ISA为非域成员通过RADIUS验证域用户的方法来控制用户上网.pdf

ISA 为非域成员通过RADIUS 验证域用户的方法来控制用户上网 问题：我的环境是：ISA 2004 中文简体标准 （独立的工作组+代理）+域环境。我想在ISA 上面通过验证域 用户的方法来控制用户上网，而不是通过IP 来控制。主要解决的问题是ISA 如何才可以验证域用户。 本文的试验网络结构如下图所示： IAS DC DNS I S internet A 192.168.0.2 0 4 2003 域 客户机器 192.168.0.1 192.168.0.3 后来用2003 里面的“Internet 身份验证服务（IAS 服务）”来解决的。 通过 添加/删除Windows 程序 来添加 IAS 服务。（默认是没有安装的） 本文中的试验步骤如下： 在IAS 服务器上配置识别ISA 防火墙为IAS 客户； 在IAS 服务器上创建Web 代理用户使用的远程访问策略； 配置ISA 防火墙使用RADIUS 验证Web 代理用户； 在ISA 防火墙创建访问规则允许IAS 用户的访问； 测试； 在IAS 服务器上配置识别ISA 防火墙 IAS 客户 在IAS 服务器上运行管理工具下的Internet 验证服务，在Internet 验证服务控制台，右击RADIUS 客户，然后 点击新建RADIUS 客户；（图片1） 在此 输入ISA 防火墙内部接口的IP 地址 192.168.0.1，点击 下一步。（图片2 ） 在附加信息页，共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入，此共享密钥将会同样在ISA 防火 墙上配置使用，然后勾选请求必须包含消息验证者属性，点击完成；（图片3 ）（图片4 ） 在IAS 服务器上创建Web 代理用户使用的远程访问策略 在Internet 验证服务控制台，点击远程访问策略节点，然后右击右面板的空白处，选择新建远 程访问策略； （图片5 ） 选择创建一个自定义策略，在策略名字栏输入一个名字，在此 们命名为Web daili，点击下一 步； （图片6 ） 在策略条件页 点添加。在弹出的属性选择对话框，选择Windows 组，点击添加； （图片7 ） 在弹出的组对话框，点击添加； （图片8） 输入 计算机 ，点击确定； （图片9 ） 在组对话框上点击确定。 在策略条件页上列出了 刚才创建的条件，你可以根据你的需要加入其他条件，例如最常用的日 期和时间限制条件等，点击下一步； （图片10） 在权限页，选择授权远程访问权限，点击下一步； （图片11） 在配置文件页，点击编辑配置文件. 在弹出的编辑拨入配置文件对话框，点击身份验证标签，然后勾选未加密的身份验证（PAP，SPA P），然后点击确定； （图片12） 在弹出的拨入配置提示对话框上点击No，然后在配置文件页点击下一步； （图片13） 配置ISA 防火墙使用RADIUS 验证Web 代理用户 在ISA 管理控制台，展开对应阵列下的配置，再点击网络，然后右击内 网络，选择属性； （图片 14） 在弹出的内 网络属性页，点击Web 代理标签，然后点击身份验证； （图片15） 在弹出的身份验证对话框， 消默认的集成身份验证方式的选择； 在弹出的警告框上点击确定； 然后选择RADIUS，然后点击RADIUS 服务器； （图片16） 在弹出的RADIUS 服务器对话框，点击添加。在添加RADIUS 服务器对话框，在服务器名栏中输入RADIUS 服务器的IP 地 址192.168.0.2。 后点击共享密钥栏的修改按钮；在弹出的共享密钥对话框，输入并确认共享密钥，这个和在IAS 服务器上 所设置的共享密钥必须完全一致， 后点击确定； （图片17） 然后 点3 个确定就OK ！ 在ISA 防火墙创建访问规则 允许RADIUS 用户的访问 RADIUS 用户是在DC 上面的。所以就可以用ISA 来控制DC 上面的用户来上网了！ 下面两图是创建规则时选择用户的图