Radius認證服務器的配置與應用(802.1x)

Radius認證服務器的配置與應用(802.1x)

作者：北京師范大學珠海分校 - 信息技術學院 - 姜南

環境：Windows 2003 Radius服務器+Cisco 2950交換機+Windows XP/2003客戶端

IEEE 802.1x協議

IEEE 802.1x是一個基于端口的網絡訪問控制協議，該協議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而實現認證與業務的分離，保證了網絡傳輸的效率。IEEE 802系列局域網（LAN）標準占據著目前局域網應用的主要份額，但是傳統的IEEE 802體系定義的局域網不提供接入認證，只要用戶能接入集線器、交換機等控制設備，用戶就可以訪問局域網中其他設備上的資源，這是一個安全隱患，同時也不便于實現對局域網接入用戶的管理。IEEE 802.1x是一種基于端口的網絡接入控制技術，在局域網設備的物理接入級對接入設備（主要是計算機）進行認證和控制。連接在交換機端口上的用戶設備如果能通過認證，就可以訪問局域網內的資源，也可以接入外部網絡（如Internet）；如果不能通過認證，則無法訪問局域網內部的資源，同樣也無法接入Internet，相當于物理上斷開了連接。

IEEE 802. 1x協議采用現有的可擴展認證協議（Extensible Authentication Protocol，EAP），它是IETF提出的PPP協議的擴展，最早是為解決基于IEEE 802.11標準的無線局域網的認證而開發的。雖然IEEE802.1x定義了基于端口的網絡接入控制協議，但是在實際應用中該協議僅適用于接入設備與接入端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有兩種：一種是以太網交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網交換機都支持IEEE 802.1x協議。

RADIUS服務器

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證服務）服務器提供了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即提供了3A功能。其中審計也稱為“記賬”或“計費”。

RADIUS協議采用了客戶機/服務器（C/S）工作模式。網絡接入服務器（Network Access Server，NAS）是RADIUS的客戶端，它負責將用戶的驗證信息傳遞給指定的RADIUS服務器，然后處理返回的響應。RADIUS服務器負責接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信息給客戶端用戶，也可以作為其他RADIUS服務器或其他類認證服務器的代理客戶端。服務器和客戶端之間傳輸的所有數據通過使用共享密鑰來驗證，客戶端和RADIUS服務器之間的用戶密碼經過加密發送，提供了密碼使用的安全性。

基于IEEE 802.1x認證系統的組成

一個完整的基于IEEE 802.1x的認證系統由認證客戶端、認證者和認證服務器3部分（角色）組成。

認證客戶端。認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網絡服務的訪問，并對認證者的請求報文進行應答。認證客戶端必須運行符合IEEE 802.1x 客戶端標準的軟件，目前最典型的就是Windows XP操作系統自帶的IEEE802.1x客戶端支持。另外，一些網絡設備制造商也開發了自己的IEEE 802.1x客戶端軟件。

認證者認證者一般為交換機等接入設備。該設備的職責是根據認證客戶端當前的認證狀態控制其與網絡的連接狀態。扮演認證者角色的設備有兩種類型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，連接在受控端口的用戶只有通過認證才能訪問網絡資源；而連接在非受控端口的用戶無須經過認證便可以直接訪問網絡資源。把用戶連接在受控端口上，便可以實現對用戶的控制；非受控端口主要是用來連接認證服務器，以便保證服務器與交換機的正常通訊。

認證服務器認證服務器通常為RADIUS服務器。認證服務器在認證過程中與認證者配合，為用戶提供認證服務。認證服務器保存了用戶名及密碼，以及相應的授權信息，一臺認證服務器可以對多臺認證者提供認證服務，這樣就可以實現對用戶的集中管理。認證服務器還負責管理從認證者發來的審計數據。微軟公司的Windows Server 2003操作系統自帶有RADIUS服務器組件。

實驗拓撲圖

安裝RADIUS服務器

如果這臺計算機是一臺Windows Server 2003的獨立服務器（未升級成為域控制器，也未加入域），則可以利用SAM來管理用戶賬戶信息；如果是一臺Windows Server 2003域控制器，則利用活動目錄數據庫來管理用戶賬戶信息。雖然活動目錄數據庫管理用戶賬戶信息要比利用SAM來安全、穩定，但RADIUS服務器提供的認證功能相同。為便于實驗，下面以一臺運行Windows Server 2003的獨立服務器為例進行介紹，該計算機的IP地址為172.16.2.254。

在"控制面板"中雙擊"添加或刪除程序"，在彈出的對話框中選擇"添加/刪除Windows組件"

在彈出的"Windows組件向導"中選擇"網絡服務"組件，單擊"詳細信息"

勾選"Internet驗證服務"子組件，確定，然后單擊"下一步"進行安裝

在"控制面板"下的"管理工具"中打開"Internet驗證服務"窗口

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈