Radius認證服務器的配置與應用(802.1x)

Radius認證服務器的配置與應用(802.1x)

作者：北京師范大學珠海分校 - 信息技術學院 - 姜南

環(huán)境：Windows 2003 Radius服務器+Cisco 2950交換機+Windows XP/2003客戶端

IEEE 802.1x協(xié)議

IEEE 802.1x是一個基于端口的網(wǎng)絡訪問控制協(xié)議，該協(xié)議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而實現(xiàn)認證與業(yè)務的分離，保證了網(wǎng)絡傳輸?shù)男省EEE 802系列局域網(wǎng)（LAN）標準占據(jù)著目前局域網(wǎng)應用的主要份額，但是傳統(tǒng)的IEEE 802體系定義的局域網(wǎng)不提供接入認證，只要用戶能接入集線器、交換機等控制設備，用戶就可以訪問局域網(wǎng)中其他設備上的資源，這是一個安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。IEEE 802.1x是一種基于端口的網(wǎng)絡接入控制技術，在局域網(wǎng)設備的物理接入級對接入設備（主要是計算機）進行認證和控制。連接在交換機端口上的用戶設備如果能通過認證，就可以訪問局域網(wǎng)內的資源，也可以接入外部網(wǎng)絡（如Internet）；如果不能通過認證，則無法訪問局域網(wǎng)內部的資源，同樣也無法接入Internet，相當于物理上斷開了連接。

IEEE 802. 1x協(xié)議采用現(xiàn)有的可擴展認證協(xié)議（Extensible Authentication Protocol，EAP），它是IETF提出的PPP協(xié)議的擴展，最早是為解決基于IEEE 802.11標準的無線局域網(wǎng)的認證而開發(fā)的。雖然IEEE802.1x定義了基于端口的網(wǎng)絡接入控制協(xié)議，但是在實際應用中該協(xié)議僅適用于接入設備與接入端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持IEEE 802.1x協(xié)議。

RADIUS服務器

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證服務）服務器提供了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即提供了3A功能。其中審計也稱為“記賬”或“計費”。

RADIUS協(xié)議采用了客戶機/服務器（C/S）工作模式。網(wǎng)絡接入服務器（Network Access Server，NAS）是RADIUS的客戶端，它負責將用戶的驗證信息傳遞給指定的RADIUS服務器，然后處理返回的響應。RADIUS服務器負責接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信息給客戶端用戶，也可以作為其他RADIUS服務器或其他類認證服務器的代理客戶端。服務器和客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗證，客戶端和RADIUS服務器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全性。

基于IEEE 802.1x認證系統(tǒng)的組成

一個完整的基于IEEE 802.1x的認證系統(tǒng)由認證客戶端、認證者和認證服務器3部分（角色）組成。

認證客戶端。認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡服務的訪問，并對認證者的請求報文進行應答。認證客戶端必須運行符合IEEE 802.1x 客戶端標準的軟件，目前最典型的就是Windows XP操作系統(tǒng)自帶的IEEE802.1x客戶端支持。另外，一些網(wǎng)絡設備制造商也開發(fā)了自己的IEEE 802.1x客戶端軟件。

認證者認證者一般為交換機等接入設備。該設備的職責是根據(jù)認證客戶端當前的認證狀態(tài)控制其與網(wǎng)絡的連接狀態(tài)。扮演認證者角色的設備有兩種類型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，連接在受控端口的用戶只有通過認證才能訪問網(wǎng)絡資源；而連接在非受控端口的用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡資源。把用戶連接在受控端口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認證服務器，以便保證服務器與交換機的正常通訊。

認證服務器認證服務器通常為RADIUS服務器。認證服務器在認證過程中與認證者配合，為用戶提供認證服務。認證服務器保存了用戶名及密碼，以及相應的授權信息，一臺認證服務器可以對多臺認證者提供認證服務，這樣就可以實現(xiàn)對用戶的集中管理。認證服務器還負責管理從認證者發(fā)來的審計數(shù)據(jù)。微軟公司的Windows Server 2003操作系統(tǒng)自帶有RADIUS服務器組件。

實驗拓撲圖

安裝RADIUS服務器

如果這臺計算機是一臺Windows Server 2003的獨立服務器（未升級成為域控制器，也未加入域），則可以利用SAM來管理用戶賬戶信息；如果是一臺Windows Server 2003域控制器，則利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動目錄數(shù)據(jù)庫管理用戶賬戶信息要比利用SAM來安全、穩(wěn)定，但RADIUS服務器提供的認證功能相同。為便于實驗，下面以一臺運行Windows Server 2003的獨立服務器為例進行介紹，該計算機的IP地址為172.16.2.254。

在"控制面板"中雙擊"添加或刪除程序"，在彈出的對話框中選擇"添加/刪除Windows組件"

在彈出的"Windows組件向導"中選擇"網(wǎng)絡服務"組件，單擊"詳細信息"

勾選"Internet驗證服務"子組件，確定，然后單擊"下一步"進行安裝

在"控制面板"下的"管理工具"中打開"Internet驗證服務"窗口

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學習有所幫助,可以手機掃描二維碼進行捐贈