《Radius认证服务器的配置与应用讲解.pdf》由会员分享,可在线阅读,更多相关《Radius认证服务器的配置与应用讲解.pdf(16页珍藏版)》请在三一文库上搜索。
1、Radius认证服务器的配置与应用 (802.1x) IEEE 802.1x协议 IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“ 可控端口 ” 和“ 不可 控端口 ” 的逻辑功能, 从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网 (LAN ) 标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要 用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患, 同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技
2、术,在局域 网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果 能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则 无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。 IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是 IETF 提出的 PPP 协议的扩展, 最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然 IEEE802.1x定义了基于端口的网络接入控制协议
3、,但是在实际应用中该协议仅适用于接入设备与接入端 口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种 是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN )的接入方式。其 中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。 RADIUS服务器 RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三 种基本的功能:认证(Authentication)、授权( Authorizatio
4、n)和审计( Accounting),即提供了 3A 功能。其中审计也称为“ 记账 ” 或“ 计费 ” 。 RADIUS协议采用了客户机/ 服务器(C/S )工作模式。 网络接入服务器 (Network Access Server,NAS ) 是 RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。 RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用 户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有 数据通过使用共享密钥来验证,客户端和 RADIUS服务器之
5、间的用户密码经过加密发送,提供了密码使用 的安全性。 基于 IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3 部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对 认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的 就是 Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己 的 IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根
6、据认证客户端当前的认证状态控制其与网络的 连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口 (uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控 端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制; 非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证 服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对
7、多台认证者提供认 证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司 的 Windows Server 2003操作系统自带有RADIUS服务器组件。 实验拓扑图 安装 RADIUS服务器 如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则 可以利用 SAM 来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数 据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM 来安全、稳定,但 RADIUS 服务器提供的认证功能相同。为便于实验,
8、下面以一台运行Windows Server 2003的独立服务器为例进 行介绍,该计算机的IP 地址为 172.16.2.254。 在“控制面板 “中双击 “添加或删除程序 “,在弹出的对话框中选择“添加 / 删除 Windows组件 “ 在弹出的 “Windows组件向导 “ 中选择 “网络服务 “组件,单击 “详细信息 “ 勾选 “Internet验证服务 “子组件,确定,然后单击“下一步 “进行安装 在“控制面板 “下的 “管理工具 “中打开 “Internet验证服务 “窗口 创建用户账户 RADIUS服务器安装好之后,需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账
9、户。 这样,当用户的计算机连接到启用了端口认证功能的交换机上的端口上时,启用了IEEE 802.1x认证功 能的客户端计算机需要用户输入正确的账户和密码后,才能够访问网络中的资源。 在“控制面板 “下的 “管理工具 “中打开 “计算机管理 “,选择 “本地用户和组 “ 为了方便管理,我们创建一个用户组“802.1x“专门用于管理需要经过IEEE 802.1x认证的用户账户。鼠 标右键单击 “组“,选择 “新建组 “,输入组名后创建组。 在添加用户之前,必须要提前做的是,打开“控制面板 “-“ 管理工具 “下的 “本地安全策略 “,依次选择 “账户 策略 “-“ 密码策略 “,启用 “用可还原的
10、加密来储存密码“策略项。 否则以后认证的时候将会出现以下错误提示。 接下来我们添加用户账户“0801010047“,设置密码 “123“ 。鼠标右键单击“用户 “,选择 “新用户 “,输入 用户名和密码,创建用户。 将用户 “0801010047“加入到 “802.1x“用户组中。鼠标右键单击用户“0801010047“,选择 “属性 “。在 弹出的对话框中选择“隶属于 “,然后将其加入 “802.1x“用户组中。 设置远程访问策略 在 RADIUS服务器的 ”Internet验证服务 ” 窗口中,需要为 Cisco2950交换机以及通过该交换机进行认证 的用户设置远程访问策略。具体方法如下:
11、 新建远程访问策略,鼠标右键单击“远程访问策略 “,选择 “新建远程访问策略“ 选择配置方式,这里我们使用向导模式 选择访问方法,以太网 选择授权方式,将之前添加的“802.1x“用户组加入许可列表 选择身份验证方法,“MD5- 质询 “ 确认设置信息 只保留新建的访问策略,删掉其他的 创建 RADIUS客户端 需要说明的是, 这里要创建的RADIUS客户端, 是指类似于图3 中的交换机设备, 在实际应用中也可以是 VPN 服务器、无线AP 等,而不是用户端的计算机。RADIUS服务器只会接受由RADIUS客户端设备发 过来的请求,为此需要在RADIUS服务器上来指定RADIUS客户端。以图3
12、 的网络拓扑为例,具体步骤 如下: 新建 RADIUS客户端。鼠标右键单击“RADIUS客户端 “,选择 “新建 RADIUS客户端 “ 设置 RADIUS客户端的名称和IP 地址。客户端IP 地址即交换机的管理IP 地址,我们这里是 172.17.2.250,等会说明如何配置。 设置共享密钥和认证方式。认证方式选择“RADIUS Standard“,密钥请记好,等会配置交换机的时候这 个密钥要相同。 显示已创建的RADIUS客户端 在交换机上启用认证机制 现在对支持 IEEE 802.1x认证协议的交换机进行配置,使它能够接授用户端的认证请求,并将请求转发 给 RADIUS服务器进行认证,最
13、后将认证结果返回给用户端。在拓扑图中: RADIUS认证服务器的IP 地址为 172.17.2.254/24 交换机的管理IP 地址为 172.16.2.250/24 需要认证的计算机接在交换机的FastEthernet0/5端口上 因此我们实验时只对FastEthernet0/5端口进行认证,其他端口可不进行设置。具体操作如下: 使用 Console口登陆交换机,设置交换机的管理IP 地址 Cisco2950enable Cisco2950#configure terminal Cisco2950(config)#interface vlan 1 (配置二层交换机管理接口IP 地址 ) Ci
14、sco2950(config-if)#ip address 172.17.2.250 255.255.255.0 Cisco2950(config-if)#no shutdown Cisco2950(config-if)#end Cisco2950#wr 在交换机上启用AAA 认证 Cisco2950#configure terminal Cisco2950(config)#aaa new-model (启用 AAA 认证 ) Cisco2950(config)#aaa authentication dot1x default group radius (启用 dot1x认证 ) Cisco2
15、950(config)#dot1x system-auth-control (启用全局 dot1x认证 ) 指定 RADIUS服务器的 IP 地址和交换机与RADIUS服务器之间的共享密钥 Cisco2950(config)#radius-server host 172.17.2.254 key (设置验证服务器IP 及密钥 ) Cisco2950(config)#radius-server retransmit 3 (设置与 RADIUS服务器尝试连接次数为3 次) 配置交换机的认证端口,可以使用 interface range命令批量配置端口,这里我们只对FastEthernet0/5
16、启用 IEEE 802.1x认证 Cisco2950(config)#interface fastEthernet 0/5 Cisco2950(config-if)#switchport mode access (设置端口模式为access) Cisco2950(config-if)#dot1x port-control auto (设置 802.1x认证模式为自动) Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10 秒) Cisco2950(config-if)#dot1x timeout reauth-per
17、iod 30 (设置认证失败重连时间为30 秒) Cisco2950(config-if)#dot1x reauthentication (启用 802.1x认证 ) Cisco2950(config-if)#spanning-tree portfast (开启端口 portfast特性 ) Cisco2950(config-if)#end Cisco2950#wr 测试 802.1x认证接入 1、将要进行认证接入的计算机接入交换机的FastEthernet0/5端口,设置IP 地址为 172.17.2.5(随便 设置,只要不跟认证服务器IP 及交换机管理IP 冲突即可 ) 2、在 “本地连接
18、 “的“验证 “标签栏中启用IEEE 802.1x验证, EAP 类型设置为 “MD5- 质询 “ ,其余选项可 不选。 3、如果之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进行验证 4、点击之后会弹出类似锐捷客户端一样的登陆框,要求输入用户名和密码。这里我们输入之前配置的用户 名“0801010047“,密码 “123“ ,确定。 5、验证成功后可以ping一下 172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口 指示灯已经由黄色变为绿色。 为保证计算机支持802.1x验证,请确认Wireless Configuration服务正常开启。 6、可以通过 “控制面板 “-“ 管理工具 “中的 “事件查看器 “-“ 系统 “子选项观察802.1x的验证日志。