|
将 IAS 用作 RADIUS 服务器的设计注意事项 |
aku1 发表于 2007-12-18 18:03:19 | 将 IAS 用作 RADIUS 服务器的设计注意事项将 IAS 部署为 RADIUS 服务器时,请考虑以下设计问题: • IAS 作为 RADIUS 服务器的常见用法 有关将 IAS 用作 RADIUS 服务器的公用方式,请参阅作为 RADIUS 服务器的 IAS。 • IAS 服务器域成员身份 您必须确定 IAS 服务器计算机是哪个域中的成员。对于多个域环境,IAS 服务器可以对域(IAS 服务器是其中成员)中用户帐户的凭据以及信任此域的所有域进行身份验证。但是如果要读取用户帐户的拨入属性,对于每个域,都必须将 IAS 服务器的计算机帐户添加到 RAS 和 IAS 服务器组中。有关详细信息,请参阅使 IAS 服务器读取 Active Directory 中的用户帐户。Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 还提供跨林身份验证。详细信息,请参阅跨林访问资源。 • RADIUS 端口 您可以将 IAS 服务器配置为接收发往 UDP 端口而不是默认端口 1812 和 1645(对于 RADIUS 身份验证)以及端口 1813 和 1646(对于 RADIUS 记帐)的 RADIUS 消息。详细信息,请参阅配置 IAS 端口信息。 • RADIUS 客户端 RADIUS 客户端可以是访问服务器(例如,拨号服务器或 VPN 服务器、无线访问点或者以太网交换机),也可以是 RADIUS 代理。IAS 支持符合 RFC 2865“远程身份验证拨入用户服务 (RADIUS)”标准的所有访问服务器和 RADIUS 代理。 将每个把 RADIUS 请求消息发送至 IAS 服务器的访问服务器或 RADIUS 代理配置为 IAS 服务器上的 RADIUS 客户端。对于每个 RADIUS 客户端,可以配置好记的名称、IP 地址或 DNS 名、客户端供应商、共享的机密以及是否使用 RADIUS“消息验证程序”属性。详细信息,请参阅配置 RADIUS 客户端。 可以指定 RADIUS 客户端的 IP 地址或 DNS 名。多数情况下,最好使用 IP 地址指定 RADIUS 客户端。使用 IP 地址时,IAS 在启动时不需要解析主机名称,因此启动速度会快得多。如果您的网络中包含很多 RADIUS 客户端,使用 IP 地址则尤其有用。除了需要管理的灵活性以外还需要其他性能时(例如,将多个 RADIUS 客户端 IP 地址映射到单个 DNS 名的功能),可以使用 DNS 名指定 RADIUS 客户端。 通过 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可以使用地址范围指定 RADIUS 客户端。RADIUS 客户端的地址范围在网络前缀长度符号 w.x.y.z/p 中表示,其中 w.x.y.z 是用点分隔的十进制符号表示的地址前缀,p 是前缀长度(用于定义网络前缀的高节数字)。这也被称为“无类别的域间路由 (CIDR)”表示法。例如,192.168.21.0/24。p 是子网掩码中被设置为 1 的高节数字,用于将子网掩码符号转换为网络前缀长度符号。 • 第三方访问点 要确定第三方访问点是否能够作为 RADIUS 服务器与 IAS 交互,请参阅用于使用 RADIUS 属性和特定供应商属性的第三方访问点文档。 要测试用于 PPP 连接的基本互操作性,请将访问点和访问客户端配置为使用密码验证协议 (PAP)。测试您用于网络访问的验证协议之前,请使用其他 PPP 验证协议。 • 连接请求策略配置 名为“对所有用户使用”的默认连接请求策略会在当 IAS 用作 RADIUS 服务器时配置。有关默认连接请求策略的设置的详细信息,请参阅连接请求策略。其他连接请求策略可用于定义更多特定条件、操作属性和指定高级属性。使用“新建连接请求策略向导”创建常用连接请求策略或自定义连接请求策略。有关连接请求策略和在 IAS 用作 RADIUS 服务器的情况下如何配置它们的详细信息,请参阅连接请求处理简介。 • 领域替换 要在连接请求的用户名中正确替换或转换领域名,则必须在相应的连接请求策略上配置用于 User-Name 属性的属性操作规则。详细信息,请参阅连接请求策略和配置属性操作。 • 远程访问策略配置 远程访问策略可以用于定义特定条件、设置拨入约束、设置允许的身份验证协议和加密长度以及指定高级属性。使用“新建远程访问策略向导”创建常用连接请求策略或自定义连接请求策略。详细信息,请参阅远程访问策略简介。 • 远程访问策略和按用户或组进行授权 在小型组织中,可以通过设置每个用户帐户中的远程访问权限来管理授权。对于大型组织,可以将每个用户帐户中的远程访问权限设置为通过远程访问策略进行控制。下一步,将远程访问策略配置为使用组成员身份授予访问权。详细信息,请参阅远程访问策略简介。 • 使用附加 RADIUS 属性和特定于供应商的属性 如果要返回使用 RADIUS 请求的附加 RADIUS 属性或特定于供应商的属性 (VSA),则必须将 RADIUS 属性或 VSA 添加至相应的远程访问策略。详细信息,请参阅特定供应商的属性概述和配置配置文件的属性。 • 日志记录的使用 您可以启用身份验证事件的事件日志记录,以协助进行疑难解答和调试连接尝试。详细信息,请参阅IAS 的事件日志记录。有关记录用户身份验证和记帐请求以供分析和连接开单的详细信息,请参阅记录用户身份验证和记帐请求。 • 中期记帐 要使用中期记帐,首先需要验证您的访问服务器是否支持发送中期记帐消息。然后从相应的远程访问策略的配置文件设置上的“高级”选项卡中添加 Acct-Interim-Interval RADIUS 属性。使用时间间隔(以分钟计)将 Acct-Interim-Interval 属性配置为发送周期中期记帐消息。有关详细信息,请参阅将 RADIUS 属性添加到远程访问策略。下一步,启用周期状态的日志记录。详细信息,请参阅选择要记录的请求。 路由和远程访问服务支持中期记帐消息的发送,此服务可在配置 RADIUS 记帐提供程序时从 RADIUS 服务器的属性中启用。详细信息,请参阅使用 RADIUS 记帐。 • 性能和容量计划 有关调整性能和在较大的单位中使用 IAS 的信息,请参阅IAS 最佳操作。 • 多台 IAS 服务器 要为基于 RADIUS 的身份验证和记帐提供容错处理,您应该始终使用至少两台 IAS 服务器。一台 IAS 服务器用作主 RADIUS 服务器,另一台用作备份。为两台 IAS 服务器都配置访问服务器。主 IAS 服务器不可用时,则切换至使用备份 IAS 服务器。有关如何使多个 IAS 服务器的配置同步的信息,请参阅管理多台 IAS 服务器。 将 IAS 用作 RADIUS 服务器时的安全注意事项将 IAS 部署为 RADIUS 服务器时,请考虑以下安全问题: • 共享机密 配置强共享机密并对其进行频繁更改,以防止受到字典攻击。强共享机密是一个由随机字母、数字和标点符号组成的较长序列(多于 22 个字符)。详细信息,请参阅共享的机密。 • “Message Authenticator”属性 要确保传入的 RADIUS 访问请求消息(用于使用 PAP、CHAP、MS-CHAP 和 MS-CHAP v2 身份验证协议的连接请求)是从使用正确的共享机密配置的 RADIUS 客户端发出的,可以使用 RADIUS“Message Authenticator”属性(也称为数字签名或签名属性)。必须同时在 IAS 服务器(作为 Internet 验证服务中 RADIUS 客户端配置的一部分)和 RADIUS 客户端(访问服务器或 RADIUS 代理)上启用“Message Authenticator”属性。请在启用“Message Authenticator”属性前确保 RADIUS 客户端支持此属性。“Message Authenticator”属性总是与 EAP 一起使用,而不必在 IAS 服务器和访问服务器上启用它。详细信息,请参阅编辑 RADIUS 客户端配置。 有关启用访问服务器的 RADIUS“Message Authenticator”属性的信息,请参阅相应访问服务器文档。对于路由和远程访问服务,在配置 RADIUS 身份验证提供程序时可以通过 RADIUS 服务器的属性启用 RADIUS“消息验证程序”属性。详细信息,请参阅使用 RADIUS 身份验证。 • 防火墙配置 如果 IAS 服务器位于外围网络(也称为外围安全区域或 DMZ),则需配置 Internet 防火墙(在外围网络和 Internet 之间),以便允许 RADIUS 消息在您的 IAS 服务器与 Internet 上的 RADIUS 客户端之间传送。您可能需要配置位于外围网络和 Intranet 之间的其他防火墙,以允许通讯在外围网络上的 IAS 服务器和 Intranet 上的域控制器之间传递。详细信息,请参阅 IAS 和防火墙。 • 身份验证协议 IAS 支持几种不同的身份验证协议。身份验证协议从最安全到最不安全的顺序如下:PEAP-EAP-TLS(仅用于无线客户端和已通过身份验证的交换机客户端)、EAP-TLS、PEAP-EAP-MS-CHAPv2(仅用于无线客户端和已通过身份验证的交换机客户端)、MS-CHAP v2、MS-CHAP、EAP-MD5、CHAP 和 PAP。Microsoft 建议您只使用配置所需的最安全可靠的身份验证协议。对于基于密码的身份验证协议,必须强制实施强密码策略以防止受到字典攻击。除非需要,否则不推荐使用 PAP。详细信息,请参阅身份验证方法。 • 远程访问帐户锁定 要防止通过使用已知的用户名对访问服务器启动联机字典攻击,您可以启用远程访问帐户锁定。达到所配置的连接尝试失败次数后,远程访问帐户锁定将禁用对用户帐户的远程访问。详细信息,请参阅远程访问帐户锁定。 远程访问帐户锁定也可以用于防止恶意用户通过使用错误的密码多次尝试拨号或 VPN 连接而蓄意锁定域帐户。可以将用于远程访问帐户锁定的尝试失败次数设置为比用于域帐户锁定的登录重试次数的值小。通过此操作,锁定域帐户之前就会发生远程访问帐户锁定,这样可以防止蓄意锁定域帐户。 • 基于证书的身份验证 在使用 EAP-TLS 身份验证协议时,您必须在 IAS 服务器上安装计算机证书。对于客户端和用户身份验证,可以在客户端计算机上安装证书或者使用智能卡。对证书进行注册之前,证书必须满足正确的需求和目的。详细信息,请参阅网络访问身份验证和证书和基于证书的身份验证的计算机证书。 • 使用受保护的可扩展身份验证协议 (PEAP) 的无线客户端的身份验证 可以使用带有 EAP-TLS 的 PEAP(也称为 PEAP-EAP-TLS)部署带有 PEAP 的证书。带有 EAP-MS-CHAPv2 的 PEAP(也称为 PEAP-EAP-MS-CHAPv2)能够提供安全密码身份验证。PEAP-EAP-TLS 使用带有证书的公钥结构 (PKI) 进行服务器身份验证,使用智能卡或证书进行客户端和用户身份验证。使用 PEAP-EAP-TLS 时,将对客户端证书信息进行加密。 尽管对证书部署使用带智能卡的 PEAP-EAP-TLS 是最安全的身份验证方法,但是向无线客户端和已通过身份验证的交换机客户端部署证书的复杂性和成本对于您的组织而言可能不切实际。PEAP-EAP-MS-CHAPv2 对安全性与部署成本和复杂性进行了权衡。与 MS-CHAPv2 不同,PEAP-EAP-MS-CHAPv2 是一种相互身份验证方法,它能够使用传输级别安全性 (TLS) 创建客户端与身份验证方之间的端对端加密连接。客户端可能通过使用服务器的证书对服务器进行身份验证,而服务器可以通过基于密码的凭据对客户端进行身份验证。有关使用 PEAP 的远程访问策略的示例,请参阅使用安全密码身份验证的无线访问。 • Active Directory 中 IAS 服务器的注册 在 IAS 服务器访问 Active Directory 域以便对用户凭据和用户访问帐户属性进行身份验证之前,必须在这些域中注册 IAS 服务器。详细信息,请参阅使 IAS 服务器读取 Active Directory 中的用户帐户。 • 使用 IPSec 筛选器锁定 IAS 服务器 您可以对 IPSec 筛选器进行更为细化的配置,以便只允许特定通讯进出 RADIUS 服务器上的网络接口。可以将这些筛选器应用于组织单位并存储在 Active Directory 中,也可以创建这些筛选器并将其应用到单独的服务器。详细信息,请参阅使用 IPSec 来保证 RADIUS 的通信安全 基于证书的身份验证的计算机证书使用可扩展的身份验证协议 - 传输级别安全性 (EAP-TLS) 之前,必须在 Internet 验证服务 (IAS) 服务器计算机上安装计算机证书(也称为机器证书)。安装的计算机证书必须从能够遵照访问客户端信任的根 CA 证书链的证书颁发机构 (CA) 颁发。此外,为了使 IAS 服务器验证访问客户端的用户或计算机证书,IAS 服务器必须将颁发用户或计算机证书的根 CA 证书安装到访问客户端。 详细信息,请参阅网络访问身份验证和证书。 要安装计算机证书,必须能够通过 CA 颁发证书。对 CA 进行配置后,则可以在 IAS 服务器上安装计算机证书: • 通过为 Active Directory 域中的计算机配置计算机证书自动分配。 • 通过使用证书管理器获取计算机证书。 • 通过使用 Microsoft Internet Explorer 和基于 Web 的注册。 要配置 CA 并安装计算机证书,请完成以下步骤: 1. 将证书服务组件安装为企业根 CA。详细信息,请参阅安装企业根证书颁发机构。此步骤仅在尚未安装企业根 CA 时需要。 如果需要,请将作为 CA 的计算机配置为域控制器。 2. 要通过自动注册来安装计算机证书,请在 Active Directory 域上配置组策略,用于计算机证书的自动分配。详细信息,请参阅从企业 CA 配置自动证书分配。 要为作为域(已为该域配置了自动注册)成员的 IAS 服务器(以及作为该域成员的其他计算机)创建计算机证书,请重新启动计算机,或在命令提示符下键入 gpupdate /target:computer。 3. 要手动注册计算机证书,请使用证书管理器安装访问客户端的 CA 根证书和用于 IAS 服务器的计算机证书。详细信息,请参阅管理计算机证书和申请证书。 4. 要使用 Internet Explorer 手动注册计算机证书,请参阅通过 Web 提交高级证书申请。 注意 • 虽然 Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 以及 Windows Server 2003 Datacenter Edition 允许安装多个计算机证书,但是只能为所有通过 EAP-TLS 指定身份验证的远程访问策略选择一个证书。 • 在旧的证书吊销列表 (CRL) 过期之前,IAS 服务器不会使用新的 CRL,该列表由证书颁发机构 (CA) 发布。如果证书已过期,并且 IAS 服务器检查到存在旧的但未过期的 CRL,IAS 服务器将允许客户端使用已吊销的证书连接到网络。要防止这种情况发生,可以使用较短的过期时间(一小时或更长)发布 CRL。 • 您可以在 Windows Server 2003 Standard Edition 中配置 IAS,最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。您可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端,但不能通过指定 IP 地址范围定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址,则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外,您可以通过指定 IP 地址范围来配置 RADIUS 客户端
|
阅读全文 | 回复(0) | 引用通告 | 编辑 |
发表评论:
|