(1)、试验名称:使用RADIUS来集中管理RAS服务器
(2)、试验目的:实现客户端通过×××通企业内网建立连接,同时由radius来管理RAS服务器
u       备注:本实验拓扑尽量简洁,达到实验目的即可,真实情况可能不止一台RADIUS客户端(×××服务器),RADIUS称为远程验证拨入用户服务,如果拥有不止一个RAS服务器,则可以使用RADIUS服务器来集中管理这些RAS服务器,如进行验证、授权、计费和审计。
(3)、实验拓扑:
使用RADIUS来集中管理×××服务器_职场
(4)、试验环境:使用VMWARE软件
本实验的工作原理:
1、×××客户端像×××服务器(即RADIUS客户端)发送建立连接请求
2、×××服务器(即RADIUS客户端)将来自×××客户端的请求转发给RADIUS服务器
3、RADIUS对来自×××服务器的请求进行验证,并且存储帐户信息
4、RADIUS服务器告诉RADIUS客户端(即×××服务器)是接受还是拒绝来自×××客户端的请求
使用RADIUS来集中管理×××服务器_VPN_02
(5)试验步骤:
大致的试验步骤如下:
1、在DC上安装internet验证服务
2、在××× 服务器上安装路由和远程访问(通过RADIUS验证)
3、在DC上指定RADIUS客户端(×××的内网卡),并建立一个帐户(给拨入属性)
4、在client上新建连接,进行验证
第一,
DC上安装INTERNET验证服务,RIDUS需要该服务的支持(DC域控制器的安装省略。域为dc.com)
使用RADIUS来集中管理×××服务器_VPN_03
 
使用RADIUS来集中管理×××服务器_职场_04
 
使用RADIUS来集中管理×××服务器_休闲_05
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
拓展知识:关于windows身份验证和RADIUS身份验证
当使用Windows验证时,如果×××服务器是独立服务器,则使用本地账户(SAM)来验证×××客户 ,并通过本地配置来决定是否授权×××客户的拨入;如果×××服务器是域成员服务器,则使用活动目录数据库来验证×××客户,并通过域用户拨入属性(所有属于此域的×××服务器共享)或者×××服务器的本地远程访问策略来决定是否允许×××客户的拨入。每个×××服务器使用自己独立的配置或者共享域用户拨入属性的配置。
如果使用RADIUS进行身份验证,那么×××服务器将×××客户提交的身份验证信息发送至RADIUS服务器进行验证,由RADIUS服务器来决定是否授权×××客户的访问。 多个×××服务器可以配置为使用一个RADIUS服务器,这是一种集中管理的身份验证、授权、记账方式。在Windows服务器中同样提供了RADIUS服务器组件
-----------------------------------------------
(二)、把××× srv加入到dc.com域中(步骤省略)×××上启用RAS服务。
还有一种方法是不要把×××加入到域中,客户端也可以在RADIUS上进行身份的验证,有兴趣的朋友可以自己试一下。
拓展介绍:关于RAS服务
远程访问服务提供了两种接入的方式:拨号连接和×××连接。现在主要采用×××连接的方式,因为通过虚拟专网的方式费用会较低,效率高,实现一定的身份认证和机密性。
×××使用一下的技术来保证安全性:
隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
在路由与远程访问中,远程访问策略的应用规则:
 
使用RADIUS来集中管理×××服务器_职场_06
 
首先要打开远程访问策略的控制台界面
 
 
使用RADIUS来集中管理×××服务器_职场_07
 
配置并启动路由和远程访问
使用RADIUS来集中管理×××服务器_RADIUS_08
 
进入配置向导的界面
 
使用RADIUS来集中管理×××服务器_VPN_09
选择远程访问(拨号或×××)
相关解释,如图:
“两个专业网络之间的安全连接,一般用于site to site 的连接
 
使用RADIUS来集中管理×××服务器_RADIUS_10
 
使用RADIUS来集中管理×××服务器_休闲_11
这里的本地连接要选择公网的网卡,即和客户端相连的那块网卡
使用RADIUS来集中管理×××服务器_RADIUS_12
IP地址本例采用手动指定的方式,如果有DHCP服务器,也可以使用自动。
使用RADIUS来集中管理×××服务器_RADIUS_13
下图中的地址范围是公司内部网络的私网地址,不要和公网的地址搞混淆了。
使用RADIUS来集中管理×××服务器_RADIUS_14
 
设置成和RADIUS服务器一起工作,如果过选择否,那么将在×××上做身份验证,而不会到RADIUS服务器上。
使用RADIUS来集中管理×××服务器_职场_15
 
使用RADIUS来集中管理×××服务器_RADIUS_16
 
使用RADIUS来集中管理×××服务器_RADIUS_17
 
 
第三、在DC上新建RADIUS客户端,并且在DC上新建一个帐户bbb,作为远程客户端登录的帐户
一会,我在客户端做验证的时候,用到的是域帐户。
 
使用RADIUS来集中管理×××服务器_RADIUS_18
 
使用RADIUS来集中管理×××服务器_RADIUS_19
客户端的IP地址是×××服务器即RADIUS客户端的内网卡的IP地址。
使用RADIUS来集中管理×××服务器_VPN_20
 
使用RADIUS来集中管理×××服务器_休闲_21
 
使用RADIUS来集中管理×××服务器_职场_22
 
 
-------------------------------------------
 
第四、×××服务器上确认一下身份验证的方式为RADIUS
使用RADIUS来集中管理×××服务器_RADIUS_23
使用RADIUS来集中管理×××服务器_RADIUS_24
下面两张图中的端口号要注意,如果client不能正常访问,那么端口也是要检查的,看看端口是不是出现了问题。
使用RADIUS来集中管理×××服务器_休闲_25
使用RADIUS来集中管理×××服务器_职场_26
使用RADIUS来集中管理×××服务器_职场_27
第五、在DC上新增一个用户bbb,作为客户端验证用户使用使用RADIUS来集中管理×××服务器_休闲_28
使用RADIUS来集中管理×××服务器_职场_29
使用RADIUS来集中管理×××服务器_RADIUS_30
使用RADIUS来集中管理×××服务器_休闲_31
下图中的“通过远程访问策略控制访问”的单选按钮是灰色不可用的,原因是因为:该机器处于域环境且属于混合模式,必须提升域功能级别为windows server 2003或者windows 2000本机模式。并且域功能的提升是单向的,只能升级不能降级。
使用RADIUS来集中管理×××服务器_RADIUS_32
第六、在客户端上新建连接,进行验证
使用RADIUS来集中管理×××服务器_休闲_33
使用RADIUS来集中管理×××服务器_休闲_34
使用RADIUS来集中管理×××服务器_RADIUS_35
使用RADIUS来集中管理×××服务器_VPN_36
这里面填写的IP地址是×××服务器的外网卡的IP地址。
使用RADIUS来集中管理×××服务器_职场_37
使用RADIUS来集中管理×××服务器_RADIUS_38
使用RADIUS来集中管理×××服务器_职场_39
 
 
 
 
 
 
 
 
至此,该拓展试验的主要步骤均以配置完成。
在客户端验证:输入用户bbb,密码123abc,.,可以正常登录,注意bbb是域用户帐户。
实验总结:
1、要把××× srv加入到域中。客户端在RADIUS上接受验证。
2、给用户的拨入权限。
3、注意RADIUS验证和RADIUS记账的端口号。
4、不要把域用户和×××本地帐户混淆了。
至此,本实验结束。
 
------------------------------------------