RADIUS 是壹種用於在需要認證其鏈接的網絡訪問服務器(NAS)和***享認證服務器之間進行認證、授權和記帳信息的文檔協議。
RADIUS 的關鍵功能部件為:
客戶機/服務器體系結構 網絡訪問服務器(NAS)作為 RADIUS 客戶機運行。客戶機負責將訂戶信息傳遞至指定的 RADIUS 服務器,然後根據返回的響應進行操作。
RADIUS 服務器負責接收訂戶的連接請求、認證訂戶,然後返回客戶機所有必要的配置信息以將服務發送到訂戶。
RADIUS 服務器可以擔當其它 RADIUS 服務器或者是其它種類的認證服務器的代理。
網絡安全性:
通過使用加密的***享機密信息來認證客戶機和 RADIUS 服務器間的事務。從不通過網絡發送機密信息。此外,在客戶機和 RADIUS 服務器間發送任何訂戶密碼時,都要加密該密碼。 靈活認證機制:
RADIUS 服務器可支持多種認證訂戶的方法。當訂戶提供訂戶名和原始密碼時,RADIUS 可支持點對點協議(PPP)、密碼認證協議(PAP)、提問握手認證協議(CHAP)以及其它認證機制。
可擴展協議:
所有事務都由變長的三元組“屬性-長度-值”組成。可在不影響現有協議實現的情況下添加新屬性值。
如何配置 RADIUS 服務器
在“ISA 服務器管理”的控制臺樹中,單擊“常規”: 對於 ISA Server 2004 Enterprise Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“陣列”、“Array_Name”、“配置”,然後單擊“常規”。 對於 ISA Server 2004 Standard Edition,依次展開“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然後單擊“常規”。 在詳細信息窗格中,單擊“定義 RADIUS 服務器”。 在“RADIUS 服務器”選項卡上,單擊“添加”。 在“服務器名”中,鍵入要用於身份驗證的 RADIUS 服務器的名稱。 單擊“更改”,然後在“新機密”中,鍵入要用於 ISA 服務器與 RADIUS 服務器之間的安全通訊的***享機密。必須在 ISA 服務器與 RADIUS 服務器上配置相同的***享機密,RADIUS 通訊才能成功。 在“端口”中,鍵入 RADIUS 服務器要對傳入的 RADIUS 身份驗證請求使用的用戶數據報協議 (UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 服務器,請將端口值設置為 1645。 在“超時(秒)”中,鍵入 ISA 服務器將嘗試從 RADIUS 服務器獲得響應的時間(秒),超過此時間之後,ISA 服務器將嘗試另壹臺 RADIUS 服務器。 如果基於***享機密的消息驗證程序與每個 RADIUS 消息壹起發送,請選擇“總是使用消息驗證程序”。
註意:
要打開“ISA 服務器管理”,請單擊“開始”,依次指向“所有程序”、“Microsoft ISA Server”,然後單擊“ISA 服務器管理”。 當為 RADIUS 身份驗證配置 ISA 服務器時,RADIUS 服務器的配置會應用於使用 RADIUS 身份驗證的所有規則或網絡對象。 ***享機密用於驗證 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的***享機密且啟用了 RADIUS 的設備發送的。 請務必更改 RADISU 服務器上的默認預***享密鑰。 配置強***享密鑰,並經常更改,以防止詞典攻擊。強***享機密是壹串很長(超過 22 個字符)的隨機字母、數字和標點符號。 如果選擇“總是使用消息驗證程序”,請確保 RADIUS 服務器能夠接收並配置為接收消息驗證程序。 對於 VPN 客戶端,可擴展的身份驗證協議 (EAP) 消息始終是隨同消息驗證程序壹起發送的。對於 Web 代理客戶端,將僅使用密碼身份驗證協議 (PAP)。 如果 RADIUS 服務器運行了 Internet 身份驗證服務 (IAS),並且為此服務器配置的 RADIUS 客戶端選擇了“請求必須包含消息驗證程序屬性”選項,則必須選擇“總是使用消息驗證程序”。