admin 管理员组文章数量: 887021
2024年3月21日发(作者:健身房的男女关系很乱吗)
Radius认证服务器的配置与应用(802.1x)
2011年7月8日 09:476,356 次阅读发表评论阅读评论
文章作者:姜南(Slyar) 文章来源:Slyar Home () 转载请注明,谢谢合作。
Radius认证服务器的配置与应用(802.1x)
作者:北京师范大学珠海分校 - 信息技术学院 - 姜南
环境:Windows 2003 Radius服务器+Cisco 2950交换机+Windows XP/2003客户端
IEEE 802.1x协议
IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可
控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)
标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要
用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,
同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术,在局域
网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果
能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则
无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。
IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是
IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然
IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端
口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种
是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。其
中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE
802.1x协议。
RADIUS服务器
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三
种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了
3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)
是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。
RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用
户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有
数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用
的安全性。
基于IEEE 802.1x认证系统的组成
一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对
认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的
就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己
的IEEE 802.1x客户端软件。
认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的
连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口
(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控
端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;
非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。
认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证
服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认
证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司
的Windows Server 2003操作系统自带有RADIUS服务器组件。
实验拓扑图
安装RADIUS服务器
如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则
可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数
据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS
服务器提供的认证功能相同。为便于实验,下面以一台运行Windows Server 2003的独立服务器为例进
行介绍,该计算机的IP地址为172.16.2.254。
在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除Windows组件"
版权声明:本文标题:Radius认证服务器的配置与应用 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1711008280h586135.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论