作為 RADIUS 伺服器的 IAS
IAS 可用作 RADIUS 伺服器,為 RADIUS 用戶端執行身份驗證、授權和記帳。RADIUS 用戶端可以是一個通路伺服器,也可以是 RADIUS 代理。圖 16 顯示了作為 RADIUS 伺服器的 IAS。
圖 16 作為 RADIUS 伺服器的 IAS
檢視大圖
當 IAS 作為 RADIUS 伺服器使用時,它可以提供以下功能:
• | 為 RADIUS 用戶端發送的所有通路請求提供集中身份驗證和授權服務 IAS 使用 Windows NT Server 4.0 域、基于 Active Directory 的域或本地安全性帳戶管理員 (SAM) 來驗證連接配接嘗試的使用者憑據。IAS 使用使用者帳戶的撥入屬性和遠端通路政策對連接配接進行授權。 |
• | 為 RADIUS 用戶端發送的所有記帳請求提供集中計帳服務 記帳請求存儲在本地日志檔案中以供分析。 |
在以下情況下可以将 IAS 用作 RADIUS 伺服器:
• | 使用 Windows NT Server 4.0 域、基于 Active Directory 的域或本地安全性帳戶管理員 (SAM) 作為通路用戶端的使用者帳戶資料庫。 |
• | 在多個撥号伺服器、VPN 伺服器或請求撥号路由器上使用 Windows 2000 路由和遠端通路服務,并且想集中配置遠端通路政策和連接配接登入以便于計帳。 |
• | 将您的撥号通路、VPN 通路或無線通路外包給服務提供商。通路伺服器使用 RADIUS 驗證和授權由您組織的成員進行的連接配接。 |
• | 希望對一組不同種類的通路伺服器集中進行身份驗證、授權和記帳。 |
作為 RADIUS 代理的 IAS
Internet 驗證服務 (IAS) 可以用作 RADIUS 代理,以便路由 RADIUS 用戶端(通路伺服器)和 RADIUS 伺服器(對連接配接嘗試執行使用者身份驗證、授權和記帳)之間的 RADIUS 消息。當作為 RADIUS 代理使用時,IAS 是 RADIUS 通路和記帳消息傳遞時通過的中央交換點或路由點。IAS 在記帳日志中記錄有關被轉發消息的資訊。
圖 17 顯示了 IAS 作為 RADIUS 用戶端(通路伺服器)與 RADIUS 伺服器或其他 RADIUS 代理之間的 RADIUS 代理。
圖 17 作為 RADIUS 代理的 IAS
檢視大圖
在以下情況下可以将 IAS 用作 RADIUS 代理:
• | 您是一個服務提供商,向多個客戶提供外包撥号、虛拟專用網絡 (VPN) 或無線網絡通路服務。 |
• | 您想為以下使用者帳戶提供身份驗證和授權:它既不是 IAS 伺服器所屬域的成員,也不是與 IAS 伺服器所屬域具有雙向信任關系的域的成員。 |
• | 您想使用 Windows 帳戶資料庫之外的資料庫執行身份驗證和授權。 |
• | 您想處理大量的連接配接請求。IAS RADIUS 代理可以動态平衡多個 RADIUS 伺服器之間的連接配接和記帳請求的負載,并且每秒可以處理更多的 RADIUS 用戶端和身份驗證。 |
• | 您想為外包服務提供商提供 RADIUS 身份驗證和授權,并最大限度地減少内部網的防火牆配置。 |
有關将 IAS 用作 RADIUS 代理的更多資訊,請參見“Windows Server 2003 幫助和支援”。
遠端通路政策
對于 Windows 2000 Server 和 Windows Server 2003 中的 IAS,網絡通路是根據使用者帳戶的撥入屬性和遠端通路進行授權的。遠端通路政策是一組按順序排列的規則,定義授權或拒絕連接配接的方式。對于每個規則,都有一個或多個條件,一組配置檔案設定和遠端通路權限設定。
如果授權某個連接配接,遠端通路政策配置檔案将指定一組連接配接限制。使用者帳戶的撥入屬性也提供一組限制。如果适用,使用者帳戶連接配接限制将覆寫遠端通路政策配置檔案的連接配接限制。
遠端通路政策的條件和限制
遠端通路政策在授權連接配接之前要驗證許多連接配接設定,其中包括:
• | 組成員身份 |
• | 連接配接類型 |
• | 時間 |
進階條件包括:
• | 通路伺服器的身份 |
• | 通路用戶端電話号碼或 MAC 位址 |
• | 是否允許未經身份驗證的通路 |
在授權連接配接後,還可以使用遠端通路政策來指定以下連接配接限制:
• | 空閑逾時時間 | ||||
• | 最長會話時間 | ||||
• | 加密強度 | ||||
• | 身份驗證方法 | ||||
• | IP 資料包篩選器 | ||||
• | 進階限制:
|
此外,您也可以根據以下設定更改連接配接限制:
• | 組成員身份 |
• | 連接配接類型 |
• | 時間 |
• | 身份驗證方法 |
• | 通路伺服器的身份 |
• | 通路用戶端電話号碼或 MAC 位址 |
• | 是否允許未經身份驗證的通路 |
例如,您可以使用為不同類型的連接配接或組指定不同的最長會話時間的政策。此外,還可以為業務合作夥伴或未經身份驗證的連接配接指定受限制的通路。
使用者帳戶或計算機帳戶的撥入屬性
在 Windows 2000 和 Windows Server 2003 中,基于 Active Directory 的伺服器的使用者帳戶和計算機帳戶包含一組撥入屬性,這些屬性用于允許或拒絕某個連接配接嘗試。在基于 Active Directory 的伺服器上,您可以在“Active Directory 使用者和計算機”管理單元中的“撥入”頁籤上為使用者帳戶和計算機帳戶設定撥入屬性。圖 18 顯示了“撥入”頁籤。
使用者帳戶和計算機帳戶的撥入屬性有:
• | 遠端通路權限(撥入或 VPN) 您可以使用此屬性将遠端通路權限設定為明确允許、拒絕或通過遠端通路政策确定。在所有情況下,遠端通路政策都還用于授權連接配接嘗試。如果通路被明确允許,遠端通路政策條件、使用者帳戶屬性或配置檔案屬性仍可以拒絕連接配接嘗試。“通過遠端通路政策控制通路”選項僅在本機模式域中的使用者帳戶和計算機帳戶上可用。 為本機模式域建立的新帳戶被設定為“通過遠端通路政策控制通路”。在混合模式域中建立的新帳戶被設定為“拒絕通路”。 |
• | 驗證呼叫方 ID 如果啟用此屬性,伺服器将驗證呼叫方的電話号碼。如果呼叫方的電話号碼與配置的電話号碼不比對,連接配接嘗試将被拒絕。 呼叫方、呼叫方和遠端通路伺服器之間的電話系統以及遠端通路伺服器必須支援呼叫方 ID。在運作路由和遠端通路服務的計算機上,呼叫方 ID 支援包括呼叫應答裝置(提供呼叫方 ID 資訊)和适當的驅動程式(用于将呼叫方 ID 資訊傳遞到路由和遠端通路服務)。 如果為使用者配置了呼叫方 ID 電話号碼,但不支援将呼叫方 ID 資訊從呼叫方傳遞到路由和遠端通路服務,則連接配接嘗試将會被拒絕。 |
• | 回撥選項 如果啟用此屬性,在連接配接過程中伺服器将回叫呼叫方。伺服器使用的電話号碼由呼叫方或網絡管理者設定。 |
• | 配置設定靜态 IP 位址 在建立連接配接時,您可以使用此屬性向使用者配置設定一個特定的 IP 位址。 |
• | 應用靜态路由 在建立連接配接時,您可以使用此屬性定義一系列靜态 IP 路由,這些路由會被添加到運作路由和遠端通路服務的伺服器的路由表中。此設定是針對 Windows 2000 路由器用于請求撥号路由的使用者帳戶設計的。 注意 僅當域控制器上安裝了 Windows 2000 Service Pack 3 或更高版本後,Windows 2000 域中的計算機帳戶的撥入屬性才可用。 |
授權管理模型
使用遠端通路政策進行授權的方式有兩種:
1. | 按使用者 |
2. | 按組 |
按使用者授權
如果按使用者管理授權,應将使用者帳戶或計算機帳戶的遠端通路權限設定為“允許通路”或“拒絕通路”,也可以根據不同連接配接類型建立不同的遠端通路政策。例如,您可能希望将一個遠端通路政策用于撥接上網,将另一個遠端通路政策用于無線連接配接。建議您僅在管理少量使用者帳戶或計算機帳戶時才按使用者管理授權。
如果按使用者管理授權,則授權連接配接嘗試的基本過程如下:
1. | 如果連接配接嘗試與所有政策條件都比對,則檢查帳戶的遠端通路權限設定。 |
2. | 如果遠端通路權限設定為“允許通路”,則應用政策配置檔案和使用者帳戶的連接配接設定。 |
3. | 如果遠端通路權限設定為“拒絕通路”,則拒絕連接配接嘗試。 |
4. | 如果連接配接嘗試不與所有政策條件都比對,則處理下一個遠端通路政策。 |
5. | 如果連接配接嘗試不與任何遠端通路政策的所有條件相比對,則拒絕連接配接嘗試。 |
按組授權
如果按組管理授權,應将帳戶的遠端通路權限設定為“通過遠端通路政策控制通路”,并建立基于不同連接配接類型群組成員身份的遠端通路政策。例如,您可能希望将一個遠端通路政策用于雇員(“雇員”組的成員)的撥接上網,将另一個遠端通路政策用于承包商(“承包商”組的成員)的撥接上網。
如果按組管理授權,則授權連接配接嘗試的基本過程如下:
1. | 如果連接配接嘗試與所有政策條件都比對,則檢查遠端通路政策的遠端通路權限。 |
2. | 如果遠端通路權限設定為“授予遠端通路權限”,則應用政策配置檔案和使用者帳戶的連接配接設定。 |
3. | 如果遠端通路權限設定為“拒絕遠端通路權限”,則拒絕連接配接嘗試。 |
4. | 如果連接配接嘗試不與所有政策條件都比對,則處理下一個遠端通路政策。 |
5. | 如果連接配接嘗試不與任何遠端通路政策的所有條件相比對,則拒絕連接配接嘗試。 注意 “通過遠端通路政策控制通路”遠端通路權限設定僅适用于本機模式域的帳戶。 |
傳回頁首
證書
這一部分介紹以下主題:
• | 不建議将遠端通路權限設定為“通過遠端通路政策控制通路”而不使用組來管理網絡通路。 |
• | 計算機身份驗證和使用者身份驗證 |
• | 擷取 IEEE 802.1X 身份驗證的證書 |
• | 組政策和 IEEE 802.1X 身份驗證 |
計算機身份驗證和使用者身份驗證
為了成功地通過無線 AP 對 Windows 無線計算機進行身份驗證,您必須安裝計算機證書、使用者證書或者兩者都安裝。運作 Windows XP、Windows Server 2003 和 Windows 2000 的無線用戶端可以使用 EAP-TLS 驗證計算機或登入到計算機上的使用者。
為了對計算機進行身份驗證,Windows 無線計算機在 EAP-TLS 身份驗證期間會送出一份存儲在“本地計算機”證書存儲區中的計算機證書(連同證書鍊)。“本地計算機”證書存儲區始終可用,不管是否有使用者登入到計算機,也不管是誰登入到了計算機。更為重要的是,“本地計算機”證書存儲區在計算機的啟動過程中即已經可用。
為了對登入到計算機的使用者進行身份驗證,Windows 無線計算機在 EAP-TLS 身份驗證期間會送出一份存儲在“目前使用者”證書存儲區中的使用者證書。使用者的證書存儲區隻有在使用者使用适當的憑據成功登入到計算機之後才可用。登入到計算機的各個使用者都有各自的使用者證書存儲區。使用者證書在啟動過程中不可用。
如果沒有安裝計算機證書,在無線 AP 範圍之内啟動的 Windows 無線用戶端計算機将與它進行關聯,但身份驗證将會失敗。使用者可以使用緩存的憑據登入到沒有無線區域網路連接配接的計算機。一旦成功登入,使用者的證書存儲區就可以使用,接下來使用安裝的使用者證書與無線 AP 進行的身份驗證将會成功。
以下系統資料庫設定控制 Windows XP 和 Windows Server 2003 中的計算機和使用者身份驗證行為:
AuthMode
Key: HKEY_LOCAL_MACHINE/Software/Microsoft/EAPOL/Parameters/General/Global
Value Type: REG_DWORD
Valid Range: 0-2
Default value: 0
Present by default: No
值:
• | 0 - 計算機身份驗證模式 如果計算機身份驗證成功,則不嘗試使用者身份驗證。如果在計算機身份驗證之前使用者登入成功,則執行使用者身份驗證。這是沒有安裝 Service Pack 的 Windows XP 的預設設定。 |
• | 1 - 計算機身份驗證和重新身份驗證 如果計算機身份驗證成功完成,随後的使用者登入會導緻使用使用者證書重新進行身份驗證。使用者登入必須在 60 秒内完成,否則現有的網絡連接配接将會終止。使用者證書用于随後的身份驗證或重新身份驗證。在使用者從計算機上登出之前,不會再次嘗試進行計算機身份驗證。這是 Windows XP SP1、Windows XP SP2 和 Windows Server 2003 的預設設定。 |
• | 2 - 僅計算機身份驗證 當使用者登入時,不會對連接配接造成影響。僅使用計算機證書執行 802.1X 身份驗證。 |
此行為的例外情況是,如果使用者成功登入,然後在無線 AP 之間進行漫遊,則會執行使用者身份驗證。
要使對此設定的更改生效,請重新啟動 Windows XP 的 Wireless Zero Configuration 服務和 Windows Server 2003 的 Wireless Configuration 服務。
擷取 IEEE 802.1X 身份驗證的證書
可以使用以下方法擷取 Windows 無線用戶端和 IAS 伺服器計算機的證書:
• | 自動注冊 |
• | 通過 Web 申請證書 |
• | 使用“證書”管理單元申請證書 |
• | 使用“證書”管理單元導入證書 |
• | 使用 CAPICOM 建立程式或腳本 |
自動注冊
自動注冊是指根據組政策自動申請和頒發證書。自動注冊有兩種類型:
計算機證書的自動注冊通過“計算機配置”組政策完成。通過配置“自動證書申請設定”組政策設定(在“計算機配置/Windows 設定/安全設定/公鑰政策”下),您可以讓為其配置這些設定的域系統容器的成員計算機在“計算機”組政策設定重新整理時自動申請特定類型的證書。
對于無線用戶端通路和 IAS 伺服器,可配置“自動證書申請設定”組政策設定來自動申請“計算機”證書。“計算機”證書(在自動證書申請設定向導的“證書模闆”對話框中命名)存儲在成員計算機的“本地計算機”證書存儲區,并包含“使用者身份驗證”和“伺服器身份驗證”兩個證書目的。證書目的又稱增強型密鑰用法 (EKU)。EKU 是使用對象辨別符 (OID) 來辨別的。伺服器身份驗證的 OID 是“1.3.6.1.5.5.7.3.1”,用戶端身份驗證的 OID 是“1.3.6.1.5.5.7.3.2”。
Windows 中的 EAP-TLS 要求身份驗證用戶端提供的用于驗證的證書包含“用戶端身份驗證”證書目的,身份驗證伺服器提供的用于驗證的證書包含“伺服器身份驗證”證書目的。如果不能同時滿足這兩個條件,身份驗證将會失敗。
因為自動注冊的“計算機”證書同時包含“用戶端身份驗證”和“伺服器身份驗證”兩個證書目的,是以它既可以由 Windows 無線用戶端用來執行計算機身份驗證,又可以由 IAS 伺服器用作身份驗證伺服器。
使用者證書的自動注冊通過“使用者配置”組政策完成。通過配置“自動注冊設定”組政策設定(在“使用者配置/Windows 設定/安全設定/公鑰政策”下),您可以讓為其配置這些設定的域系統容器的成員使用者在“使用者”組政策設定重新整理時自動申請特定類型的證書。
對于無線用戶端通路,可配置“自動注冊設定”組政策設定以自動申請使用“證書模闆”管理單元建立的使用者證書模闆。有關為 Windows Server 2003 Enterprise Edition CA 的使用者證書配置證書模闆和自動注冊的更多資訊,請參見“Windows Server 2003 幫助和支援”中“清單:配置證書自動注冊”主題。
通過 Web 申請證書
通過 Web 申請證書又稱 Web 注冊,它通過 Internet Explorer 完成。對于位址,請鍵入 http://伺服器名/certsrv,其中伺服器名 是 Windows 2000 CA 的計算機名。一個基于 Web 的向導将引導您完成申請證書的步驟。請注意,證書的存儲位置(“目前使用者”存儲區或“本地計算機”存儲區)由執行進階證書申請時是否選中“使用本地機器儲存”複選框決定。預設情況下該選項被禁用,證書将存儲在“目前使用者”存儲區。您必須具有本地管理者特權才能将證書存儲在“本地計算機”存儲區。
使用“證書”管理單元申請證書
申請證書的另一方法是使用“證書”管理單元。要申請一個證書以将其存儲在“目前使用者”存儲區,請打開“證書-目前使用者/個人/證書”檔案夾,右鍵單擊“證書”檔案夾,指向“所有任務”,然後單擊“申請新證書”。證書申請向導将引導您完成申請證書的步驟。對于無線通路,為“目前使用者”存儲區申請的證書必須具有“用戶端身份驗證”證書目的。
要申請一個證書以将其存儲在“本地計算機”存儲區,請打開“證書(本地計算機)/個人/證書”檔案夾,右鍵單擊“證書”檔案夾,指向“所有任務”,然後單擊“申請新證書”。證書申請向導将引導您完成申請證書的步驟。對于無線通路,為“本地計算機”存儲區申請的證書必須具有“用戶端身份驗證”證書目的。對于 IAS 伺服器的證書,為“本地計算機”存儲區申請的證書必須具有“伺服器身份驗證”證書目的。
使用“證書”管理單元導入證書
上述所有證書申請方法均假定已存在網絡連接配接,例如使用便攜式計算機的以太網端口。對于那些隻有無線網絡連接配接的配置(如果沒有證書就無法獲得無線連接配接),您也可使用“證書”管理單元從軟碟、CD光牒或其他可寫式媒體導入證書檔案。
要導入一個證書以将其存儲在“目前使用者”存儲區,請打開“證書-目前使用者/個人/證書”檔案夾,右鍵單擊“證書”檔案夾,指向“所有任務”,然後單擊“導入”。證書導入向導将引導您完成從證書檔案導入證書的步驟。對于無線通路,導入“目前使用者”存儲區的證書必須具有“用戶端身份驗證”證書目的。
要導入一個證書以将其存儲在“本地計算機”存儲區,請打開“證書(本地計算機)/個人/證書”檔案夾,右鍵單擊“證書”檔案夾,指向“所有任務”,然後單擊“導入”。證書導入向導将引導您完成從證書檔案導入證書的步驟。對于無線通路,導入“本地計算機”存儲區的證書必須具有“用戶端身份驗證”證書目的。對于 IAS 伺服器的證書,導入“本地計算機”存儲區的證書必須具有“伺服器身份驗證”證書目的。
如果使用 PEAP-MS-CHAP v2,則可能必須安裝頒發您的 IAS 伺服器上安裝的計算機證書的 CA 的根 CA 證書。要獲得根 CA 證書,請首先将 IAS 伺服器上的“證書(本地計算機)/受信任的根證書頒發機構/證書”檔案夾中的根 CA 證書導出到一個檔案 (*.P7B) 中。然後,将該根 CA 證書檔案導入無線用戶端上的“證書(本地計算機)/受信任的根證書頒發機構/證書”檔案夾中。
注意 也可以通過輕按兩下檔案夾中存儲的或在電子郵件中發送的證書檔案來導入證書。這種方法對使用 Windows CA 建立的證書可行,但對第三方 CA 卻不起作用。導入證書的推薦方法是使用“證書”管理單元。
使用 CAPICOM 建立程式或腳本
使用 Web 注冊或“證書”管理單元申請證書需要使用者幹預。要自動執行證書分發過程,網絡管理者可以使用 CAPICOM 編寫一個可執行程式或腳本。CAPICOM 是一個支援自動操作的 COM 用戶端,它能夠使用 Microsoft® ActiveX® 和 COM 對象執行加密函數 (CryptoAPI)。
CAPICOM 接口可用于執行基本的加密任務,其中包括:對資料進行簽名、驗證簽名、封裝消息、解密封裝的消息、加密資料、解密資料以及檢查數字證書的有效性。可以通過 Visual Basic®、Visual Basic Scripting Edition 和 C++ 來使用 CAPICOM。
要執行使用者和計算機證書的企業部署,可以通過電子郵件分發 CAPICOM 程式或腳本,也可以将使用者指向包含 CAPICOM 程式或腳本連結的 Web 站點。或者,也可以将 CAPICOM 程式或腳本放在使用者的登入腳本檔案中以自動執行。使用者或計算機證書的存儲位置可以使用 CAPICOM API 指定。
有關 CAPICOM 的資訊,請在 http://msdn.microsoft.com 上搜尋“CAPICOM”。
組政策和基于 EAP-TLS 的 IEEE 802.1X 身份驗證
組政策設定定義了需要由系統管理者管理的使用者桌面環境中的各種元件;例如,使用者可以使用的程式、出現在使用者桌面上的程式,以及“開始”菜單選項。您指定的組政策設定包含在一個組政策對象中,該組政策對象又與標明的 Active Directory 容器對象站點、域或者組織單元關聯。組政策包括将影響使用者的“使用者配置”的設定,以及将影響計算機的“計算機配置”設定。
IEEE 802.1X 和“計算機配置”組政策
當計算機啟動,獲得網絡連接配接,并找到域控制器時,就會對“計算機配置”組政策進行更新。計算機将基于它在域系統容器中的成員資格來嘗試下載下傳最新的“計算機配置”組政策。
如果一個配置為使用 EAP-TLS 身份驗證的 Windows 無線用戶端沒有安裝計算機證書,那麼它就不能通過無線 AP 的身份驗證,因而也就無法擷取無線區域網路連接配接。是以,查找域控制器并下載下傳最新的“計算機配置”組政策的嘗試也就會失敗。這一事件将記錄在事件日志中。
解決這一問題的辦法是在 Windows 無線用戶端上安裝一個計算機證書,這樣在定位域控制器和下載下傳“計算機配置”組政策期間就會具有無線區域網路連接配接。
IEEE 802.1X 和“使用者配置”組政策
當一個使用者提供正确的憑據并登入到域時,将會對“使用者配置”組政策進行更新。如果沒有安裝計算機證書(并且該計算機在無線 AP 上也沒有通過身份驗證),那麼登入就使用緩存的憑據來進行。該使用者的證書存儲區中的使用者證書可用之後,配置為使用 EAP-TLS 的 Windows 無線用戶端就會嘗試向無線 AP 進行身份驗證。根據無線身份驗證所花的時間長短情況,“使用者配置”組政策的下載下傳也可能會失敗。這一事件将記錄在事件日志中。
解決這一問題的辦法是在 Windows 無線用戶端上安裝一個計算機證書。安裝了計算機證書之後,Windows 無線用戶端就會在整個登入過程中具有無線區域網路連接配接,是以應該總是能夠下載下傳最新的“使用者配置”組政策。
注意 使用 PEAP-MS-CHAP v2 進行的計算機身份驗證是通過使用與該計算機的帳戶關聯的帳戶名和密碼完成的,該帳戶名和密碼是在建立計算機帳戶時自動配置設定的。計算機身份驗證的憑據始終可用,并在計算機啟動過程中用來擷取對無線網絡的通路。使用 PEAP-MS-CHAP v2 進行的使用者身份驗證是通過使用與計算機的使用者關聯的帳戶名和密碼完成的。預設情況下,使用者的登入憑據(使用者名和密碼)在用戶端成功登入到計算機上後自動用于執行使用者身份驗證。可以從 MS-CHAP v2 PEAP 類型的屬性中配置自動使用使用者登入憑據。