使用RADIUS来认证×××用户

 

译自 Thomas W Shinder M.D.,Using RADIUS Authentication with the ISA Firewall××× Server (2004),有改动

内容概要:这篇文章介绍了如何配置ISA Server的×××服务使用RADIUS身份验证 ,主要步骤为配置RADIUS服务器(Windows下的IAS服务、配置用户账户的拨入权限、配置ISA Server的×××服务。

和ISA Server 2000一样,ISA防火墙(ISA Server 2004)支持使用RADIUS来认证×××客户。在ISA防火墙不是内部域的成员时,使用RADIUS认证非常有用。

当非域成员的ISA防火墙使用RADIUS来认证×××客户时,ISA防火墙将用户的身份验证信息转送到背部的RADIUS服务器上。微软的RADIUS服务器称为Internet Authentication Server (IAS)。RADIUS服务器将用户身份信息转送到一个认证服务器上,在域环境中,这个认证服务器是活动目录的域控制器。认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应ISA防火墙。如果用户提交的身份验证信息有效并且用户具有拨入权限,那么允许该客户的×××连接;如果身份验证信息无效或者用户没有拨入权限,那么连接将被拒绝。

如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端。ISA防火墙必须配置使用一个或多个RADIUS服务器,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,必须配置RADIUS服务器和ISA防火墙。

在这篇文章中,我们试验的网络拓朴结构如下图所示:

 

注意,在此例中,域控制器就是一个RADIUS服务器,你可以把它放在域中的其他机器上。域控同时还作为DHCP服务器、DNS服务器、WINS服务器和证书服务器,我们将使用除了证书服务器外的其他服务。

我们的试验步骤如下:

  • 配置RADIUS服务器;

  • 配置用户账户的拨入权限;

  • 启用和配置ISA防火墙的×××服务;

  • 配置防火墙策略来控制×××客户的访问;

  • 建立×××远程访问连接

配置RADIUS服务器

IAS可以通过添加/删除Windows组件来安装,在你安装RADIUS服务器之后,可以立即启动它,不需要重启计算机。我们需要做两件事:配置RADIUS服务器识别ISA防火墙为RADIUS客户和为×××客户建立远程访问策略。

执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:

  1. 在IAS服务器,点击开始,指向管理工具,然后点击Internet验证服务;

  2. Internet验证服务控制台右击RADIUS客户,然后点击新建RADIUS客户;

  3. 名字和地址页,为ISA防火墙输入一个名字,在此我们命名为ISA Firewall,在客户地址(IP或者DNS)文本框内输入ISA防火墙内部接口的IP地址,点击“下一步”;

  4. 附加信息页,确认客户-销售商选项设置为标准RADIUS。在共享密钥文本框内输入一个密码,然后在确认共享密钥文本框内再次输入进行确认。然后勾选请求必须包含消息验证者属性,点击完成

 

下一步是建立应用到×××客户的远程访问策略。我们在此例中使用默认的×××客户远程访问策略,,执行以下步骤:

  1. Internet验证服务控制台,右击远程访问策略,点击新建远程访问策略

  2. 在欢迎使用新建远程访问策略向导页,点击下一步;在策略配置方式页,选择使用向导为通用环境建立典型的策略选项,在策略名字文本框中输入一个名字,在此我们命名为××× Clients,点击下一步;

  3. 访问方式页,选择××× 选项,然后点击Next

  4. 访问的组或者用户页,选择,然后点击添加;在选择组对话框,在输入选择的对象名文本框中输入Domain Users ,然后点击检查名称,然后点击确定,然后点击下一步

  5. 保留Microsoft Encrypted Authentication version 2 (MS-CHAPv2) 的选择;你可以选择其他的认证方式,点击下一步

  6. 策略加密级别页,选择适合于你的×××客户的选项。因为我们使用的是Windows XP和Windows 2000,所以,我们去掉Basic encryptionStrong encryption 的勾选,点击下一步

  7. 在完成新建远程访问策略向导页点击完成

配置用户账户的拨入权限

下一步是启用用户账户的拨入权限。如果你的活动目录域是本地模式或者是Windows Server 2003域,那么你不需要执行这步,因为用户的拨入权限默认就是通过远程访问策略来控制的。在混合域模式中,每个用户都必须单独的允许拨入权限,在这个例子中,我们配置administrator账户的拨入权限;

执行以下步骤:

打开Active Directory Users and Computers 控制台;点击用户节点,然后双击administrator,在拨入标签,选择允许访问,最后点击确定

 

启用和配置ISA防火墙的×××服务

执行以下步骤:

  1. 打开ISA Server管理控制台,然后点击虚拟专用网节点;

  2. 虚拟专用网节点,点击任务面板的任务标签,然后点击配置×××客户访问

  3. 在×××客户属性对话框,勾选允许×××客户访问;

  4. 点击标签(注意,这个标签只对基于本地模式的活动目录和Windows Server 2003域模式有效),如果你不在此设置允许访问的组,那么所有的组都不会允许通过×××访问。但是这个选项,需要ISA Server也作为活动目录域的成员。因为这儿我们不会将ISA Server加入域,所以在这儿我们不需要添加组。

  5. 点击协议标签,默认设置是启用PPTP,如果你想使用L2TP/IPSec×××的连接则直接勾选它们。我总是勾选它们,就算没有准备好使用L2TP/IPSec,不过,如果你没有计划使用PKI或者分布式证书,则不需要勾选。在此,我们只是使用PPTP

  6. 点击用户映射标签,这个一个很容易混淆的概念。不过一定要记住,如果ISA Server没有加入域,那么不要使用用户映射。ISA Server必须有访问活动目录数据库的权限,才能将没有提供域信息的×××客户(如RADIUS客户)映射到ISA Server(这个信息是转送到RADIUS服务器,不是给ISA Server)。

 

因为ISA Server在此不是域环境的成员,它不能访问任何Windows的名字空间。这个和Windows身份验证有点混淆,什么是Windows身份验证,我可以告诉你,Windows身份验证就是除了RADIUS和EAP认证的其他身份验证。

也许你对这些设置还有疑问,但是事实上,如果你在没有加入域的ISA Server上使用用户映射,并且配置×××服务使用RADIUS认证,那么没有谁可以连接到ISA Server。你会看见如下的对话框,如果你执行网络监控,你会发现×××客户向ISA Server发送了一个断开连接的信息。

 

但是,如果ISA Server不是域的成员,那么你不能使用加强的基于用户/组的访问控制。不过目前我们得到一些资料,不久我们就可以使用ISA Server来加强基于用户/组的访问控制。

7. 点击应用保存修改和更新防火墙策略。

现在我们配置ISA Server使用的RADIUS服务器:

1. 在任务面板,点击指定RADIUS配置;

2.在RADIUS标签,勾选使用RADIUS身份认证和记录用户的RADIUS。

3.点击RADIUS服务器标签,点击添加按钮;

4.在添加RADIUS服务器对话框,在服务器名文本框中输入RADIUS服务器的IP地址,你可以输入名字,但是ISA Server一定要能正确的解析出IP地址。

 

5. 点击修改按钮,输入你在RADIUS服务器上配置作为识别ISA Server为RADIUS客户端的密码,然后勾选总是使用消息认证,点击确定;

6.在RADIUS服务器页点击确定

7.在ISA管理控制台点击应用保存修改和更新防火墙策略

配置×××访问策略

你需要建立访问规则来允许×××客户网络访问内部网络。因为我们使用RADIUS认证,所以不能对×××客户连接使用加强的基于用户和组的访问控制(注意,这个地方很容易混淆。Tom的意思是不能在访问规则对应的用户中使用基于组和用户的选择,但是对于协议和源、目的网络,仍然可以很好的控制)。所以,我强烈建议你在可能的时候,总是将ISA Server加入域。

例如,你不能只允许一个OWA Users组在连接到×××服务器后访问你内部的OWA服务器,因为你只能允许所有用户。

下面我们将建立一个访问规则允许×××用户只能通过SSL连接访问OWA站点。执行以下步骤来建立访问规则:

1.在ISA Server管理控制台,点击防火墙策略,然后点击任务面板中的任务标签,然后点击建立新的访问规则;

2.在欢迎使用新建访问规则向导页,为这个规则输入一个名字,在此我们命名为××× Clients to Internal,点击下一步

3. 在规则动作页,选择允许;

4.在协议页,在这个规则应用到选择选择的协议,然后点击添加;在添加协议对话框,点击通用协议,然后双击HTTPS,然后点击关闭;在协议页点击下一步

5.在源网络页,点击添加;在添加网络实体对话框,点击网络,然后双击×××客户网络,点击关闭,点击下一步;

6. 在目的网络页,点击添加;在添加网络实体对话框,点击新建,然后点击计算机;在新建计算机规则元素页,在名字文本框中输入一个名字,在此我们命名为OWA Site,然后输入OWA Site的IP地址,然后点击确定。在添加网络实体对话框,点击计算机,然后双击OWA Site,点击关闭,点击下一步;

7. 在用户集页,点击下一步;然后在完成新建访问规则向导页点击完成;

8、点击应用以保存修改和更新防火墙策略;

建立×××远程访问连接

在远程×××客户上建立×××连接,你可以发现,你只能访问OWA站点,并且只能使用HTTPS进行访问。下图是ISA中的日志信息,×××客户得到的IP地址是10.0.0.101。很奇怪的,你可以在ISA的记录中找到用户身份信息,但是就算你在访问规则中设置了对应的用户组,这个设置也是不起作用的。

 

往下我们可以看到客户发往OWA站点的连接请求。第六行就是我们建立的访问规则××× Clients to Internal所允许的,但是,你看见用户名了吗?

 

我试着建立一个FTP连接,因为没有规则允许,我希望它被拒绝,并且它也被拒绝了。第三、四、五行就是拒绝的信息。同样了,它提供了用户名,所以我们相信,一定有办法来基于用户/组来控制使用RADIUS认证的×××客户。