使用RADIUS来验证Web代理用户

使用RADIUS来验证Web代理用户内容概要：这篇文章最初的创意来自ldw710430，只是由于他比较忙，我来帮他写出来而已:)。远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议，通过与RADIUS服务器的通讯，未加入域的ISA防火墙可以对域中的用户进行身份验证以及根据RADIUS服务器上的访问策略来决定是否允许用户的访问。除了为VPN客户提供身份验证及授权访问外，利用ISAServer2004新增的特性，你还可以通过RADIUS服务器来验证和授权Web代理客户的访问，通过这篇文章，你可以学习到如何配置ISA防火墙来实现。远程身份验证拨号用户服务(RADIUS)是用于提供身份验证的工业标准协议。RADIUS客户端（通常是拨号服务器、虚拟专用网络(VPN)服务器或无线访问点）以RADIUS消息的形式将用户凭据和连接参数信息发送到RADIUS服务器，RADIUS服务器将用户身份信息转送到一个认证服务器上（在域环境中，这个认证服务器是活动目录的域控制器），认证服务器响应RADIUS服务器的身份验证请求，然后RADIUS服务器响应RADIUS客户端的身份验证请求。如果用户提交的身份验证信息有效并且用户获得连接授权，那么允许该客户连接；如果身份验证信息无效或者用户没有获得授权，那么连接将被拒绝。因此，如果RADIUS客户端收到的RADIUS服务器响应指出用户凭据不被批准，可能是因为RADIUS服务器未授权该用户而不仅仅是此用户凭据不能通过验证。在WindowsServer系列中，微软同样提供了RADIUS服务器，不过称为Internet身份验证服务器（IAS，InternetAuthenticationServer），你可以通过添加/删除Windows程序来添加，本文中的RADIUS服务器即IAS服务器。最常见的RADIUS服务部署环境是用于VPN客户的身份验证和记账，但是在ISA2004中，除了可以在VPN服务中部署RADIUS身份验证外，你也可以在Web代理中使用RADIUS身份验证。通过RADIUS服务，位于非域环境下的ISAServer就可以验证RADIUS服务器所属域中的用户账户。当使用IAS作为RADIUS服务器来验证Web代理客户时，你必须在IAS服务器上的远程访问策略的拨入配置文件中启用未加密的身份验证（即密码身份验证协议(PAP)或Shiva密码身份验证协议(SPAP)），否则Web代理客户将不能通过IAS服务器的身份验证。如果ISA防火墙配置为使用RADIUS认证，那么它成为一个RADIUS客户端，并且RADIUS服务器必须配置为和ISA防火墙这个RADIUS客户进行通信。所以，为了让RADIUS正常工作，你必须同时配置RADIUS服务器和ISA防火墙。本文的试验网络结构如下图所示：内部网络IP地址范围为10.1.1.0/24，部署了内部域CONTOSO.COM。Berlin上安装了ISA2004企业版作为边缘防火墙，连接内部和Internet，并没有加入域；Denver是DC、DNS、IAS服务器；Perth是内部网络中的一台客户机，加入了域CONTOSO.COM；Istanbul是Internet上的一台WEB服务器。我们在试验中将使用Perth来访问Istanbul上的Web服务来进行测试。各计算机的TCP/IP设置如下，在试验之前已经确认了网络连接工作正常：Berlin（ISA2004）：LANInterface：IP：10.1.1.8/24DG：NoneDNS：NoneInternetInterface：IP：39.1.1.8/24DG：39.1.1.1DNS：NoneDenver（IAS/DC/DNS）：LANInterface：IP：10.1.1.5/24DG：10.1.1.8DNS：10.1.1.5Perth：LANInterface：IP：10.1.1.2/24DG：10.1.1.8DNS：10.1.1.5Istanbul：InternetInterfaceIP：39.1.1.7/24DG：39.1.1.1DNS：None本文中的试验步骤如下：在RADIUS服务器上配置识别ISA防火墙为RADIUS客户；在RADIUS服务器上创建Web代理用户使用的远程访问策略；配置ISA防火墙使用RADIUS验证Web代理用户；在ISA防火墙创建访问规则允许RADIUS用户的访问；测试；在RADIUS服务器上配置识别ISA防火墙为RADIUS客户为了启用RADIUS身份验证，我们需要先配置RADIUS服务器识别ISA防火墙为RADIUS客户，执行以下步骤来配置RADIUS服务器识别ISA防火墙为RADIUS客户：在IAS服务器上运行管理工具下的Internet验证服务，在Internet验证服务控制台，右击RADIUS客户，然后点击新建RADIUS客户；在名字和地址页，在友好名字栏为ISA防火墙输入一个名字，在此我们命名为ISAFirewall，在客户地址（IP或者DNS）栏你可以输入RADIUS客户的IP地址或者域名，如果使用域名则必须保证RADIUS服务器能够正确解析，建议总是使用IP地址。在此我输入ISA防火墙内部接口的IP地址10.1.1.8，点击下一步；在附加信息页，设置客户-销售商栏为标准RADIUS；在共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入，此共享密钥将会同样在ISA防火墙上配置使用，然后勾选请求必须包含消息验证者属性，点击完成；注意：请求必须包含消息验证者属性是个匹配性设置，如果你在RADIUS服务器上进行了设置，那么你需要在ISA防火墙上做同样的设置。对于Web代理客户的设置验证，此选项可以不设置，不过建议总是选择此选项。此时，让RADIUS服务器识别ISAServer为RADIUS客户的配置就结束了，创建好的配置如下图所示：在RADIUS服务器上创建Web代理用户使用的远程访问策略现在我们需要创建Web代理用户使用的远程访问策略，在此例中，我将创建一个如果用户组条件匹配DomainAdmins的就授权访问的自定义访问策略，执行以下步骤以创建Web代理用户使用的远程访问策略：在Internet验证服务控制台，点击远程访问策略节点，然后右击右面板的空白处，选择新建远程访问策略；在欢迎使用新建远程访问策略向导页，点击下一步；在策略配置方式页，由于RADIUS服务器设置的通用环境并不适合Web代理客户的身份验证，因此我选择创建一个自定义策略，在策略名字栏输入一个名字，在此我们命名为WPCusers，点击下一步；在策略条件页，点击添加；在弹出的属性选择对话框，选择Windows组，点击添加；在弹出的组对话框，点击添加；输入domainadmins，点击确定；在组对话框上点击确定；在策略条件页上列出了我刚才创建的条件，你可以根据你的需要加入其他条件，例如最常用的日期和时间限制条件等，点击下一步；在权限页，选择授权远程访问权限，点击下一步；在配置文件页，点击编辑配置文件；在弹出的编辑拨入配置文件对话框，点击身份验证标签，然后勾选未加密的身份验证（PAP，SPAP），然后点击确定；注意：这一步至关重要，对于Web代理用户的身份验证是必须的。在弹出的拨入配置提示对话框上点击No，然后在配置文件页点击下一步；在正在完成新建远程访问策略向导页，点击完成；此时，为Web代理用户使用的远程访问策略就创建好了。最后需要注意一点，如果你的活动目录域是混合域模式，那么你需要为每个用户手动允许拨入权限；如果你的域模式是本地模式或者是WindowsServer2003域，那么你不需要执行这步，因为用户的拨入权限默认就是通过远程访问策略来控制的。我的域正好是WindowsServer2003域，用户的拨入权限默认就是通过远程访问策略来控制的，所以我不需要为每个用户手动允许远程访问。配置ISA防火墙使用RADIUS验证Web代理用户现在我们需要配置ISA防火墙使用RADIUS服务器来验证Web代理用户，在ISA管理控制台，展开对应阵列下的配置，再点击网络，然后右击内部网络，选择属性；注意：标准版的配置步骤基本一样，点击配置下的网络，然后右击内部网络选择属性即可。在弹出的内部网络属性页，点击Web代理标签，然后点击身份验证；在弹出的身份验证对话框，由于配置RADIUS身份验证就不能再使用其他的身份验证方式，所以取消默认的集成身份验证方式的选择；在弹出的警告框上点击确定；然后选择RADIUS，要求所有用户进行身份验证选项根据你自己的需要进行选择，然后点击RADIUS服务器；在弹出的RADIUS服务器对话框，点击添加；在添加RADIUS服务器对话框，在服务器名栏中输入RADIUS服务器的IP地址，你也可以输入名字，但是必须保证ISA防火墙能正确的解析，建议总是使用IP地址。在此我输入RADIUS的服务器IP地址10.1.1.5，下面的端口和超时设置保持默认值；根据你在RADIUS服务器上的设置来决定是否选择总是使用消息验证器选项，由于我在RADIUS服务器上也进行了设置，所以在此我也勾选此设置；然后点击共享密钥栏的修改按钮；在弹出的共享密钥对话框，输入并确认共享密钥，这个和在RADIUS服务器上所设置的共享密钥必须完全一致，然后点击确定；然后在添加RADIUS服务器对话框上点击确定；在RADIUS服务器对话框上点击确定；在身份验证对话框上点击确定；然后在内部网络属性对话框上点击确定；此时，已经成功的配置ISA防火墙使用RADIUS验证Web代理用户了。在ISA防火墙创建访问规则允许RADIUS用户的访问现在我创建一个访问规则来允许RADIUS用户的访问，你需要创建一个RADIUS用户集，在此我利用ISA防火墙访问规则创建向导的一站式处理方式，在创建规则的过程中创建RADIUS用户。在ISA管理控制台中，右击ISA防火墙阵列下的防火墙策略，指向新建，选择访问规则；在欢迎使用新建访问规则向导页，输入规则名字，在此我命名为AllowWPCUsersAccessExternal，点击下一步；在规则动作页，选择允许，点击下一步；在协议页，选择选择的协议，然后添加HTTP协议，点击下一步；在访问规则源页，点击添加按钮加入内部网络，然后点击下一步；在访问规则目的页，点击添加按钮加入外部网络，点击下一步；在用户集页，选择默认的所有用户，然后点击移除；再点击添加按钮；在弹出的添加用户对话框，点击新建；在新建用户集向导页，输入用户集名称，在此我命名为WPCUsers，点击下一步；在用户页，点击添加按钮，然后选择RADIUS...；在添加用户对话框，选择指定用户名，然后输入域中的账户名称，在此我输入DomainAdmins组中的一个账户wpcuser，点击确定；在用户集页，点击下一步；在正在完成新建用户集向导页，点击完成；然后在添加用户对话框，选择刚创建好的WPCUsers，然后点击添加，再点击关闭；在用户集页，点击下一步；在正在完成新建访问规则向导页，点击完成；在ISA管理控制台，点击应用保存修改和更新防火墙策略。如果你是企业版，你还需要在监视的配置节点中查看服务器配置同步情况，等待阵列中所有服务器均完成配置的同步。测试现在我们可以进行测试了。在内部网络中的客户机Perth上使用DomainAdmins组的成员wpcuser登录域，由于SNAT客户不能提交身份验证信息，所以我将此客户配置为Web代理客户；打开IE浏览器，访问外部Web服务器Istanbul（IP地址39.1.1.7），此时，弹出了一个对话框要求你进行身份验证，我输入用户名wpcuser和对应的密码，然后点击确定；此时，用户通过验证，可以正常的访问外部网络中的Web服务。在ISA防火墙的实时日志中，你可以发现ISA防火墙向RADIUS服务器发送了RADIUS验证请求，这是通过第五条系统策略AllowRADIUSauthenticationfromISAServertotrustedRADIUSser