《Radius认证服务器的配置与应用(8021).docx》由会员分享,可在线阅读,更多相关《Radius认证服务器的配置与应用(8021).docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Radius 认证效劳器的配置与应用(802.1x) 北京师范大学珠海分校 - 信息技术学院 - 姜南环境:Windows 2003 Radius 效劳器+Cisco 2950 交换机+Windows XP/2003 客户端IEEE 802.1x 协议IEEE 802.1x 是一个基于端口的网络访问掌握协议,该协议的认证体系构造中承受了“可控端口”和“不行控端口”的规律功能,从而实现认证与业务的分别,保证了网络传输的效率。IEEE 802 系列局域网LAN 标准占据着目前局域网应用的主要份额,但是传统的 IEEE 802 体系定义的局域网不供给接入认证,只要用户能接入集线器、交换机等掌握设备,
2、用户就可以访问局域网中其他设备上的资源,这是一个安全隐患, 同时也不便于实现对局域网接入用户的治理。IEEE 802.1x 是一种基于端口的网络接入掌握技术,在局域网设备的物理接入级对接入设备主要是计算机进展认证和掌握。连接在交换机端口上的用户设备假设能通过认证,就可以访问局域网内的资源,也可以接入外部网络如Internet;假设不能通过认证,则无法访问局域网内部的资源,同样也无法接入 Internet,相当于物理上断开了连接。IEEE 802. 1x 协议承受现有的可扩展认证协议Extensible Authentication Protocol,EAP,它是IETF 提出的 PPP 协议的
3、扩展,最早是为解决基于 IEEE 802.11 标准的无线局域网的认证而开发的。虽然IEEE802.1x 定义了基于端口的网络接入掌握协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是规律端口。典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网WLAN的接入方式。其中,前者是基于物理端口的,而后者是基于规律端口的。目前,几乎全部的以太网交换机都支持 IEEE 802.1x 协议。RADIUS 效劳器RADIUSRemote Authentication Dial In User Service
4、,远程用户拨号认证效劳效劳器供给了三种根本的功能:认证Authentication、授权Authorization和审计Accounting,即供给了3A 功能。其中审计也称为“记账”或“计费”。RADIUS 协议承受了客户机/效劳器C/S工作模式。网络接入效劳器Network Access Server,NAS是 RADIUS 的客户端,它负责将用户的验证信息传递给指定的 RADIUS 效劳器,然后处理返回的响应。RADIUS 效劳器负责接收用户的连接恳求,并验证用户身份,然后返回全部必需要配置的信息给客户端用户,也可以作为其他 RADIUS 效劳器或其他类认证效劳器的代理客户端。效劳器和客
5、户端之间传输的全部数据通过使用共享密钥来验证,客户端和 RADIUS 效劳器之间的用户密码经过加密发送,供给了密码使用的安全性。基于 IEEE 802.1x 认证系统的组成一个完整的基于 IEEE 802.1x 的认证系统由认证客户端、认证者和认证效劳器 3 局部角色组成。认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它恳求对网络效劳的访问,并对认证者的恳求报文进展应答。认证客户端必需运行符合 IEEE 802.1x 客户端标准的软件,目前最典型的就是 Windows XP 操作系统自带的 IEEE802.1x 客户端支持。另外,一些网络设备制造商也开发了自己的 IEEE 8
6、02.1x 客户端软件。认证者认证者一般为交换机等接入设备。该设备的职责是依据认证客户端当前的认证状态掌握其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口controlled Port和非受控端口uncontrolled Port。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的掌握; 非受控端口主要是用来连接认证效劳器,以便保证效劳器与交换机的正常通讯。认证效劳器认证效劳器通常为 RADIUS 效劳器。认证效劳器在认证过程中与认证者协作,为用户供给认证效劳。认证效劳
7、器保存了用户名及密码,以及相应的授权信息,一台认证效劳器可以对多台认证者供给认证效劳,这样就可以实现对用户的集中治理。认证效劳器还负责治理从认证者发来的审计数据。微软公司的 Windows Server 2003 操作系统自带有 RADIUS 效劳器组件。试验拓扑图安装 RADIUS 效劳器假设这台计算机是一台 Windows Server 2003的独立效劳器未升级成为域掌握器,也未参加域,则可以利用 SAM 来治理用户账户信息;假设是一台 Windows Server 2003 域掌握器,则利用活动名目数据库来治理用户账户信息。虽然活动名目数据库治理用户账户信息要比利用SAM 来安全、稳定
8、,但RADIUS 效劳器供给的认证功能一样。为便于试验,下面以一台运行Windows Server 2003的独立效劳器为例进展介绍,该计算机的 IP 地址为 172.16.2.254。在“掌握面板“中双击“添加或删除程序“,在弹出的对话框中选择“添加/删除 Windows 组件“在弹出的“Windows 组件向导“中选择“网络效劳“组件,单击“具体信息“勾选“Internet 验证效劳“子组件,确定,然后单击“下一步“进展安装在“掌握面板“下的“治理工具“中翻开“Internet 验证效劳“窗口创立用户账户RADIUS 效劳器安装好之后,需要为全部通过认证才能够访问网络的用户在 RADIUS
9、 效劳器中创立账户。这样,当用户的计算机连接到启用了端口认证功能的交换机上的端口上时,启用了 IEEE 802.1x 认证功能的客户端计算机需要用户输入正确的账户和密码后,才能够访问网络中的资源。在“掌握面板“下的“治理工具“中翻开“计算机治理“,选择“本地用户和组“为了便利治理,我们创立一个用户组“802.1x“特地用于治理需要经过 IEEE 802.1x 认证的用户账户。鼠标右键单击“组“,选择“建组“,输入组名后创立组。在添加用户之前,必需要提前做的是,翻开“掌握面板“-“治理工具“下的“本地安全策略“,依次选择“账户策略“-“密码策略“,启用“用可复原的加密来储存密码“策略项。否则以后
10、认证的时候将会消灭以下错误提示。接下来我们添加用户账户“0801010047“,设置密码“123“。鼠标右键单击“用户“,选择“用户“,输入用户名和密码,创立用户。将用户“0801010047“参加到“802.1x“用户组中。鼠标右键单击用户“0801010047“,选择“属性“。在弹出的对话框中选择“隶属于“,然后将其参加“802.1x“用户组中。设置远程访问策略在 RADIUS 效劳器的”Internet 验证效劳”窗口中,需要为 Cisco2950 交换机以及通过该交换机进展认证的用户设置远程访问策略。具体方法如下:建远程访问策略,鼠标右键单击“远程访问策略“,选择“建远程访问策略“选择
11、配置方式,这里我们使用向导模式选择访问方法,以太网选择授权方式,将之前添加的“802.1x“用户组参加许可列表选择身份验证方法,“MD5-质询“确认设置信息只保存建的访问策略,删掉其他的创立 RADIUS客户端需要说明的是,这里要创立的 RADIUS 客户端,是指类似于图 3 中的交换机设备,在实际应用中也可以是VPN 效劳器、无线 AP 等,而不是用户端的计算机。RADIUS 效劳器只会承受由 RADIUS 客户端设备发过来的恳求,为此需要在 RADIUS 效劳器上来指定 RADIUS 客户端。以图 3 的网络拓扑为例,具体步骤如下:建 RADIUS 客户端。鼠标右键单击“RADIUS 客户
12、端“,选择“建 RADIUS 客户端“设置RADIUS 客户端的名称和IP 地址。客户端IP 地址即交换机的治理IP 地址,我们这里是172.17.2.250, 等会说明如何配置。设置共享密钥和认证方式。认证方式选择“RADIUS Standard“,密钥请记好,等会配置交换机的时候这个密钥要一样。显示已创立的 RADIUS 客户端在交换机上启用认证机制现在对支持 IEEE 802.1x 认证协议的交换机进展配置,使它能够接授用户端的认证恳求,并将恳求转发给 RADIUS 效劳器进展认证,最终将认证结果返回给用户端。在拓扑图中:RADIUS 认证效劳器的 IP 地址为 172.17.2.254
13、/24交换机的治理 IP 地址为 172.16.2.250/24需要认证的计算机接在交换机的 FastEthernet0/5 端口上因此我们试验时只对 FastEthernet0/5 端口进展认证,其他端口可不进展设置。具体操作如下:使用 Console 口登陆交换机,设置交换机的治理 IP 地址Cisco2950enable Cisco2950#configure terminalCisco2950(config)#interface vlan 1 (配置二层交换机治理接口 IP 地址) Cisco2950(config-if)#ip address 172.17.2.250 255.255
14、.255.0 Cisco2950(config-if)#no shutdownCisco2950(config-if)#end Cisco2950#wr在交换机上启用 AAA 认证Cisco2950#configure terminal Cisco2950(config)#aaa new-model (启用 AAA 认证)Cisco2950(config)#aaa authentication dot1x default group radius (启用 dot1x 认证)Cisco2950(config)#dot1x system-auth-control (启用全局 dot1x 认证)指定
15、 RADIUS 效劳器的 IP 地址和交换机与 RADIUS 效劳器之间的共享密钥Cisco2950(config)#radius-server host 172.17.2.254 key slyar (设置验证效劳器 IP 及密钥) Cisco2950(config)#radius-server retransmit 3 (设置与 RADIUS 效劳器尝试连接次数为 3 次)配置交换机的认证端口,可以使用 interface range 命令批量配置端口,这里我们只对 FastEthernet0/5启用 IEEE 802.1x 认证Cisco2950(config)#interface fa
16、stEthernet 0/5Cisco2950(config-if)#switchport mode access (设置端口模式为 access) Cisco2950(config-if)#dot1x port-control auto (设置 802.1x 认证模式为自动) Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为 10 秒) Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重连时间为 30 秒) Cisco2950(config-if
17、)#dot1x reauthentication (启用 802.1x 认证)Cisco2950(config-if)#spanning-tree portfast (开启端口 portfast 特性) Cisco2950(config-if)#endCisco2950#wr测试 802.1x 认证接入1、将要进展认证接入的计算机接入交换机的 FastEthernet0/5 端口,设置 IP 地址为 172.17.2.5(任凭设置,只要不跟认证效劳器 IP 及交换机治理 IP 冲突即可)2、在“本地连接“的“验证“标签栏中启用 IEEE 802.1x 验证,EAP 类型设置为“MD5-质询“,其余选项可不选。3、假设之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进展验证4、点击之后会弹出类似锐捷客户端一样的登陆框,要求输入用户名和密码。这里我们输入之前配置的用户名“0801010047“,密码“123“,确定。5、验证成功后可以 ping 一下 172.17.2.254 进展验证,同时可以观看到交换机 FastEthernet0/5 端口指示灯已经由黄色变为绿色。为保证计算机支持 802.1x 验证,请确认 Wireless Configuration 效劳正常开启。6、可以通过“掌握面板“-“治理工具“中的“大事查看器“-“系统“子选项观看 802.1x 的验证日志。