首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > 使用RADIUS来认证VPN用户
现在时间是: 2019-02-19 18:33
使用RADIUS来认证VPN用户

(2004-09-05 18:10)
来源:ISAServer.ORG
 

配置VPN访问策略

你需要建立访问规则来允许VPN客户网络访问内部网络。因为我们使用RADIUS认证,所以不能对VPN客户连接使用加强的基于用户和组的访问控制(注意,这个地方很容易混淆。Tom的意思是不能在访问规则对应的用户中使用基于组和用户的选择,但是对于协议和源、目的网络,仍然可以很好的控制)。所以,我强烈建议你在可能的时候,总是将ISA Server加入域。

例如,你不能只允许一个OWA Users组在连接到VPN服务器后访问你内部的OWA服务器,因为你只能允许所有用户。

下面我们将建立一个访问规则允许VPN用户只能通过SSL连接访问OWA站点。执行以下步骤来建立访问规则:

1.在ISA Server管理控制台,点击防火墙策略,然后点击任务面板中的任务标签,然后点击建立新的访问规则

2.欢迎使用新建访问规则向导页,为这个规则输入一个名字,在此我们命名为VPN Clients to Internal,点击下一步

3.规则动作页,选择允许

4.协议页,在这个规则应用到选择选择的协议,然后点击添加;在添加协议对话框,点击通用协议,然后双击HTTPS,然后点击关闭;在协议页点击下一步

5.源网络页,点击添加;在添加网络实体对话框,点击网络,然后双击VPN客户网络,点击关闭,点击下一步

6.目的网络页,点击添加;在添加网络实体对话框,点击新建,然后点击计算机新建计算机规则元素页,在名字文本框中输入一个名字,在此我们命名为OWA Site,然后输入OWA Site的IP地址,然后点击确定。在添加网络实体对话框,点击计算机,然后双击OWA Site,点击关闭,点击下一步

7.用户集页,点击下一步;然后在完成新建访问规则向导页点击完成

8、点击应用以保存修改和更新防火墙策略;

 

 

 

建立VPN远程访问连接

在远程VPN客户上建立VPN连接,你可以发现,你只能访问OWA站点,并且只能使用HTTPS进行访问。下图是ISA中的日志信息,VPN客户得到的IP地址是10.0.0.101。很奇怪的,你可以在ISA的记录中找到用户身份信息,但是就算你在访问规则中设置了对应的用户组,这个设置也是不起作用的。

往下我们可以看到客户发往OWA站点的连接请求。第六行就是我们建立的访问规则VPN Clients to Internal所允许的,但是,你看见用户名了吗?

我试着建立一个FTP连接,因为没有规则允许,我希望它被拒绝,并且它也被拒绝了。第三、四、五行就是拒绝的信息。同样了,它提供了用户名,所以我们相信,一定有办法来基于用户/组来控制使用RADIUS认证的VPN客户。



作者:Thomas W Shinder
责任编辑:风间子

<<上一页 [1] [2] [3] [4]
上一篇:ISA Server 2004 FAQ:VPN
下一篇:在背靠背ISA防火墙中配置远程VPN访问
相关信息:

在Firewall Client中使用ISA的IP地址
配置直接访问的站点:第二部分 配置防火墙客户和服务发布环境下的直接访问
ISA防火墙中的防火墙客户身份验证 v1.1
ISA Server 2004中的无人值守安装
How to :使用ISA Server 2004配置背靠背的防火墙环境

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..