设置也是不起作用的。






往下我们可以看到客户发往OWA站点的连接请求。第六行就是我们建立的访问规则
VPN Clients to Internal所允许的,但是,你看见用户名了吗?






我试着建立一个FTP连接,因为没有规则允许,我希望它被拒绝,并且它也被拒绝了。第三、四、五行就是拒绝的信息。同样了,它提供了用户名,所以我们相信,一定有办法来基于用户/组来控制使用RADIUS认证的VPN客户。


 



, , ,
相关文章 热门文章
  • 使用Exchange Service Pack安装程序的/disasterrecovery开关
  • ISA Server发布具有Edge角色Exchange
  • ISA Server 2006 发布owa 2007 的注意事项和排错提示
  • Win2008应用之IIS 7中配置ISAPI和CGI限制
  • Win2008应用之IIS 7中ISAPI筛选器配置
  • 妙用DNS解析实现防火墙客户的重定向
  • ISA之发布Exchange OWA方法及故障分析
  • 使用ISA Server发布具有Edge角色的Exchange Server环境
  • 排除发布的SMTP服务器的故障
  • 关于在ISA Server中使用HTTP压缩的说明
  • 如何通过ISA2006防火墙发布启用了SSL的OWA
  • 双ISA 双CSS 进行NLB方案之4服务器实例
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号