■河北 蓋俊飛 王春海
某連鎖企業(yè)在多個(gè)地方有分公司和辦事處。每個(gè)分公司配置了VPN 服務(wù)器為遠(yuǎn)程用戶(hù)提供接入。為了對(duì)這些分散在不同位置的VPN 服務(wù)器提供統(tǒng)一身份驗(yàn)證,使用總公司的Active Directory服務(wù)器作為RADIUS,為不同公司的VPN 服務(wù)器提供身份驗(yàn)證服務(wù),網(wǎng)絡(luò)拓?fù)淙鐖D1所示。
在圖1中,Active Directory 服務(wù)器配置為RADIUS 服務(wù)器(這是一臺(tái)Windows Server 2008 R2的服務(wù)器,升級(jí)到Active Directory 服務(wù)器),防火墻(圖中IP 地址為101.n1.n2.82的服務(wù)器)將RADIUS 服務(wù)器的端口發(fā)布到Internet。其他分公司或辦事處的VPN 服務(wù)器(圖中的VPN 服務(wù)器2 至VPN 服務(wù)器5)配置使用IP 地址為101.n1.n2.82的RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證。圖中的VPN 服務(wù)器是總部的VPN 服務(wù)器,直接使用192.168.1.15 的RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證。
在總公司Active Directory 的服務(wù)器上創(chuàng)建組織單位、添加用戶(hù)、添加網(wǎng)絡(luò)策略服務(wù)器并進(jìn)行配置,主要內(nèi)容如下:
1.在總公司Active Directory 服務(wù)器上根據(jù)分公司、辦事處創(chuàng)建組織單位,再在組織單位中創(chuàng)建用戶(hù)。然后修改用戶(hù)屬性,在“撥入”選項(xiàng)卡中選擇“允許訪問(wèn)”。
2.打開(kāi)“服務(wù)器管理器”添加角色,添加“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)→網(wǎng)絡(luò)策略服務(wù)器”。
3.安裝完成后,打開(kāi)“網(wǎng)絡(luò)策略服務(wù)器”,在“RADIUS客戶(hù)端和服務(wù)器→RADIUS客戶(hù)端”中添加RADIUS 客戶(hù)端。
4.如果要添加新的RADIUS 客戶(hù)端,用鼠標(biāo)右鍵單擊RADIUS 客戶(hù)端,選擇“新建”,彈出“新建RADIUS客戶(hù)端”的對(duì)話框,在“友好名稱(chēng)”文本框中輸入新建的RADIUS 客戶(hù)端的顯示名稱(chēng),在“地址”欄中輸入要添加的RADIUS 客戶(hù)端的IP 地址,本示例中這些IP 地址是圖1 中各VPN 服務(wù)器外網(wǎng)的IP地址,然后在“共享機(jī)密”處輸入機(jī)密文字用以在RADIUS客戶(hù)端連接RADIUS 服務(wù)器端時(shí)確認(rèn)。每一臺(tái)遠(yuǎn)程的VPN 服務(wù)器都需要添加一個(gè)RADIUS 客戶(hù)端。
5.在“策略→連接請(qǐng)求策略”中,修改Use Windows authentication for all users 策略,在“條件”選項(xiàng)卡設(shè)置此策略的條件,在此選擇任意的日期和時(shí)間。在“設(shè)置”選項(xiàng)卡,設(shè)置身份驗(yàn)證方法和連接請(qǐng)求,根據(jù)用戶(hù)的實(shí)際情況選擇,一般選擇“受保護(hù)的EAP”、安全密碼(EAP-MSCHAP V2)等EAP類(lèi)型與身份驗(yàn)證方法。
圖1 VPN、RADIUS 拓?fù)鋱D
6.在“策略→網(wǎng)絡(luò)策略”新建策略,在“約束”選項(xiàng)卡中設(shè)置身份驗(yàn)證方法,在此根據(jù)實(shí)際情況進(jìn)行設(shè)置。
至此RADIUS 服務(wù)器配置完成,接下來(lái)是在防火墻中將RADIUS 服務(wù)器的端口發(fā)布到Internet。
RADIUS 服務(wù)器使用UDP的1812、1813 端口對(duì)外提供服務(wù)。如果要發(fā)布RADIUS服務(wù)器,可以將防火墻外網(wǎng)的UDP 的1812、1813 端口映射給RADIUS 服務(wù)器上。任何一臺(tái)硬件、軟件防火墻可以實(shí)現(xiàn)這個(gè)功能。我們當(dāng)時(shí)這個(gè)項(xiàng)目是使用的Forefront TMG 2010 的 軟件防火墻,VPN 也是使用TMG 2010 配置實(shí)現(xiàn)的。所以本文以TMG 2010 為例進(jìn)行介紹,如果你是其他的防火墻或VPN 服務(wù)器,進(jìn)行類(lèi)似的配置就行,主要原理都是一樣的。
在圖1 中的防火墻服務(wù)器中,在TMG 管理控制臺(tái)的防火墻策略中,創(chuàng)建名為RADIUS-Server 的協(xié)議,協(xié)議類(lèi)型為UDP、端口范圍為1812-1813,方向?yàn)榻邮瞻l(fā)送。然后創(chuàng)建非Web 服務(wù)器發(fā)布規(guī)則,通訊協(xié)議選擇RADIUS-Server,發(fā)布的目標(biāo)為192.168.1.15(圖1 中RADIUS Server 的內(nèi)網(wǎng)IP 地址)。
在配置好了RADIUS 服務(wù)器,并把RADIUS 服務(wù)器發(fā)布到Internet 之后,可以配置各VPN 服務(wù)器。對(duì)于圖1 中的VPN 服務(wù)器1 來(lái)說(shuō),因?yàn)镽ADIUS 服務(wù)器與VPN 服務(wù)器1 都在同一個(gè)網(wǎng)絡(luò)中,所以指定RADIUS 服務(wù)器的時(shí)候,直接使用RADIUS 服務(wù)器的內(nèi)網(wǎng)地址即可;而對(duì)于服務(wù)器1 以外的其他VPN 服務(wù)器,在指定RADIUS 服務(wù)器的IP地址時(shí),需要指定RADIUS 服務(wù)器防火墻的外網(wǎng)地址。下面一一介紹(本文的VPN 服務(wù)器仍然以Forefront TMG 2010 為例)。
1.在VPN 服務(wù)器1 的TMG 控制臺(tái)中,在“遠(yuǎn)程訪問(wèn)策略(VPN)→VPN 客戶(hù)端”中單擊“指定RADIUS 配置”鏈接,在“遠(yuǎn)程訪問(wèn)策略(VPN)屬性”對(duì)話框中,在RADIUS 選項(xiàng)卡中單擊“使用RADIUS 進(jìn)行身份驗(yàn)證”,然后單擊“RADIUS 服務(wù)器”按鈕。
2.在RADIUS 服務(wù)器對(duì)話框中單擊“添加”按鈕,在彈出的“編輯RADIUS 服務(wù)器”對(duì)話框中,在服務(wù)器名中輸入要使用的RADIUS 服務(wù)器的IP 地址,本示例中RADIUS 服務(wù)器與VPN 服務(wù)器處在同一個(gè)局域網(wǎng)中,所以使用RADIUS 服務(wù)器本身的IP 地 址192.168.1.15,服務(wù)器描述寫(xiě)上標(biāo)識(shí)名稱(chēng),在“共享的機(jī)密”中單擊“更改”按鈕,輸入新建VPN 客戶(hù)端時(shí),為RADIUS 客戶(hù)端指定的共享密碼(一般情況下在新建RADIUS 客戶(hù)端時(shí),不同的RADIUS 客戶(hù)端的共享密鑰都不同),身份驗(yàn)證端口選擇1812。設(shè)置完成后單擊“確定”按鈕完成設(shè)置。
配置完成后返回TMG 2010,單擊“應(yīng)用”按鈕讓設(shè)置生效。
對(duì)于VPN 服務(wù)器2~VPN服務(wù)器5,在指定RADIUS 服務(wù)器時(shí),使用圖1 中防火墻服務(wù)器的外網(wǎng)地址101.n1.n2.82,這些不一一介紹。
在配置好VPN 服務(wù)器之后,外網(wǎng)用戶(hù)可以創(chuàng)建VPN客戶(hù)端連接到各VPN 服務(wù)器。在此大家應(yīng)該注意,本示例中有5 臺(tái)VPN 服務(wù)器,每臺(tái)VPN 服務(wù)器的外網(wǎng)地址都不同,那是不是對(duì)于客戶(hù)來(lái)說(shuō)需要?jiǎng)?chuàng)建5 個(gè)VPN 連接,在需要訪問(wèn)不同的分公司(或辦事處)時(shí)撥叫不同的VPN服務(wù)器呢?實(shí)際上,我使用Windows 連接管理器定制的VPN 客戶(hù)端連接程序,將這5臺(tái)VPN 服務(wù)器都集成到了一個(gè)客戶(hù)端,在需要訪問(wèn)不同的服務(wù)器時(shí),只需要在列表中選擇不同的VPN 服務(wù)器地址即可配置好的VPN 客戶(hù)端使用步驟簡(jiǎn)單介紹如下。
1.運(yùn)行VPN 客戶(hù)端連接程序,在連接之前單擊“屬性”按鈕。
2.在“VPN 選項(xiàng)卡”中的VPN 目的地下拉列表中選擇目標(biāo)VPN 服務(wù)器,單擊“確定”按鈕返回。然后在VPN 客戶(hù)端連接程序里單擊“連接”按鈕即可連接到指定的VPN服務(wù)器。