詳解RADIUS服務管理策略

創建RADIUS服務器

使用域管理員身份登錄RADIUS服務器，在服務器管理器中左側點擊“角色”項，在右側點擊“添加角色”鏈接，在向導界面中點擊下一步按鈕，在選擇服務器角色窗口中選擇“網絡策略和訪問服務”項，在下一步窗口中選擇“網絡策略服務器”項，之后點擊“安裝”按鈕，完成所需角色安裝操作。

對于本機來說，可以在管理工具菜單中點擊“網絡策略服務器”項，來啟動網絡策略服務器。對于其他RADIUS服務器，可以運行“mmc”命令，點擊菜單“文件”→“添加刪除管理單元”項，在“可用的管理單元”列表中選擇“網絡策略服務器”項，點擊“添加”按鈕，選擇“另一臺計算機”項，輸入目標主機IP或者名稱，就可以對其進行管理了。

注冊網絡策略服務器

在本例中，網絡策略服務器隸屬于域環境，所以需要在網絡策略服務器窗口左側選擇“NPS（本地）”項，在其右鍵菜單上點擊“在Active Directory中注冊服務器”項，系統會彈出提示窗口，顯示“若要啟動NPS來對Active Directory中的用戶進行身份驗證，運行NPS的計算機必須向從該域中讀取用戶撥入屬性的權限，是否要授予該計算機從XXX域中讀取用戶撥入屬性的權限？”內容的警告信息，點擊確定按鈕，將網絡策略服務器注冊到其所隸屬的域。

創建RADUIS客戶端

前面說過，RADIUS客戶端其實就是遠程訪問服務器、VPN服務器等對象，這些服務器需要和客戶訪問直接打交道。在本例中，VPN服務器就是RADIUS客戶端。當網絡策略服務器安裝之后，系統默認將其視為RADIUS服務器，這就需要為其指定RADIUS客戶端。

圖1 創建RADUIS客戶端

在RADIUS服務器上打開網絡策略服務器控制臺窗口，在左側選擇“NPS（本地）”→“RADIUS客戶端和服務器”→“RADIUS客戶端”項，在其右鍵菜單中點擊“新建”項，在新建RADIUS客戶端窗口（如圖1）中的“設置”面板中選擇“啟用此RADIUS客戶端”項，在“友好名稱”欄中輸入客戶端名稱（例如“VPN服務”），在“地址（IP或DNS）”欄中輸入VPN服務器的IP地址或者計算機名稱，如果輸入的是計算機名稱，需要點擊“驗證”按鈕，來檢測是否可以解析到VPN服務器的IP地址。

設置安全驗證方式

在“共享機密”欄中選擇“手動”項，可以手工輸入密碼。也可以選擇“生成”項，讓系統自動創建密碼。注意，密碼是區分大小寫的，在RADIUS客戶端也需要設置相同的密碼，否則RADIUS服務器將拒絕接受客戶端發送來的各種請求信息。在“高級”面板中選擇“Microsoft”或 者“R A D I U S Standard” 均 可。 選擇“Accept-Request消息必須包含Message-Authenticator”項，表示雙方采用了 PAP，CHAP，MS-CHAP，MS-CHAP v2 安全驗證方式的話，則需要RADIUS客戶端發送消息驗證程序屬性，這樣如果有假冒的RADIUS客戶端的話，就可以將其IP找出來。

這樣，可以提高雙方通訊的安全性。如果采用的是EAP驗證方式，則默認選中該功能。選擇“RADIUS客戶端支持NAP”項，表示客戶端需要支持網絡訪問保護功能，即客戶端必須是健康的。例如客戶端是否運行了防火墻，殺軟和反間諜軟件，是否開啟了自動更新功能等。如果客戶端不支持NAP功能，說明其運行狀態不健康，可能受到了病毒黑客等威脅，是不允許其連接RADIUS服務器的。

保存設置信息后，就可以將VPN服務器變成RADIUS客戶端了。之后需要在該客戶端上進行必要的設置，允許其將接收到了遠程用戶的訪問請求發送給RADIUS服務器。

配置RADIUS客戶端

在VPN服務器上打開路由和遠程訪問控制臺，在左側點擊“路由和遠程訪問”→“VPN（本地）”項，在其屬性窗口中的“安全”面板中的“身份驗證提供程序”列表中選擇“RADIUS身份驗證”項。點擊“配置”按鈕，在彈出窗口中點擊“添加”按鈕，在添加RADIUS服務器窗口（如圖2）中的“服務器名稱”欄中輸入RADIUS服務器的IP，在共享機密”欄中輸入上述密碼。在“超時”欄中設置合適的數值，默認為5秒。

如果VPN服務器將訪問請求發送給該RADIUS服務器后，在預設時間內沒有收到回應信息，就會將驗證請求發送給其他的RADIUS服務器，當然，需要存在多臺RADIUS服務器方可。

如果存在多臺RADIUS服務器的話，可以在“初始分數”欄中為該RADIUS服務器設置優先級參數，該值越大優先級越高。在發送驗證請求時，VPN服務器會優先將其發送給優先級高的RADIUS服務器。在“端口”欄中可以更改RADIUS服務器的端口號，默認為1812。

圖2 添加RADIUS服務器

選擇“一直使用消息驗證者”項，則需要RADIUS服務器端上選擇“Accept-Request消息必須包含Message-Authenticator”項與之匹配。在“安全”面板中的“記賬提供程序”列表中選擇“RADIUS記賬”項，表示VPN服務器將記賬操作轉交給RADIUS服務器來處理，所謂記賬指的是記錄每一個遠程連接的狀態，例如接受或者拒絕遠程連接，記錄其登錄和注銷操作等。

點擊“配置”按鈕，可以對其進行配置，具體操作比較簡單大體和上述相同，記賬服務的默認端口號為1813。

設置RADIUS代理服務

在一些情況下，單一的RADIUS服務器時無法滿足需求的。這就需要使用RADIUS代理服務。那么，RADIUS服務器是自行處理連接請求，還是將其轉發給其他的RADIUS服務器，其實是由其內置的連接請求策略決定。當安裝好網絡策略服務器后，其實際上就變成了RADIUS服務器。通過設置連接請求策略，就可以確定是讓該RADIUS服務器來處理連接請求，還是交由另外的RADIUS服務器來處理驗證請求。

在RADIUS服務器的網絡策略服務器控制臺左側點擊“NPS（本地）”→“策略”→“連接請求策略”項，在窗口右側顯示其內置的名稱為“Use Windows authentication for all users”的連接請求策略，雙擊該策略，在其屬性窗口中的“條件”面板中顯示只要一個星期內任意時段都可以連接的控制功能。

在“設置”面板中左側點擊“身份驗證”項，在右側默認選擇“在此服務器上時請求進行身份驗證”項，表示直接由該RADIUS服務器對連接請求進行驗證。如果選擇“將請求轉發到以下遠程RADIUS服務器組進行身份驗證”項，那么該機就會充當RADIUS代理服務器的角色，在其下的列表中選擇RADIUS服務器組的特定RADIUS服務器。

當然，前提是必須創建RADIUS服務器組方可。如果選擇“不驗證憑據就接受用戶”項，則直接允許用戶的任意連接請求。

創建RADIUS服務器組

上面談到，使用RADIUS代理服務，就需要創建RADIUS服務器組。方法是在網絡策略服務器控制臺左側選擇“NPS（本地）”→“RADIUS客戶端和服務器”→“遠程RADIUS服務器組”項，在其右鍵菜單上點擊“新建”項，在彈出窗口的“組名”欄中設置RADIUS服務器組的名稱，點擊“添加”按鈕，在打開窗口中的“服務器”欄中輸入目標RADIUS服務器的IP，點擊“驗證”按鈕，如果輸入的是計算機名稱，可以點擊“驗證”按鈕，檢測是否可以解析其IP。

圖3 查看網絡控制策略

圖4 網絡策略屬性窗口

按照同樣的方法，可以添加其他的RADIUS服務器。在上述窗口右側顯示創建的RADIUS服務器組信息，雙擊目標組，在其屬性窗口中顯示其包含的所有RADIUS服務器。雙擊目標RADIUS服務器，在其屬性窗口中可以更改其地址，身份驗證方式，共享密碼，記賬端口等參數。在其中的“負載均衡”面板中的可以設置該RADIUS服務器的優先級和權重。優先級為1表示等級最高。當RADIUS代理服務器在轉發連接請求時，優先級的高的。其轉發的頻率也越高，即首先將其轉發給優先級高的RADIUS服務器。如果兩臺RADIUS優先級相同，則比較其權重參數，權重越高，轉發的頻率就越高。

使用網絡策略，控制VPN連接

為了提高安全性，VPN服務器有時需要對用戶的訪問進行必要的控制，例如指定用戶可以連接的時間段，讓指定組中的用戶才可以連接服務器，規定用戶必須使用特定的驗證協議和加密方式進行連接等。這就涉及到網絡策略的配置問題，在VPN服務器上打開路由和遠程訪問窗口，在服務器名稱下選擇“遠程訪問日志與策略”項，在其右鍵菜單上點擊“啟動NPS”項，在右側窗口顯示已有的網絡策略（如圖3）。按照排列順序，越靠前的網絡策略擁有的優先權越高。

在VPN客戶端連接VPN服務器時，系統會使用這些網絡策略對其進行檢測，檢測順序從上到下按照優先級進行，只有任意一個網絡策略出現問題，VPN服務器就會拒絕用戶的連接請求。

例如在域控制器中打開Active Directory用戶和計算機窗口，雙擊用于VPN訪問的賬戶，在其屬性窗口中的“撥入”面板中如果選擇通過NPS網絡策略控制訪問”項，那么在上述網絡策略列表中雙擊“到Microsoft路由和遠程訪問服務器的連接”項，在其屬性窗口（如圖4）中的“概述”面板中選擇拒絕訪問”項，那么客戶端是無法連接VPN服務器的。

創建新的網絡策略

在網絡策略服務器窗口左側選擇“策略”→“網絡策略”項，在其右鍵菜單上點擊“新建”項，在向導界面中的“策略名稱”欄目中輸入策略名（例如“新的策略”），選擇“網絡訪問服務器類型”項，在列表中選擇“Remote Access Server（VPN-Dial up）”項，表示需要使用VPN進行遠程訪問。點擊下一步按鈕，在指定條件窗口中點擊“添加”按鈕，在選擇條件窗口中選擇“用戶組”項，點擊“添加”按鈕，在用戶組窗口中點擊“添加組”按鈕，導入名為ycfw賬戶組。這樣，只有該組中的賬戶才可以連接VPN服務器。

在選擇條件窗口中選擇“NAS端口類型”，點擊“添加”按鈕，在RAS端口類型窗口中選擇“Virtual（VPN）”項，表示只允許使用VPN連接的用戶訪問服務器。

在向導界面中的“指定訪問權限”窗口中選擇“已經授予訪問權限”項，點擊下一步按鈕，在配置身份驗證方法窗口中選擇安全級別的身份驗證法方法。選擇“用戶可以在密碼過期后更改密碼”項，可以用戶在密碼過期時更改密碼。

在下一步的“配置約束”窗口左側選擇“日期時間限制”項，在右側窗口中點擊“編輯”按鈕，可以在彈出窗口中設置允許訪問的時間段。點擊下一步按鈕，選擇“加密”項，在右側窗口取消“無加密”項的選擇狀態，選擇“基本加密（MPPE 40位）”，“加強型加密（MPPE 56位）”，“最強加密（MPPE 128位）”等項，來指定VPN連接加密方式。點擊“完成”按鈕，創建該網路訪問策略。

配合合適的路由信息

為了讓VPN客戶端安全的訪問內網，管理員還需要為其配置路由信息，保證其可以訪問到內網設備打開路由和遠程訪問窗口，在左側服務器名稱下選擇“IPv4”→“靜態路由”項，在其右鍵菜單上點擊“新建靜態路由”項，在彈出窗口中為靜態路由設置接口名稱，目標IP，網絡掩碼，網關，躍點數等信息。按照同樣的方法，可以添加其它子網的IPv4靜態路由。同理，可以創建所需的IPv6靜態路由信息。

在路由和遠程訪問窗口左側選擇“IPv4”→“常規”項，在其右鍵菜單上點擊“新建路由協議”項，在新路由協議窗口中選擇“用于Internet協議的RIP版本2”項，點擊確定按鈕后，在窗口左側選擇“RIP”項，在其右鍵菜單菜單中選擇“新增接口”項，在彈出窗口中選擇內網接口，點擊確定按鈕打開RIP屬性窗口，在其中根據VPN服務器的內網子網中臨近RIP路由器來配置RIP路由協議。