首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 使用RADIUS来验证Web代理用户
现在时间是: 2019-01-18 21:28
使用RADIUS来验证Web代理用户

(2005-08-14 20:02)
来源:ISA中文站

使用RADIUS来验证Web代理用户

内容概要:这篇文章最初的创意来自ldw710430,只是由于他比较忙,我来帮他写出来而已:)远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议,通过与RADIUS服务器的通讯,未加入域的ISA防火墙可以对域中的用户进行身份验证以及根据RADIUS服务器上的访问策略来决定是否允许用户的访问。除了为VPN客户提供身份验证及授权访问外,利用ISA Server 2004新增的特性,你还可以通过RADIUS服务器来验证和授权Web代理客户的访问,通过这篇文章,你可以学习到如何配置ISA防火墙来实现。 

远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议。RADIUS客户端(通常是拨号服务器、虚拟专用网络 (VPN) 服务器或无线访问点)以RADIUS消息的形式将用户凭据和连接参数信息发送到RADIUS服务器,RADIUS服务器将用户身份信息转送到一个认证服务器上(在域环境中,这个认证服务器是活动目录的域控制器),认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应RADIUS客户端的身份验证请求。如果用户提交的身份验证信息有效并且用户获得连接授权,那么允许该客户连接;如果身份验证信息无效或者用户没有获得授权,那么连接将被拒绝。因此,如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准,可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。

在Windows Server系列中,微软同样提供了RADIUS服务器,不过称为Internet身份验证服务器(IAS,Internet Authentication Server),你可以通过添加/删除Windows程序来添加,本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账,但是在ISA 2004中,除了可以在VPN服务中部署RADIUS身份验证外,你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务,位于非域环境下的ISA Server就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时,你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证(即密码身份验证协议(PAP)或 Shiva 密码身份验证协议(SPAP)),否则Web代理客户将不能通过IAS服务器的身份验证。

如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,你必须同时配置RADIUS服务器和ISA防火墙。
 

本文的试验网络结构如下图所示:

内部网络IP地址范围为10.1.1.0/24,部署了内部域CONTOSO.COM。Berlin上安装了ISA 2004企业版作为边缘防火墙,连接内部和Internet,并没有加入域;Denver是DC、DNS、IAS服务器;Perth是内部网络中的一台客户机,加入了域CONTOSO.COM;Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。

 

各计算机的TCP/IP设置如下,在试验之前已经确认了网络连接工作正常:

Berlin(ISA 2004):

LAN Interface:

  • IP:10.1.1.8/24

  • DG:None

  • DNS:None
     

Internet Interface:

  • IP:39.1.1.8/24

  • DG:39.1.1.1

  • DNS:None

 
Denver(IAS/DC/DNS):

LAN Interface:

  • IP:10.1.1.5/24

  • DG:10.1.1.8

  • DNS:10.1.1.5

 

Perth:

LAN Interface:

  • IP:10.1.1.2/24

  • DG:10.1.1.8

  • DNS:10.1.1.5


Istanbul:

Internet Interface

  • IP:39.1.1.7/24

  • DG:39.1.1.1

  • DNS:None

本文中的试验步骤如下:

  • 在RADIUS服务器上配置识别ISA防火墙为RADIUS客户;

  • 在RADIUS服务器上创建Web代理用户使用的远程访问策略;

  • 配置ISA防火墙使用RADIUS验证Web代理用户;

  • 在ISA防火墙创建访问规则允许RADIUS用户的访问;

  • 测试;

 



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] [6] 下一页>>
上一篇:How to :允许ISA防火墙从外部网络获取IP地址
下一篇:如何禁止使用MSN传送文件
相关信息:

[重要] ISA Server / TMG MBE 安全补丁(MS09-016安全公告) v1.1
ISA Server 与 Windows Server 2003 SP2 的兼容性问题 v1.1
[下载]支持VISTA的防火墙客户端应用程序
微软大中华区安全组文章合集 - ISA 服务器性能保障
ISA Server防火墙客户端(含SP2)下载 v4.0

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..