08VPN+RADIUS【荐】.pptVIP

VPN的身份验证方法 　　CHAP：CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。MD5算法, MS-CHAP：同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 　　MS-CHAP v2：MS-CHAP 　　v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP 　　v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。　　EAP：EAP的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。 　　在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。?? RADIUS概述 RADIUS:(Remote Authentication Dial-In User Serviece)是一种“客户/服务器(Client/Server)”的通信协议，它使RADIUS客户端可以将验证用户身份、授权与记帐等工作转给RADIUS服务器来运行；或是转给RADIUS代理服务器，然后再由它转给另外一台RADIUS服务器。 通过Internet Authentication Service (IAS)来让我们架设RADIUS服务器与RADIUS代理服务器。 本章目标 了解远程访问服务概述 了解虚拟专用网络(VPN)概述 理解虚拟专用网络(VPN)工作原理 掌握虚拟专用网络VPN的搭建和管理 了解RADIUS和IAS概述 掌握RADIUS的工作原理 掌握RADIUS的搭建和管理 RADIUS 和 IAS Windows 2003-Based Server Running IAS Windows 2003-Based Server Running Routing and Remote Access Internet RADIUS Server RADIUS Client VPN server Vpn Client RADIUS与IAS的运作流程 IAS RADIUS服务器 身份验证 授权记账 远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自客户端的连接请求。 存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记帐的工作。 IAS RADIUS服务器会检查用户的帐户名称与密码是否正确，并且利用用户的帐户设置与远程访问策略内的设置，来决定用户是否有权限来连接。 若用户有权限来连接，它会通知存取服务器，再由存取服务器让客户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将此次的连接请求记录下来。 IAS RADIUS服务器在检查用户身份与帐户设置时，它可以从以下所列的用户帐户数据库中得到这些信息： IAS RADIUS服务器的本机安全性数据库，也就是安全帐户管理器（SAM）。 Windows NT4.0的域用户帐户数据库。 Active Directory数据库 后两者要求IAS RADIUS服务器必须是域的成员，此时它所读取的帐户可以是所属域内的帐户，或是有双向信任关系的其他域内的帐户。 RADIUS与IAS的运作流程 本章目标 了解远程访问服务概述 了解虚拟专用网络(VPN)概述 理解虚拟专用网络(VPN)工作原理 掌握虚拟专用网络VPN的搭建和管理 了解RADIUS和IAS概述 掌握RADIUS的工作原理 掌握RADIUS的搭建和管理 静态IP地址 安装IAS组件 配置radius服务器，指定radius客户端 配置VPN服务器（即radius客户端），指定radius服务器 测试（添加用户，给拨入权限，客户端测试） 简略步骤 安装与注册IAS服务器 配置 IAS 服务器 指定客户端 客户端设置 也可添入NETBIOS 名称，然后验证 若客户端是运行RAS的 Win03，则选择Microsoft, 否则选RADIUS Standard RAS与ISA上的密码须一致, 注意密