使用RADIUS 實(shí)現(xiàn)統(tǒng)一身份認(rèn)證

■河北 蓋俊飛 王春海

某連鎖企業(yè)在多個(gè)地方有分公司和辦事處。每個(gè)分公司配置了VPN 服務(wù)器為遠(yuǎn)程用戶提供接入。為了對(duì)這些分散在不同位置的VPN 服務(wù)器提供統(tǒng)一身份驗(yàn)證，使用總公司的Active Directory服務(wù)器作為RADIUS，為不同公司的VPN 服務(wù)器提供身份驗(yàn)證服務(wù)，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

在圖1中，Active Directory 服務(wù)器配置為RADIUS 服務(wù)器（這是一臺(tái)Windows Server 2008 R2的服務(wù)器，升級(jí)到Active Directory 服務(wù)器），防火墻（圖中IP 地址為101.n1.n2.82的服務(wù)器）將RADIUS 服務(wù)器的端口發(fā)布到Internet。其他分公司或辦事處的VPN 服務(wù)器（圖中的VPN 服務(wù)器2 至VPN 服務(wù)器5）配置使用IP 地址為101.n1.n2.82的RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證。圖中的VPN 服務(wù)器是總部的VPN 服務(wù)器，直接使用192.168.1.15 的RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證。

Active Directory 服務(wù)器端配置

在總公司Active Directory 的服務(wù)器上創(chuàng)建組織單位、添加用戶、添加網(wǎng)絡(luò)策略服務(wù)器并進(jìn)行配置，主要內(nèi)容如下：

1.在總公司Active Directory 服務(wù)器上根據(jù)分公司、辦事處創(chuàng)建組織單位，再在組織單位中創(chuàng)建用戶。然后修改用戶屬性，在“撥入”選項(xiàng)卡中選擇“允許訪問”。

2.打開“服務(wù)器管理器”添加角色，添加“網(wǎng)絡(luò)策略和訪問服務(wù)→網(wǎng)絡(luò)策略服務(wù)器”。

3.安裝完成后，打開“網(wǎng)絡(luò)策略服務(wù)器”，在“RADIUS客戶端和服務(wù)器→RADIUS客戶端”中添加RADIUS 客戶端。

4.如果要添加新的RADIUS 客戶端，用鼠標(biāo)右鍵單擊RADIUS 客戶端，選擇“新建”，彈出“新建RADIUS客戶端”的對(duì)話框，在“友好名稱”文本框中輸入新建的RADIUS 客戶端的顯示名稱，在“地址”欄中輸入要添加的RADIUS 客戶端的IP 地址，本示例中這些IP 地址是圖1 中各VPN 服務(wù)器外網(wǎng)的IP地址，然后在“共享機(jī)密”處輸入機(jī)密文字用以在RADIUS客戶端連接RADIUS 服務(wù)器端時(shí)確認(rèn)。每一臺(tái)遠(yuǎn)程的VPN 服務(wù)器都需要添加一個(gè)RADIUS 客戶端。

5.在“策略→連接請(qǐng)求策略”中，修改Use Windows authentication for all users 策略，在“條件”選項(xiàng)卡設(shè)置此策略的條件，在此選擇任意的日期和時(shí)間。在“設(shè)置”選項(xiàng)卡，設(shè)置身份驗(yàn)證方法和連接請(qǐng)求，根據(jù)用戶的實(shí)際情況選擇，一般選擇“受保護(hù)的EAP”、安全密碼（EAP-MSCHAP V2）等EAP類型與身份驗(yàn)證方法。

圖1 VPN、RADIUS 拓?fù)鋱D

6.在“策略→網(wǎng)絡(luò)策略”新建策略，在“約束”選項(xiàng)卡中設(shè)置身份驗(yàn)證方法，在此根據(jù)實(shí)際情況進(jìn)行設(shè)置。

至此RADIUS 服務(wù)器配置完成，接下來是在防火墻中將RADIUS 服務(wù)器的端口發(fā)布到Internet。

防火墻發(fā)布RADIUS 服務(wù)器

RADIUS 服務(wù)器使用UDP的1812、1813 端口對(duì)外提供服務(wù)。如果要發(fā)布RADIUS服務(wù)器，可以將防火墻外網(wǎng)的UDP 的1812、1813 端口映射給RADIUS 服務(wù)器上。任何一臺(tái)硬件、軟件防火墻可以實(shí)現(xiàn)這個(gè)功能。我們當(dāng)時(shí)這個(gè)項(xiàng)目是使用的Forefront TMG 2010 的 軟件防火墻，VPN 也是使用TMG 2010 配置實(shí)現(xiàn)的。所以本文以TMG 2010 為例進(jìn)行介紹，如果你是其他的防火墻或VPN 服務(wù)器，進(jìn)行類似的配置就行，主要原理都是一樣的。

在圖1 中的防火墻服務(wù)器中，在TMG 管理控制臺(tái)的防火墻策略中，創(chuàng)建名為RADIUS-Server 的協(xié)議，協(xié)議類型為UDP、端口范圍為1812-1813，方向?yàn)榻邮瞻l(fā)送。然后創(chuàng)建非Web 服務(wù)器發(fā)布規(guī)則，通訊協(xié)議選擇RADIUS-Server，發(fā)布的目標(biāo)為192.168.1.15（圖1 中RADIUS Server 的內(nèi)網(wǎng)IP 地址）。

VPN 服務(wù)器配置RADIUS 服務(wù)器

在配置好了RADIUS 服務(wù)器，并把RADIUS 服務(wù)器發(fā)布到Internet 之后，可以配置各VPN 服務(wù)器。對(duì)于圖1 中的VPN 服務(wù)器1 來說，因?yàn)镽ADIUS 服務(wù)器與VPN 服務(wù)器1 都在同一個(gè)網(wǎng)絡(luò)中，所以指定RADIUS 服務(wù)器的時(shí)候，直接使用RADIUS 服務(wù)器的內(nèi)網(wǎng)地址即可；而對(duì)于服務(wù)器1 以外的其他VPN 服務(wù)器，在指定RADIUS 服務(wù)器的IP地址時(shí)，需要指定RADIUS 服務(wù)器防火墻的外網(wǎng)地址。下面一一介紹（本文的VPN 服務(wù)器仍然以Forefront TMG 2010 為例）。

1.在VPN 服務(wù)器1 的TMG 控制臺(tái)中，在“遠(yuǎn)程訪問策略（VPN）→VPN 客戶端”中單擊“指定RADIUS 配置”鏈接，在“遠(yuǎn)程訪問策略（VPN）屬性”對(duì)話框中，在RADIUS 選項(xiàng)卡中單擊“使用RADIUS 進(jìn)行身份驗(yàn)證”，然后單擊“RADIUS 服務(wù)器”按鈕。

2.在RADIUS 服務(wù)器對(duì)話框中單擊“添加”按鈕，在彈出的“編輯RADIUS 服務(wù)器”對(duì)話框中，在服務(wù)器名中輸入要使用的RADIUS 服務(wù)器的IP 地址，本示例中RADIUS 服務(wù)器與VPN 服務(wù)器處在同一個(gè)局域網(wǎng)中，所以使用RADIUS 服務(wù)器本身的IP 地 址192.168.1.15，服務(wù)器描述寫上標(biāo)識(shí)名稱，在“共享的機(jī)密”中單擊“更改”按鈕，輸入新建VPN 客戶端時(shí)，為RADIUS 客戶端指定的共享密碼（一般情況下在新建RADIUS 客戶端時(shí)，不同的RADIUS 客戶端的共享密鑰都不同），身份驗(yàn)證端口選擇1812。設(shè)置完成后單擊“確定”按鈕完成設(shè)置。

配置完成后返回TMG 2010，單擊“應(yīng)用”按鈕讓設(shè)置生效。

對(duì)于VPN 服務(wù)器2～VPN服務(wù)器5，在指定RADIUS 服務(wù)器時(shí)，使用圖1 中防火墻服務(wù)器的外網(wǎng)地址101.n1.n2.82，這些不一一介紹。

VPN 客戶端使用

在配置好VPN 服務(wù)器之后，外網(wǎng)用戶可以創(chuàng)建VPN客戶端連接到各VPN 服務(wù)器。在此大家應(yīng)該注意，本示例中有5 臺(tái)VPN 服務(wù)器，每臺(tái)VPN 服務(wù)器的外網(wǎng)地址都不同，那是不是對(duì)于客戶來說需要?jiǎng)?chuàng)建5 個(gè)VPN 連接，在需要訪問不同的分公司（或辦事處）時(shí)撥叫不同的VPN服務(wù)器呢？實(shí)際上，我使用Windows 連接管理器定制的VPN 客戶端連接程序，將這5臺(tái)VPN 服務(wù)器都集成到了一個(gè)客戶端，在需要訪問不同的服務(wù)器時(shí)，只需要在列表中選擇不同的VPN 服務(wù)器地址即可配置好的VPN 客戶端使用步驟簡單介紹如下。

1.運(yùn)行VPN 客戶端連接程序，在連接之前單擊“屬性”按鈕。

2.在“VPN 選項(xiàng)卡”中的VPN 目的地下拉列表中選擇目標(biāo)VPN 服務(wù)器，單擊“確定”按鈕返回。然后在VPN 客戶端連接程序里單擊“連接”按鈕即可連接到指定的VPN服務(wù)器。