Netscreen使用RADIUS進(jìn)行用戶驗(yàn)證.doc

Netscreen防火墻使用RADIUS進(jìn)行用戶驗(yàn)證 - /logs/32566737.html本文在windows 2003 ,netscreen ssg550 驗(yàn)證通過。RADIUS通過使用Windows 2003活動(dòng)目錄提供的服務(wù)來集中驗(yàn)證用戶信息。將Netscreen設(shè)備與活動(dòng)目錄結(jié)合起來可以控制VPN、防火墻和用戶管理。 1、安裝微軟的IAS服務(wù)點(diǎn)擊“開始”-“設(shè)置”-“控制面板”，打開“添加刪除程序”，雙擊“添加刪除Windows組件”，系統(tǒng)打開“Windows組件”，找到“網(wǎng)絡(luò)服務(wù)”，點(diǎn)擊右下角的“詳細(xì)信息”，打開“網(wǎng)絡(luò)服務(wù)”，勾選“Internet驗(yàn)證服務(wù)”。確定。單擊“下一步”，稍后片刻，點(diǎn)擊“完成”，完成了微軟的IAS服務(wù)的安裝。2、配置微軟的IAS服務(wù) 回到剛才的“控制面板”，點(diǎn)擊“管理工具”，打開的“Internet驗(yàn)證服務(wù)” 將Netscreen設(shè)備添加為客戶端。右鍵單擊“RADIUS客戶端”，選擇“新建RADIUS客戶端”，在好記的名稱輸入：NetScreen，客戶端地址輸入你的Netscren IP地址，我的輸入“54”，單擊“下一步”，在共享的機(jī)密和確認(rèn)的共享機(jī)密輸入一樣的密碼。單擊“完成”完成第一步設(shè)定。 3、在IAS服務(wù)器上配置策略 “控制面板”，點(diǎn)擊“管理工具”，打開的“Internet驗(yàn)證服務(wù)”,右鍵單擊“遠(yuǎn)程訪問策略”，選擇“新建遠(yuǎn)程訪問策略”，單擊“下一步”，在新建遠(yuǎn)程訪問策略向?qū)е?，選擇“設(shè)置自定義策略”，在策略名輸入“Permit assess IT group and Return IT group abbribute”，單擊“下一步”，在策略狀態(tài)，單擊“添加”，在選擇屬性中選擇“Windows Group”，單擊“添加”，輸入正確的組名。單擊“確定”。 單擊“下一步”，選擇“授予遠(yuǎn)程訪問權(quán)限”，單擊“下一步”，選擇編輯配置文件，訪問“身份驗(yàn)證”選項(xiàng)卡，取消所有選擇，勾選 “未加密的身份驗(yàn)證(PAP，SPAP)”，單擊“應(yīng)用”，訪問“高級(jí)”選項(xiàng)卡，單擊“添加”,選擇“Vendor-Specific,單擊“添加”，在 “輸入供應(yīng)商代碼”中輸入“3224”，并選擇“符合”。單擊“配置屬性”，在“供應(yīng)商指派的屬性號(hào)”中輸入“3”，屬性格式選擇“字符串”，屬性值輸入“IT”,連續(xù)單擊“確定”回到“高級(jí)”選項(xiàng)卡，刪除“高級(jí)”選項(xiàng)卡其余的欄目，保留“Vendor-Specific”。單擊“應(yīng)用”，“確定”。在收到系統(tǒng)提示的時(shí)候，選擇“否”，單擊“完成”完成了策略的設(shè)定 3、配置驗(yàn)證服務(wù)和外部用戶組 以根管理員登錄防火墻管理界面。首先在netscreen防火墻上面定義一個(gè)RADIUS服務(wù)器，從Web管理界面菜單“Configuration”-“Auth”-“Auth Servers”，單擊右上角的“New”，在打開的界面中的“Name”輸入“Micorosoft IAS”，“IP/Domain Name”輸入之前定義的RADIUS服務(wù)器的IP，本例是“00”，在“Account Type”中勾選“Auth”，在下面的定義RADIUS服務(wù)器屬性中的“Shared Secret”輸入之前定義密碼。單擊“OK”保存設(shè)定。 接著我們來定義外部用戶組IT，菜單“Objects”-“Users”-“External Groups”,單擊“New”,在“Group Name”中輸入“IT”,在下面的“Group Type”中勾選“Auth”，單擊“OK”保存設(shè)定。 4、設(shè)定策略使用外部用戶進(jìn)行驗(yàn)證。 選擇要編輯的策略，單擊策略右邊的“Edit”，點(diǎn)擊打開界面的“Adanced”,進(jìn)入策略高級(jí)編輯界面，勾選“Authentication”，點(diǎn)選“Auth Server”，并在其下面的列表中選擇“Microsoft IAS”,點(diǎn)選“User Group”，在右邊的選擇“External-IT ”,單擊“OK”保存策略。測(cè)試，打開IE,輸入新浪的網(wǎng)址“”,系統(tǒng)彈出一個(gè)對(duì)話框，輸入正確的用戶和密碼，即可訪問新浪。 備注：若當(dāng)前登錄是域用戶，它就自動(dòng)驗(yàn)證。 注意:如果驗(yàn)證不能通過，檢查域服務(wù)器上面的日志會(huì)發(fā)現(xiàn)“用戶沒有遠(yuǎn)程訪問的權(quán)限”，需要打開Active Derectory用戶和計(jì)算機(jī),點(diǎn)擊用戶屬性撥入遠(yuǎn)程訪問權(quán)限,允許訪問.確定.這個(gè)測(cè)試成功完成！ 再此有幾點(diǎn)要說明： 1、原Juniper提供了一個(gè)PDF文檔“configuring_screenOS_for_NT_Domain_v11.pdf”，提供配置方法，但此文檔有幾個(gè)錯(cuò)誤的地方需要修正。 2、錯(cuò)誤地方一：請(qǐng)看下圖，原文章需要勾選“Encrypted Authentication(CHAP)”,請(qǐng)參考我的測(cè)試截圖，無需勾選此處。 3、錯(cuò)誤地方二：在NS上配置RADIUS服務(wù)器時(shí)，原文勾選的是“