創(chuàng)建RADIUS服務(wù)器

使用域管理員身份登錄某臺服務(wù)器，在服務(wù)器管理器中左側(cè)點擊“角色”項，在右側(cè)點擊“添加角色”鏈接，在向?qū)Ы缑嬷悬c擊“下一步”按鈕，在選擇服務(wù)器角色窗口中選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”項，在下一步窗口中選擇“網(wǎng)絡(luò)策略服務(wù)器”項，之后點擊“安裝”按鈕完成所需安裝操作。對于本機來說，可以在管理工具菜單中點擊“網(wǎng)絡(luò)策略服務(wù)器”項，來啟動網(wǎng)絡(luò)策略服務(wù)器。

在本例中，網(wǎng)絡(luò)策略服務(wù)器隸屬于域環(huán)境，所以需要在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本地）”項，在其右鍵菜單上點擊“在Active Directory中注冊服務(wù)器”項，系統(tǒng)會彈出提示窗口，點擊“確定”按鈕，將網(wǎng)絡(luò)策略服務(wù)器注冊到其所隸屬的域?；蛞杂蚬芾韱T身份登錄RADIUS服務(wù)器，在PowerShell界面執(zhí)行“netsh ras add registeredserver”命令實現(xiàn)同樣的效果。

最直接的方法是以域管理員身份登錄域控制器，在Active Directory管理中心中的“User”中雙擊“RAS and Servers”組，在其管理窗口左側(cè)點擊“添加”按鈕，將該RADIUS服務(wù)器添加到該組中。

管理RADIUS客戶端

在本例中，VPN服務(wù)器就是RADIUS客戶端。當(dāng)網(wǎng)絡(luò)策略服務(wù)器安裝后，系統(tǒng)默認(rèn)將其視為RADIUS服務(wù)器，需要指定RADIUS客戶端。

在RADIUS服務(wù)器上打開網(wǎng)絡(luò)策略服務(wù)器控制臺窗口，在左側(cè)選擇“NPS（本地）”→“RADIUS客戶端和服務(wù)器”→“RADIUS客戶端”項，在其右鍵菜單中點擊“新建”項，在新建RADIUS客戶端窗口（如圖1）中的“設(shè)置”面板中選擇“啟用此RADIUS客戶端”項，在“友好名稱”欄中輸入客戶端名稱（例如“VPN服務(wù)”），在“地址（IP或DNS）”欄中輸入VPN服務(wù)器的IP地址或計算機名稱，如果輸入的是計算機名稱，需要點擊“驗證”按鈕，來檢測是否可以解析到VPN服務(wù)器的IP地址。

在“共享機密”欄中選擇“手動”項，可以手工輸入密碼。也可以選擇“生成”項，讓系統(tǒng)自動創(chuàng)建密碼。

注意，密碼是區(qū)分大小寫的，在RADIUS客戶端也需要設(shè)置相同的密碼，否則RADIUS服務(wù)器將拒絕接受客戶端發(fā)送來的各種請求信息。

然后在“高級”面板中選擇“Microsoft”或者“RADIUS Standard” 項 均可。選擇“Accept-Request消息必須包含Message-Authenticator”項，表示雙方 采 用 了 PAP，CHAP，MSCHAP，MS-CHAP v2安全驗證方式的話，則需要RADIUS客戶端發(fā)送消息驗證程序?qū)傩?，這樣如果有假冒的RADIUS客戶端的話，就可以將其IP找出來，這樣可以提高雙方通訊的安全性。如果采用的是EAP驗證方式，則默認(rèn)選中該功能。

選擇“RADIUS客戶端支持NAP”項，表示客戶端需要支持網(wǎng)絡(luò)訪問保護功能，即客戶端必須是健康的。保存設(shè)置信息后，就可以將VPN服務(wù)器變成RADIUS客戶端了。在VPN服務(wù)器上打開路由和遠(yuǎn)程訪問控制臺，在左側(cè)點擊“路由和遠(yuǎn)程訪問”→“VPN（本地）”項，在屬性窗口中的“安全”面板中的“身份驗證提供程序”列表中選擇“RADIUS身份驗證”項。

圖1 新建RADIUS客戶端

點擊“配置”按鈕，在彈出窗口中點擊“添加”按鈕，在添加RADIUS服務(wù)器窗口（如圖2）中的“服務(wù)器名稱”欄中輸入RADIUS服務(wù)器IP，在“共享機密”欄中輸入上述密碼。在“超時”欄中設(shè)置合適的數(shù)值（默認(rèn)5秒）。如果VPN服務(wù)器將訪問請求發(fā)送給該RADIUS服務(wù)器后，在預(yù)設(shè)時間內(nèi)未收到回應(yīng)信息，就會將驗證請求發(fā)送給其他服務(wù)器，當(dāng)然，需要存在多臺RADIUS服務(wù)器方可。如果存在多臺RADIUS服務(wù)器的話，可以在“初始分?jǐn)?shù)”欄中為該RADIUS服務(wù)器設(shè)置優(yōu)先級參數(shù)，該值越大優(yōu)先級越高。在發(fā)送驗證請求時，VPN服務(wù)器會優(yōu)先將其發(fā)送給優(yōu)先級高的RADIUS服務(wù)器。在“端口”欄中可以更改RADIUS服務(wù)器的端口號，默認(rèn)為1812。

圖2 添加RADIUS服務(wù)器

選擇“一直使用消息驗證者”項，則需要RADIUS服務(wù)器端上選擇“Accept-Request消息必須包含Message-Authenticator”項與之匹配。在“安全”面板中的“記賬提供程序”列表中選擇“RADIUS記賬”項，表示VPN服務(wù)器將記賬操作轉(zhuǎn)交給RADIUS服務(wù)器來處理，所謂記賬指的是記錄每一個遠(yuǎn)程連接的狀態(tài)，例如接受或者拒絕遠(yuǎn)程連接，記錄其登錄和注銷操作等。點擊“配置”按鈕，可以對其進行配置，具體測操作比較簡單大體和上述相同，記賬服務(wù)的默認(rèn)端口號為1813。

設(shè)置RADIUS代理服務(wù)

在一些情況下，單一的RADIUS服務(wù)器時無法滿足需求的。這就需要使用RADIUS代理服務(wù)。那么，RADIUS服務(wù)器是自行處理連接請求，還是將其轉(zhuǎn)發(fā)給其他的RADIUS服務(wù)器，其實是由其內(nèi)置的連接請求策略決定。當(dāng)安裝好網(wǎng)絡(luò)策略服務(wù)器后，其實際上就變成了RADIUS服務(wù)器。通過設(shè)置連接請求策略，就可以確定是讓該RADIUS服務(wù)器來處理連接請求，還是交由另外的RADIUS服務(wù)器來處理驗證請求。在RADIUS服務(wù)器的網(wǎng)絡(luò)策略服務(wù)器控制臺左側(cè)點擊“NPS（本地）”→“策略”→“連接請求策略”項，在窗口右側(cè)顯示其內(nèi)置的名稱為“Use Windows authentication for all users”的連接請求策略，雙擊該策略，在其屬性窗口中的“條件”面板中顯示只要一個星期內(nèi)任意時段都可以連接的控制功能。

在“設(shè)置”面板中左側(cè)點擊“身份驗證”項，在右側(cè)默認(rèn)選擇“在此服務(wù)器上時請求進行身份驗證”項，表示直接由該RADIUS服務(wù)器對連接請求進行驗證。如果選擇“將請求轉(zhuǎn)發(fā)到以下遠(yuǎn)程RADIUS服務(wù)器組進行身份驗證”項，那么該機就會充當(dāng)RADIUS代理服務(wù)器的角色，在其下的列表中選擇RADIUS服務(wù)器組的特定RADIUS服務(wù)器。當(dāng)然，前提是必須創(chuàng)建RADIUS服務(wù)器組方可。如果選擇“不驗證憑據(jù)就接受用戶”項，則直接允許用戶的任意連接請求。

在網(wǎng)絡(luò)策略服務(wù)器控制臺左側(cè)選擇“NPS（本地）”→“RADIUS客戶端和服務(wù)器”→“遠(yuǎn)程RADIUS服務(wù)器組”項，在其右鍵菜單上點擊“新建”項，在彈出窗口的“組名”欄中設(shè)置RADIUS服務(wù)器組的名稱，點擊“添加”按鈕，在打開窗口中的“服務(wù)器”欄中輸入目標(biāo)RADIUS服務(wù)器的IP，點擊“驗證”按鈕，如果輸入的是計算機名稱，可以點擊“驗證”按鈕，檢測是否可以解析其IP。

按同樣的方法可以添加其他的RADIUS服務(wù)器。在上述窗口右側(cè)顯示創(chuàng)建的RADIUS服務(wù)器組信息，雙擊目標(biāo)組，在其屬性窗口中顯示包含的所有RADIUS服務(wù)器。雙擊目標(biāo)RADIUS服務(wù)器，在其屬性窗口中可以更改其地址、身份驗證方式、共享密碼等參數(shù)。在其中的“負(fù)載均衡”面板中可設(shè)置該RADIUS服務(wù)器的優(yōu)先級和權(quán)重，優(yōu)先級為1表示等級最高。當(dāng)RADIUS代理服務(wù)器在轉(zhuǎn)發(fā)連接請求時，首先轉(zhuǎn)發(fā)給優(yōu)先級高的RADIUS服務(wù)器。如果兩臺RADIUS優(yōu)先級相同，則比較其權(quán)重參數(shù)，權(quán)重越高，轉(zhuǎn)發(fā)的頻率就越高。