Radius認證服務器配置與應用講解

Radius認證服務器的配置與應用講解Radius認證服務器的配置與應用講解Radius認證服務器的配置與應用講解Radius認證服務器的配置與應用(802.1x)協(xié)議是一個基于端口的網絡接見控制協(xié)議，該協(xié)議的認證系統(tǒng)結構中采用了“可控端口”和“不能控端口”的邏輯功能，從而實現認證與業(yè)務的分別，保證了網絡傳輸的效率。IEEE802系列局域網（LAN）標準據有著當前局域網應用的主要份額，但是傳統(tǒng)的IEEE802系統(tǒng)定義的局域網不供應接入認證，只要用戶能接入集線器、交換機等控制設備，用戶就可以接見局域網中其他設備上的資源，這是一個安全隱患，同時也不便于實現對局域網接入用戶的管理。是一種基于端口的網絡接入控制技術，在局域網設備的物理接入級對接入設備（主若是計算機）進行認證和控制。連接在交換機端口上的用戶設備若是能經過認證，就可以接見局域網內的資源，也能夠接入外面網絡（如Internet）；若是不能夠經過認證，則無法接見局域網內部的資源，同樣也無法接入Internet，相當于物理上斷開了連接。IEEE802.1x協(xié)議采用現有的可擴展認證協(xié)議（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP協(xié)議的擴展，最早是為解決基于標準的無線局域網的認證而開發(fā)的。誠然定義了基于端口的網絡接入控制協(xié)議，但是在實質應用中該協(xié)議僅適用于接入設備與接入端口間的點到點的連接方式，其中端口能夠是物理端口，也能夠是邏輯端口。典型的應用方式有兩種：一種是以太網交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網（WLAN）的接入方式。其中，前者是基于物理端口的，此后者是基于邏輯端口的。當前，幾乎所有的以太網交換機都支持IEEE協(xié)議。RADIUS服務器RADIUS（RemoteAuthenticationDialInUserService，遠程用戶撥號認證服務）服務器供應了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即供應了3A功能。其中審計也稱為“記賬”或“計費”。RADIUS協(xié)議采用了客戶機/服務器（C/S）工作模式。網絡接入服務器（NetworkAccessServer，NAS）是RADIUS的客戶端，它負責將用戶的考據信息傳達給指定的RADIUS服務器，此后辦理返回的響應。RADIUS服務器負責接收用戶的連接央求，并考據用戶身份，此后返回所有必定要配置的信息給客戶端用戶，也能夠作為其他RADIUS服務器或其他類認證服務器的代理客戶端。服務器和客戶端之間傳輸的所有數據經過使用共享密鑰來考據，客戶端和RADIUS服務器之間的用戶密碼經過加密發(fā)送，供應了密碼使用的安全性。基于認證系統(tǒng)的組成一個完滿的基于的認證系統(tǒng)由認證客戶端、認證者和認證服務器

3部分（角色）組成。認證客戶端。認證客戶端是最后用戶所扮演的角色，一般是個人計算機。它央求對網絡服務的接見，并對認證者的央求報文進行應答。認證客戶端必定運行吻合客戶端標準的軟件，當前最典型的就是WindowsXP操作系統(tǒng)自帶的客戶端支持。別的，一些網絡設備制造商也開發(fā)了自己的客戶端軟件。認證者認證者一般為交換機等接入設備。該設備的職責是依照認證客戶端當前的認證狀態(tài)控制其與網絡的連接狀態(tài)。扮演認證者角色的設備有兩各種類的端口：受控端口（controlledPort）和非受控端口uncontrolledPort）。其中，連接在受控端口的用戶只有經過認證才能接見網絡資源；而連接在非受控端口的用戶不用經過認證便能夠直接接見網絡資源。把用戶連接在受控端口上，便能夠實現對用戶的控制；非受控端口主若是用來連接認證服務器，以便保證服務器與交換機的正常通訊。認證服務器認證服務器平時為RADIUS服務器。認證服務器在認證過程中與認證者配合，為用戶提供認證服務。認證服務器保留了用戶名及密碼，以及相應的授權信息，一臺認證服務器能夠對多臺認證者提供認證服務，這樣就可以實現對用戶的集中管理。認證服務器還負責管理從認證者發(fā)來的審計數據。微軟公司的WindowsServer2003操作系統(tǒng)自帶有RADIUS服務器組件。實驗拓撲圖安裝RADIUS服務器在"控制面板"中雙擊"增加或刪除程序"，在彈出的對話框中選擇"增加/刪除Windows組件"在彈出的"Windows組件導游"中選擇"網絡服務"組件，單擊"詳細信息"勾選"Internet考據服務"子組件，確定，此后單擊"下一步"進行安裝在"控制面板"下的"管理工具"中打開"Internet考據服務"窗口創(chuàng)辦用戶賬戶RADIUS服務器安裝好此后，需要為所有經過認證才能夠接見網絡的用戶在RADIUS服務器中創(chuàng)辦賬戶。這樣，當用戶的計算機連接到啟用了端口認證功能的交換機上的端口上時，啟用了認證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠接見網絡中的資源。在"控制面板"下的"管理工具"中打開"計算機管理"，選擇"當地用戶和組"為了方便管理，我們創(chuàng)辦一個用戶組"802.1x"特地用于管理需要經過認證的用戶賬戶。鼠標右鍵單擊"組"，選擇"新建組"，輸入組名后創(chuàng)辦組。在增加用戶從前，必定要提前做的是，打開"控制面板"-"管理工具"下的"當地安全策略"，依次選擇"賬戶策略"-"密碼策略"，啟用"用可還原的加密來儲蓄密碼"策略項。否則今后認證的時候將會出現以下錯誤提示。設置遠程接見策略在RADIUS服務器的”Internet考據服務”窗口中，需要為Cisco2950交換機以及經過該交換機進行認證的用戶設置遠程接見策略。詳細方法以下：新建遠程接見策略，鼠標右鍵單擊"遠程接見策略"，選擇"新建遠程接見策略"選擇配置方式，這里我們使用導游模式選擇接見方法，以太網選擇授權方式，將從前增加的"802.1x"用戶組加入同意列表選擇身份考據方法，"MD5-質詢"確認設置信息只保留新建的接見策略，刪掉其他的創(chuàng)辦RADIUS客戶端需要說明的是，這里要創(chuàng)辦的RADIUS客戶端，是指近似于圖3中的交換機設備，在實質應用中也能夠是VPN服務器、無線AP等，而不是用戶端的計算機。RADIUS服務器只會接受由RADIUS客戶端設備發(fā)過來的央求，為此需要在RADIUS服務器上來指定RADIUS客戶端。以圖3的網絡拓撲為例，詳細步驟以下：新建RADIUS客戶端。鼠標右鍵單擊"RADIUS客戶端"，選擇"新建RADIUS客戶端"設置共享密鑰和認證方式。認證方式選擇"RADIUSStandard"，密鑰請記好，等會配置交換機的時候這個密鑰要同樣。顯示已創(chuàng)辦的RADIUS客戶端在交換機上啟用認證體系現在對支持IEEE802.1x認證協(xié)議的交換機進行配置，使它能夠接授用戶端的認證央求，并將央求轉發(fā)給RADIUS服務器進行認證，最后將認證結果返回給用戶端。在拓撲圖中：因此我們實驗時只對FastEthernet0/5端口進行認證，其他端口可不進行設置。詳細操作以下：使用Console口登陸交換機，設置交換機的管理IP地址在交換機上啟用AAA認證Cisco2950#configureterminalCisco2950(config)#aaanew-model(啟用AAA認證)Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(啟用dot1x認證)Cisco2950(config)#dot1xsystem-auth-control(啟用全局dot1x認證)指定RADIUS服務器的IP地址和交換機與RADIUS服務器之間的共享密鑰配置交換機的認證端口，能夠使用interfacerange命令批量配置端口，這里我們只對FastEthernet0/5啟用認證Cisco2950(config)#interfacefastEthernet0/5Cisco2950(config-if)#switchportmodeaccess(設置端口模式為access)Cisco2950(config-if)#dot1xport-controlauto(設置802.1x認證模式為自動)Cisco2950(config-if)#dot1xtimeoutquiet-period10(設置認證失敗重試時間為10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30(設置認證失敗重連時間為30秒)Cisco2950(config-if)#dot1xreauthentication(啟用802.1x認證)Cisco2950(config-if)#spanning-treeportfast(開啟端口portfast特點)Cisco2950(config-if)