Radius認(rèn)證服務(wù)器的配置與應(yīng)用

學(xué)習(xí)目標(biāo) 熟悉身份認(rèn)證的概念 熟悉 IEEE 802.1x協(xié)議的工作特點 掌握基于 Windows Server 2003的 Radius服務(wù)器的安裝和配置方法 掌握交換機上 IEEE 802.1x及相關(guān)協(xié)議的啟用和配置方法 掌握 Radius認(rèn)證系統(tǒng)的應(yīng)用和故障排除方法 第 10講 Radius認(rèn)證服務(wù)器的配置與應(yīng)用 重點難點 掌握基于 Windows Server 2003的 Radius服務(wù)器的安裝和配置方法 掌握交換機上 IEEE 802.1x及相關(guān)協(xié)議的啟用和配置方法 掌握 Radius認(rèn)證系統(tǒng)的應(yīng)用和故障排除方法 身份認(rèn)證是計算機系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時 ， 系統(tǒng)確認(rèn)該用戶的身份是否真實 、 合法和唯一的過程 。 使用身份認(rèn)證的主要目的是防止非授權(quán)用戶進入系統(tǒng) ， 同時防止非授權(quán)用戶通過非正常操作訪問受控信息或惡意破壞系統(tǒng)數(shù)據(jù)的完整性 。 近年來 ， 越來越多的單位通過身份認(rèn)證系統(tǒng)加密用戶對網(wǎng)絡(luò)資源的訪問 ， 在眾多的解決方案中 ， Radius認(rèn)證系統(tǒng)的使用最為廣泛 。 在大量的企業(yè) 、 政府機關(guān) 、 高校 ， 通過 Radius認(rèn)證系統(tǒng) ， 實現(xiàn)對用戶網(wǎng)絡(luò)訪問身份的認(rèn)證 ， 以決定某一用戶是否具有上網(wǎng)權(quán)限 ， 并記錄相關(guān)的信息 。 本講在簡要介紹身份認(rèn)證的概念 、 IEEE 802.x協(xié)議 、Radius認(rèn)證系統(tǒng)等基礎(chǔ)概念的基礎(chǔ)上 ， 以 Windows Server 2003操作系統(tǒng)和Cisco交換機為例 ， 詳細(xì)介紹用戶身份認(rèn)證系統(tǒng)的安裝 、 配置 、 使用和故障排除方法 。 10.1.1 身份認(rèn)證的概念 身份認(rèn)證（ Authentication）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限。身份認(rèn)證通過標(biāo)識和鑒別用戶的身份，提供一種判別和確認(rèn)用戶身份的機制。身份認(rèn)證需要依賴其他相關(guān)技術(shù)，確認(rèn)系統(tǒng)訪問者的身份和權(quán)限，使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，從而保證系統(tǒng)和數(shù)據(jù)的安全以及授權(quán)訪問者的合法利益。 計算機網(wǎng)絡(luò)中的身份認(rèn)證是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體可能是用戶、主機、應(yīng)用程序甚至是進程。證據(jù)與身份之間是一一對應(yīng)的關(guān)系，雙方通信過程中，一方實體向另一方實體提供這個證據(jù)證明自已的身份，另一方通過相應(yīng)的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所顯示的身份一致。 10.1 身份認(rèn)證概述 10.1.2 認(rèn)證、授權(quán)與審計 在計算機網(wǎng)絡(luò)安全領(lǐng)域，將認(rèn)證、授權(quán)與審計統(tǒng)稱為 AAA或 3A，即英文Authentication（認(rèn)證）、 Authorization（授權(quán)）和 Accounting（審計）。 1 認(rèn)證 認(rèn)證是一個解決確定某一個用戶或其他實體是否被允許訪問特定的系統(tǒng)或資源的問題。 2 授權(quán) 授權(quán)是指當(dāng)用戶或?qū)嶓w的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資源使用權(quán)限。 4.2 PKI的概念和組成 3 審計 審計也稱為記帳（ Accounting）或?qū)徍耍鲇诎踩紤]，所有用戶的行為都要留下記錄，以便進行核查。 安全性評估（ security assessment）是審計操作的進一步擴展。在安全性評估中，專業(yè)人員對網(wǎng)絡(luò)中容易受到入侵者攻擊的部分進行內(nèi)部檢查，對網(wǎng)絡(luò)存在的薄弱環(huán)節(jié)進行階段性評估。通過對評估結(jié)果的分析，既可以發(fā)現(xiàn)網(wǎng)絡(luò)中存在的設(shè)計缺陷，也可以為今后的網(wǎng)絡(luò)調(diào)整提供權(quán)威的數(shù)據(jù)支撐。用戶對資源的訪問過程如圖 1所示 圖 1 . 用戶訪問系統(tǒng)資源的過程 IEEE 802.1x是一個基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，該協(xié)議的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而實現(xiàn)認(rèn)證與業(yè)務(wù)的分離，保證了網(wǎng)絡(luò)傳輸?shù)男省?IEEE 802系列局域網(wǎng)（ LAN）標(biāo)準(zhǔn)占據(jù)著目前局域網(wǎng)應(yīng)用的主要份額，但是傳統(tǒng)的 IEEE 802體系定義的局域網(wǎng)不提供接入認(rèn)證，只要用戶能接入集線器、交換機等控制設(shè)備，用戶就可以訪問局域網(wǎng)中其他設(shè)備上的資源，這是一個安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。 IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級對接入設(shè)備（主要是計算機）進行認(rèn)證和控制。連接在交換機端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)內(nèi)的資源，也可以接入外部網(wǎng)絡(luò)（如 Internet）；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)內(nèi)部的資源，同樣也無法接入 Internet，相當(dāng)于物理上斷開了連接。 10.2 IEEE 802.1x協(xié)議與 RADIUD服務(wù)器 IEEE 802. 1x協(xié)議采用現(xiàn)有的可擴展認(rèn)證協(xié)議（ Extensible Authentication Protocol， EAP），它是 IETF提出的 PPP協(xié)議的擴展，最早是為解決基于IEEE 802.11標(biāo)準(zhǔn)的無線局域網(wǎng)的認(rèn)證而開發(fā)的。雖然 IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實際應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網(wǎng)（ WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持IEEE 802.1x協(xié)議。 10.2.2 RADIUS服務(wù)器 RADIUS（ Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證服務(wù)）服務(wù)器提供了三種基本的功能：認(rèn)證（ Authentication）、授權(quán)（ Authorization）和審計（ Accounting），即提供了 3A功能。其中審計也稱為“記賬”或“計費”。 RADIUS協(xié)議采用了客戶機 /服務(wù)器（ C/S）工作模式。網(wǎng)絡(luò)接入服務(wù)器（ Network Access Server， NAS）是 RADIUS的客戶端，它負(fù)責(zé)將用戶的驗證信息傳遞給指定的 RADIUS服務(wù)器，然后處理返回的響應(yīng)。 RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信息給客戶端用戶，也可以作為其他 RADIUS服務(wù)器或其他類認(rèn)證服務(wù)器的代理客戶端。服務(wù)器和客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗證，客戶端和 RADIUS服務(wù)器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全性。 在如圖 2所示的網(wǎng)絡(luò)中， RADIUS服務(wù)器對 RADIUS客戶端（圖 2中直接標(biāo)為“客戶端”）進行用戶驗證、資源訪問授權(quán)、記賬等操作， 圖 2 RADIUS 系統(tǒng)的組成 10.2.3 系統(tǒng)規(guī)劃 為了說明基于 IEEE 802.1x與 RADIUS服務(wù)器系統(tǒng)的實現(xiàn)過程，本講專門設(shè)計了一個實驗。本實驗是一個具有較大應(yīng)用價值的綜合實驗：一是本實驗立足目前的網(wǎng)絡(luò)應(yīng)用實際，可以直接在安全要求不太高的網(wǎng)絡(luò)環(huán)境中使用；二是本實驗的實現(xiàn)原理與目前市面上流行的記費認(rèn)證系統(tǒng)基本相同，通過本實驗可以幫助讀者了解一些商業(yè)軟件的功能特點；三是通過實踐將會加深對本章前面介紹的理論知識的認(rèn)識。 圖 3 實驗拓?fù)?10.2.4 基于 IEEE 802.1x認(rèn)證系統(tǒng)的組成 由圖 3所示，一個完整的基于 IEEE 802.1x的認(rèn)證系統(tǒng)由認(rèn)證客戶端、認(rèn)證者和認(rèn)證服務(wù)器 3部分（角色）組成。 1認(rèn)證客戶端。 認(rèn)證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡(luò)服務(wù)的訪問，并對認(rèn)證者的請求報文進行應(yīng)答。認(rèn)證客戶端必須運行符合 IEEE 802.1x 客戶端標(biāo)準(zhǔn)的軟件，目前最典型的就是 Windows XP操作系統(tǒng)自帶的IEEE802.1x客戶端支持。另外，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的 IEEE 802.1x客戶端軟件。 2 認(rèn)證者 認(rèn)證者一般為交換機等接入設(shè)備。該設(shè)備的職責(zé)是根據(jù)認(rèn)證客戶端當(dāng)前的認(rèn)證狀態(tài)控制其與網(wǎng)絡(luò)的連接狀態(tài)。 扮演認(rèn)證者角色的設(shè)備有兩種類型的端口：受控端口（ controlled Port）和非受控端口（ uncontrolled Port）。其中，連接在受控端口的用戶只有通過認(rèn)證才能訪問網(wǎng)絡(luò)資源；而連接在非受控端口的用戶無須經(jīng)過認(rèn)證便可以直接訪問網(wǎng)絡(luò)資源。把用戶連接在受控端口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認(rèn)證服務(wù)器，以便保證服務(wù)器與交換機的正常通訊。 3. 認(rèn)證服務(wù)器 認(rèn)證服務(wù)器通常為 RADIUS服務(wù)器。認(rèn)證服務(wù)器在認(rèn)證過程中與認(rèn)證者配合，為用戶提供認(rèn)證服務(wù)。認(rèn)證服務(wù)器保存了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺認(rèn)證服務(wù)器可以對多臺認(rèn)證者提供認(rèn)證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。認(rèn)證服務(wù)器還負(fù)責(zé)管理從認(rèn)證者發(fā)來的審計數(shù)據(jù)。微軟公司的 Windows Server 2003操作系統(tǒng)自帶有 RADIUS服務(wù)器組件。 10.3.1 安裝 RADIUS服務(wù)器 如果這臺計算機是一臺 Windows Server 2003的獨立服務(wù)器（未升級成為域控制器，也未加入域），則可以利用 SAM來管理用戶賬戶信息；如果是一臺 Windows Server 2003域控制器，則利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動目錄數(shù)據(jù)庫管理用戶賬戶信息要比利用 SAM來安全、穩(wěn)定，但 RADIUS服務(wù)器提供的認(rèn)證功能相同。為便于實驗，下面以一臺運行 Windows Server 2003的獨立服務(wù)器為例進行介紹，該計算機的 IP地址為172.16.2.10。 10.3 RADIUS服務(wù)器的安裝與配置 圖 4 選擇 “ 網(wǎng)絡(luò)服務(wù) ” 組件 圖 5 選取 “ Internet 驗證服務(wù) ” 子組件 如果用戶要在自己的運行有 Windows Server 2003的計算機上對 RADIUS服務(wù)器進行遠(yuǎn)程管理，可以在本地計算機上選擇“開始” “運行”，在打開的對話框的文本框中輸入 MMC命令，打開“控制臺”窗口，在該窗口中選擇“文件” “添加 /刪除管理單元” “添加” “ Internet驗證服務(wù)” “添加” “另一臺計算機”，在打開的對話框中輸入遠(yuǎn)程 RADIUS服務(wù)器的 IP地址，來創(chuàng)建管理控制臺，通過管理控制臺對遠(yuǎn)程 RADIUS服務(wù)器進行管理。 提示：如果讀者是通過域控制器的 Active Directory數(shù)據(jù)庫來進行用戶賬戶的管理，則需要建立 IAS服務(wù)器與 Active Directory數(shù)據(jù)庫之間的連接，這樣當(dāng) RADIUS客戶端需要進行身份驗證、授權(quán)或記賬等操作時，就通過 Active Directory數(shù)據(jù)庫來完成。 圖 6 “ Internet 驗證服務(wù) ” 窗口 10.3.2 創(chuàng)建用戶賬戶 在這一節(jié)中，需要為所有通過認(rèn)證才能夠訪問網(wǎng)絡(luò)的用戶在 RADIUS服務(wù)器中創(chuàng)建賬戶。這樣，當(dāng)用戶的計算機連接到啟用了端口認(rèn)證功能的交換機上的端口上時，啟用了IEEE 802.1x認(rèn)證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠訪問網(wǎng)絡(luò)中的資源。下面，讀者創(chuàng)建一個測試用的用戶賬戶（如 wq），并設(shè)置相應(yīng)的密碼。 圖 7 創(chuàng)建用戶賬戶 圖 8 創(chuàng)建組并添加用戶賬戶 另外，選擇“開始” “運行”，在打開的對話框中輸入組策略編輯器命令“ gpedit.msc”，單擊“確定”按鈕，在出現(xiàn)的對話框中依次選擇“計算機配置” “ Windows設(shè)置” “安全設(shè)置” “賬戶策略” “密碼策略”，啟用“用可還原的加密來儲存密碼”策略項，如圖 9所示。 圖 9 啟用 “ 用可還原的加密來儲存密碼 ” 策略項 10.3.3 設(shè)置遠(yuǎn)程訪問策略 下面，在 RADIUS服務(wù)器的“ Internet驗證服務(wù)”窗口中，需要為圖 3中的交換機及通過該交換機進行認(rèn)證的用戶設(shè)置遠(yuǎn)程訪問策略。具體方法如下： 圖 10 新建遠(yuǎn)程訪問策略 圖 11 選擇配置方式 圖 12 選擇訪問方法 圖 13 選擇授權(quán)方式 圖 14 選擇身份驗證方法 圖 17 選擇屬性類型 圖 18 顯示已添加的策略名稱 圖 15 確認(rèn)設(shè)置信息 圖 16 . 只保留新建的遠(yuǎn)程訪問策略 圖 18 選擇要申請證書的類型 圖 19 輸入用戶的詳細(xì)信息 圖 20 證書申請結(jié)束后的顯示 圖 21 顯示未被頒發(fā)的證書名稱 10.3.4 創(chuàng)建 RADIUS客戶端 需要說明的是，這里要創(chuàng)建的 RADIUS客戶端，是指類似于圖 3中的交換機設(shè)備，在實際應(yīng)用中也可以是 VPN服務(wù)器、無線 AP等，而不是用戶端的計算機。 RADIUS服務(wù)器只會接受由 RADIUS客戶端設(shè)備發(fā)過來的請求，為此需要在 RADIUS服務(wù)器上來指定 RADIUS客戶端。以圖 3的網(wǎng)絡(luò)拓?fù)錇槔?，具體步驟如下： 圖 19 新建 RADIUS 客戶端 圖 20 設(shè)置 RADIUS 客戶端的名稱和 IP 地址 圖 21 設(shè)置共享密鑰和認(rèn)證方式 圖 22 顯示已創(chuàng)建的 RADIUS 客戶端 下面，對支持 IEEE 802.1x認(rèn)證協(xié)議的交換機進行配置，使它能夠接授用戶端的認(rèn)證請求，并將請求轉(zhuǎn)發(fā)給 RADIUS服務(wù)器進行認(rèn)證，最后將認(rèn)證結(jié)果返回給用戶端。以圖 3所示的網(wǎng)絡(luò)拓?fù)錇槔?，交換機的 IP地址為 172.16.2.11/24，在交換機上只需要對 FastEthernet0/1端口進行認(rèn)證，其他端口可不進行設(shè)置。所以，在本實驗中圖 3中的 RADIUS服務(wù)器和應(yīng)用服務(wù)器不要接在認(rèn)證端口上。具體操作如下： （ 1）設(shè)置交換機的管理地址。 10.4 交換機（ RADIUS客戶端）的配置 C i sc o355 0# co nf t （進入交換機配置模式） C i sc o355 0( conf i g) # i nt er f ace vl an 1 （選擇虛擬接口 V L A N 1 ，注意二層交換機的管理地址都配置在 i nt er f ace v l an 1 上） C i sc o355 0( conf i g - i f ) # i p addr es s 172.1 6.2.1 1 255.2 55.2 5 5.0 （設(shè)置管理地址為 1 7 2.16.2. 1 1 ） C i sc o 355 0( conf i g - i f ) # end （退出配置模式） C i sc o355 0# wr （進行保存） （ 2 ） 啟用 AAA 認(rèn)證。具體配置例如下： C i sc o355 0( conf i g) # a aa ne w - m odel （啟用 AAA 認(rèn)證） C i sc o355 0( conf i g) # a aa aut h ent i cat i on dot 1x def aul t gr ou p radi us （啟用 dot 1 x 認(rèn)證） C i sc o355 0( conf i g) # d ot 1x s ys t em - aut h - cont r ol （啟用全局 d ot 1x 認(rèn)證） C i sc o355 0( conf i g - i f ) # end （退出配置模式） C i sc o355 0# wr （進行保存） 以上的 dot 1x 即啟用 I EE E 802.1x 認(rèn)證 （ 3 ） 指定 R A D I U S 服務(wù)器的 IP 地址及交換機與 R A D I U S 服務(wù)器之間的共享密鑰。 Ci s co3 55 0( con f i g) # r a di us - s er ve r hos t 172 .16. 2 .10 a ut h - por t 181 2 acc t - por t 181 3 k ey wang qun Ci s co3 55 0( con f i g) # r a di us - s er ve r r et r ans m i t 3 （與 R A D I U S 服務(wù)器之間的嘗試連接 次數(shù) 為3 次 ） Ci s co3 55 0( con f i g - i f ) # end （退出配置模式） Ci s co3 55 0# wr （進行保存） 在以上命令中， 172.16.2.10為 RADIUS服務(wù)器的 IP地址， 1812是 RADIUS服務(wù)器默認(rèn)的認(rèn)證端口， 1813是系統(tǒng)默認(rèn)的計賬端口。其中， auth-port 1812 acct-port 1813可以省略。 Key后面的 wangqun為交換機與 RADIUS服務(wù)器之間的共享密鑰（在圖 21中設(shè)置）。 （ 4）配置交換機的認(rèn)證端口。下面，將交換機的第一個端口 FastEthernet 0/1設(shè)置為需要進行 IEEE 802.1x認(rèn)證的端口。具體操作如下： C i sc o355 0( conf i g) #i nt er f ace F as t Ethe r net 0/ 1 （進入 F as t Ethe r net 0/ 1 端口） C i sc o355 0( conf i g - i f ) # sw i t c hpor t m ode acc es s （將端口設(shè)置為訪問端口） C i sc o355 0( conf i g - i f ) # dot 1x por t - cont r ol aut o （將端口 802. 1x 認(rèn)證模式控制設(shè)置為自動） C i sc o355 0( conf i g - i f ) # dot 1x t i m eout qui et - per i od 30 （設(shè)置認(rèn)證失敗后的重試時間為 30 秒） C i sc o355 0( conf i g - i f ) # dot 1x t i m eout