译自 Thomas W Shinder M.D.,Using RADIUS Authentication with the ISA Firewall VPN Server (2004),有改动
前言:在这篇文章中,介绍了如何配置ISA Server的VPN服务使用RADIUS身份验证。主要步骤为配置RADIUS服务器(Windows下的IAS服务、配置用户账户的拨入权限、配置ISA Server的VPN服务。
和ISA Server 2000一样,ISA防火墙(ISA Server 2004)支持使用RADIUS来认证VPN客户。在ISA防火墙不是内部域的成员时,使用RADIUS认证非常有用。
当非域成员的ISA防火墙使用RADIUS来认证VPN客户时,ISA防火墙将用户的身份验证信息转送到背部的RADIUS服务器上。微软的RADIUS服务器称为Internet Authentication Server (IAS)。RADIUS服务器将用户身份信息转送到一个认证服务器上,在域环境中,这个认证服务器是活动目录的域控制器。认证服务器响应RADIUS服务器的身份验证请求,然后RADIUS服务器响应ISA防火墙。如果用户提交的身份验证信息有效并且用户具有拨入权限,那么允许该客户的VPN连接;如果身份验证信息无效或者用户没有拨入权限,那么连接将被拒绝。
如果ISA防火墙配置为使用RADIUS认证,那么它成为一个RADIUS客户端。ISA防火墙必须配置使用一个或多个RADIUS服务器,并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以,为了让RADIUS正常工作,必须配置RADIUS服务器和ISA防火墙。
在这篇文章中,我们试验的网络拓朴结构如下图所示:
注意,在此例中,域控制器就是一个RADIUS服务器,你可以把它放在域中的其他机器上。域控同时还作为DHCP服务器、DNS服务器、WINS服务器和证书服务器,我们将使用除了证书服务器外的其他服务。
我们的试验步骤如下:
配置RADIUS服务器;
配置用户账户的拨入权限;
启用和配置ISA防火墙的VPN服务;
配置防火墙策略来控制VPN客户的访问;
建立VPN远程访问连接;
配置RADIUS服务器
IAS可以通过添加/删除Windows组件来安装。在你安装RADIUS服务器之后,可以立即启动它,不需要重启计算机。我们需要做两件事:配置RADIUS服务器识别ISA防火墙为RADIUS客户和为VPN客户建立远程访问策略。
执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户:
在IAS服务器,点击开始,指向管理工具,然后点击Internet验证服务;
在Internet验证服务控制台,右击RADIUS客户,然后点击新建RADIUS客户;
在名字和地址页,为ISA防火墙输入一个名字,在此我们命名为ISA Firewall,在客户地址(IP或者DNS)文本框内输入ISA防火墙内部接口的IP地址,点击“下一步”;
在附加信息页,确认客户-销售商选项设置为标准RADIUS。在共享密钥文本框内输入一个密码,然后在确认共享密钥文本框内再次输入进行确认。然后勾选请求必须包含消息验证者属性,点击完成;
下一步是建立应用到VPN客户的远程访问策略。我们在此例中使用默认的VPN客户远程访问策略;执行以下步骤:
在Internet验证服务控制台,右击远程访问策略,点击新建远程访问策略;
在欢迎使用新建远程访问策略向导页,点击下一步;在策略配置方式页,选择使用向导为通用环境建立典型的策略选项,在策略名字文本框中输入一个名字,在此我们命名为VPN Clients,点击下一步;
在访问方式页,选择VPN
选项,然后点击Next;
在访问的组或者用户页,选择组,然后点击添加;在选择组对话框,在输入选择的对象名文本框中输入Domain
Users ,然后点击检查名称,然后点击确定,然后点击下一步;
保留Microsoft
Encrypted Authentication version 2 (MS-CHAPv2) 的选择;你可以选择其他的认证方式,点击下一步;
在策略加密级别页,选择适合于你的VPN客户的选项。因为我们使用的是Windows
XP和Windows 2000,所以,我们去掉Basic encryption和Strong encryption
的勾选,点击下一步;
在完成新建远程访问策略向导页点击完成;
配置用户账户的拨入权限
下一步是启用用户账户的拨入权限。如果你的活动目录域是本地模式或者是Windows Server
2003域,那么你不需要执行这步,因为用户的拨入权限默认就是通过远程访问策略来控制的。在混合域模式中,每个用户都必须单独的允许拨入权限,在这个例子中,我们配置administrator账户的拨入权限;
执行以下步骤:
打开 Active Directory Users and Computers 控制台;点击用户节点,然后双击administrator,在拨入标签,选择允许访问,最后点击确定。
启用和配置ISA防火墙的VPN服务
执行以下步骤:
打开ISA Server管理控制台,然后点击虚拟专用网节点;
在虚拟专用网节点,点击任务面板的任务标签,然后点击配置VPN客户访问;
在VPN客户属性对话框,勾选允许VPN客户访问;
点击组标签(注意,这个标签只对基于本地模式的活动目录和Windows
Server 2003域模式有效),如果你不在此设置允许访问的组,那么所有的组都不会允许通过VPN访问。但是这个选项,需要ISA
Server也作为活动目录域的成员。因为这儿我们不会将ISA Server加入域,所以在这儿我们不需要添加组。
点击协议标签,默认设置是启用PPTP,如果你想使用L2TP/IPSecVPN的连接则直接勾选它们。我总是勾选它们,就算没有准备好使用L2TP/IPSec,不过,如果你没有计划使用PKI或者分布式证书,则不需要勾选。在此,我们只是使用PPTP。
点击用户映射标签,这个一个很容易混淆的概念。不过一定要记住,如果ISA
Server没有加入域,那么不要使用用户映射。ISA Server必须有访问活动目录数据库的权限,才能将没有提供域信息的VPN客户(如RADIUS客户)映射到ISA
Server(这个信息是转送到RADIUS服务器,不是给ISA Server)。
因为ISA Server在此不是域环境的成员,它不能访问任何Windows的名字空间。这个和Windows身份验证有点混淆,什么是Windows身份验证,我可以告诉你,Windows身份验证就是除了RADIUS和EAP认证的其他身份验证。
也许你对这些设置还有疑问,但是事实上,如果你在没有加入域的ISA Server上使用用户映射,并且配置VPN服务使用RADIUS认证,那么没有谁可以连接到ISA Server。你会看见如下的对话框,如果你执行网络监控,你会发现VPN客户向ISA Server发送了一个断开连接的信息。
但是,如果ISA Server不是域的成员,那么你不能使用加强的基于用户/组的访问控制。不过目前我们得到一些资料,不久我们就可以使用ISA Server来加强基于用户/组的访问控制。
7. 点击应用保存修改和更新防火墙策略。
现在我们配置ISA Server使用的RADIUS服务器:
1. 在任务面板,点击指定RADIUS配置;
2.在RADIUS标签,勾选使用RADIUS身份认证和记录用户的RADIUS。
3.点击RADIUS服务器标签,点击添加按钮;
4.在添加RADIUS服务器对话框,在服务器名文本框中输入RADIUS服务器的IP地址,你可以输入名字,但是ISA Server一定要能正确的解析出IP地址。
5. 点击修改按钮,输入你在RADIUS服务器上配置作为识别ISA Server为RADIUS客户端的密码,然后勾选总是使用消息认证,点击确定;
6.在RADIUS服务器页点击确定;
7.在ISA管理控制台点击应用保存修改和更新防火墙策略。
配置VPN访问策略
你需要建立访问规则来允许VPN客户网络访问内部网络。因为我们使用RADIUS认证,所以不能对VPN客户连接使用加强的基于用户和组的访问控制(注意,这个地方很容易混淆。Tom的意思是不能在访问规则对应的用户中使用基于组和用户的选择,但是对于协议和源、目的网络,仍然可以很好的控制)。所以,我强烈建议你在可能的时候,总是将ISA Server加入域。
例如,你不能只允许一个OWA Users组在连接到VPN服务器后访问你内部的OWA服务器,因为你只能允许所有用户。
下面我们将建立一个访问规则允许VPN用户只能通过SSL连接访问OWA站点。执行以下步骤来建立访问规则:
1.在ISA Server管理控制台,点击防火墙策略,然后点击任务面板中的任务标签,然后点击建立新的访问规则;
2.在欢迎使用新建访问规则向导页,为这个规则输入一个名字,在此我们命名为VPN Clients to Internal,点击下一步;
3. 在规则动作页,选择允许;
4.在协议页,在这个规则应用到选择选择的协议,然后点击添加;在添加协议对话框,点击通用协议,然后双击HTTPS,然后点击关闭;在协议页点击下一步;
5.在源网络页,点击添加;在添加网络实体对话框,点击网络,然后双击VPN客户网络,点击关闭,点击下一步;
6. 在目的网络页,点击添加;在添加网络实体对话框,点击新建,然后点击计算机;在新建计算机规则元素页,在名字文本框中输入一个名字,在此我们命名为OWA
Site,然后输入OWA Site的IP地址,然后点击确定。在添加网络实体对话框,点击计算机,然后双击OWA Site,点击关闭,点击下一步;
7. 在用户集页,点击下一步;然后在完成新建访问规则向导页点击完成;
8、点击应用以保存修改和更新防火墙策略;
建立VPN远程访问连接
在远程VPN客户上建立VPN连接,你可以发现,你只能访问OWA站点,并且只能使用HTTPS进行访问。下图是ISA中的日志信息,VPN客户得到的IP地址是10.0.0.101。很奇怪的,你可以在ISA的记录中找到用户身份信息,但是就算你在访问规则中设置了对应的用户组,这个设置也是不起作用的。
往下我们可以看到客户发往OWA站点的连接请求。第六行就是我们建立的访问规则VPN Clients to Internal所允许的,但是,你看见用户名了吗?
我试着建立一个FTP连接,因为没有规则允许,我希望它被拒绝,并且它也被拒绝了。第三、四、五行就是拒绝的信息。同样了,它提供了用户名,所以我们相信,一定有办法来基于用户/组来控制使用RADIUS认证的VPN客户。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |