使用RADIUS来验证Web代理用户.doc

使用RADIUS来验证Web代理用户 内容概要：这篇文章最初的创意来自ldw710430，只是由于他比较忙，我来帮他写出来而已:)。远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议，通过与RADIUS服务器的通讯，未加入域的ISA防火墙可以对域中的用户进行身份验证以及根据RADIUS服务器上的访问策略来决定是否允许用户的访问。除了为VPN客户提供身份验证及授权访问外，利用ISA Server 2004新增的特性，你还可以通过RADIUS服务器来验证和授权Web代理客户的访问，通过这篇文章，你可以学习到如何配置ISA防火墙来实现。　 远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议。RADIUS客户端（通常是拨号服务器、虚拟专用网络 (VPN) 服务器或无线访问点）以RADIUS消息的形式将用户凭据和连接参数信息发送到RADIUS服务器，RADIUS服务器将用户身份信息转送到一个认证服务器上（在域环境中，这个认证服务器是活动目录的域控制器），认证服务器响应RADIUS服务器的身份验证请求，然后RADIUS服务器响应RADIUS客户端的身份验证请求。如果用户提交的身份验证信息有效并且用户获得连接授权，那么允许该客户连接；如果身份验证信息无效或者用户没有获得授权，那么连接将被拒绝。因此，如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准，可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。 在Windows Server系列中，微软同样提供了RADIUS服务器，不过称为Internet身份验证服务器（IAS，Internet Authentication Server），你可以通过添加/删除Windows程序来添加，本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账，但是在ISA 2004中，除了可以在VPN服务中部署RADIUS身份验证外，你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务，位于非域环境下的ISA Server就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时，你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证（即密码身份验证协议(PAP)或 Shiva 密码身份验证协议(SPAP)），否则Web代理客户将不能通过IAS服务器的身份验证。 如果ISA防火墙配置为使用RADIUS认证，那么它成为一个RADIUS客户端，并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以，为了让RADIUS正常工作，你必须同时配置RADIUS服务器和ISA防火墙。 　 本文的试验网络结构如下图所示： 内部网络IP地址范围为/24，部署了内部域CONTOSO.COM。Berlin上安装了ISA 2004企业版作为边缘防火墙，连接内部和Internet，并没有加入域；Denver是DC、DNS、IAS服务器；Perth是内部网络中的一台客户机，加入了域CONTOSO.COM；Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。 　 各计算机的TCP/IP设置如下，在试验之前已经确认了网络连接工作正常： Berlin（ISA 2004）： LAN Interface： IP：/24 DG：None DNS：None 　 Internet Interface： IP：/24 DG： DNS：None 　 Denver（IAS/DC/DNS）： LAN Interface： IP：/24 DG： DNS： 　 Perth： LAN Interface： IP：/24 DG： DNS： Istanbul： Internet Interface IP：/24 DG： DNS：None 本文中的试验步骤如下： 在RADIUS服务器上配置识别ISA防火墙为RADIUS客户； 在RADIUS服务器上创建Web代理用户使用的远程访问策略； 配置ISA防火墙使用RADIUS验证Web代理用户； 在ISA防火墙创建访问规则允许RADIUS用户的访问； 测试； 在RADIUS服务器上配置识别ISA防火墙为RADIUS客户 为了启用RADIUS身份验证，我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户，执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户： 在IAS服务器上运行管理工具下的Intern