Radius认证服务器的配置与应用[1].ppt
《Radius认证服务器的配置与应用[1].ppt》由会员分享,可在线阅读,更多相关《Radius认证服务器的配置与应用[1].ppt(30页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 学习目标学习目标 l熟悉身份认证的概念l熟悉IEEE 802.1x协议的工作特点l掌握基于Windows Server 2003的Radius服务器的安装和配置方法l掌握交换机上IEEE 802.1x及相关协议的启用和配置方法l掌握Radius认证系统的应用和故障排除方法第第1010讲讲 RadiusRadius认证服务器的配置与应认证服务器的配置与应用用 重点难点重点难点l掌握基于Windows Server 2003的Radius服务器的安装和配置方法l掌握交换机上IEEE 802.1x及相关协议的启用和配置方法l掌握Radius认证系统的应用和故障排除方法 身份认证是计算机系统的用户在
2、进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证的主要目的是防止非授权用户进入系统,同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。近年来,越来越多的单位通过身份认证系统加密用户对网络资源的访问,在众多的解决方案中,Radius认证系统的使用最为广泛。在大量的企业、政府机关、高校,通过Radius认证系统,实现对用户网络访问身份的认证,以决定某一用户是否具有上网权限,并记录相关的信息。本讲在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上,以Windows Server 2003
3、操作系统和Cisco交换机为例,详细介绍用户身份认证系统的安装、配置、使用和故障排除方法。10.1.1 身份认证的概念身份认证的概念身份认证(身份认证(Authentication)是系统审查用户身份的过程,从而确定该用户是)是系统审查用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份,提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术,确认提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术,确认系统访问者的身份和权限,使计算机和网络系统的访问策略能够可靠
4、、有效地系统访问者的身份和权限,使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,从而保证系统和数据的执行,防止攻击者假冒合法用户获得资源的访问权限,从而保证系统和数据的安全以及授权访问者的合法利益。安全以及授权访问者的合法利益。计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关系,能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关系,双方通信过程中,一方实体向另一方实体提供这个证据证明自已
5、的身份,另一双方通信过程中,一方实体向另一方实体提供这个证据证明自已的身份,另一方通过相应的机制来验证证据,以确定该实体是否与证据所显示的身份一致。方通过相应的机制来验证证据,以确定该实体是否与证据所显示的身份一致。10.1 身份认证概述身份认证概述10.1.2 认证、授权与审计认证、授权与审计在计算机网络安全领域,将认证、授权与审计统称为在计算机网络安全领域,将认证、授权与审计统称为AAA或或3A,即英文,即英文Authentication(认证)、(认证)、Authorization(授权)和(授权)和Accounting(审计)。(审计)。1 认证认证认证是一个解决确定某一个用户或其他实
6、体是否被允许访问特定的系统或资源认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。的问题。2 授权授权授权是指当用户或实体的身份被确定为合法后,赋予该用户的系统访问或资源授权是指当用户或实体的身份被确定为合法后,赋予该用户的系统访问或资源使用权限。使用权限。4.2 PKI的概念和组成的概念和组成3 审计审计审计也称为记帐(审计也称为记帐(Accounting)或审核,出于安全考虑,所有用户的行为都)或审核,出于安全考虑,所有用户的行为都要留下记录,以便进行核查。要留下记录,以便进行核查。安全性评估(安全性评估(security assessment)是审计操作的进一步
7、扩展。在安全性评)是审计操作的进一步扩展。在安全性评估中,专业人员对网络中容易受到入侵者攻击的部分进行内部检查,对网络存估中,专业人员对网络中容易受到入侵者攻击的部分进行内部检查,对网络存在的薄弱环节进行阶段性评估。通过对评估结果的分析,既可以发现网络中存在的薄弱环节进行阶段性评估。通过对评估结果的分析,既可以发现网络中存在的设计缺陷,也可以为今后的网络调整提供权威的数据支撑。用户对资源的在的设计缺陷,也可以为今后的网络调整提供权威的数据支撑。用户对资源的访问过程如图访问过程如图1所示所示 图1.用户访问系统资源的过程 IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结
8、构中是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了采用了“可控端口可控端口”和和“不可控端口不可控端口”的逻辑功能,从而实现认证与业务的分的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。离,保证了网络传输的效率。IEEE 802系列局域网(系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是)标准占据着目前局域网应用的主要份额,但是传统的传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安交换机等控制设备,用户就可
9、以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。全隐患,同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果能通过认证,计算机)进行认证和控制。连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能);如果不能通过认证,则无法
10、访问局域网内部的资源,同样也无法接入通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于,相当于物理上断开了连接。物理上断开了连接。10.2 IEEE 802.1x协议与协议与RADIUD服务器服务器IEEE 802.1x协议采用现有的可扩展认证协议(协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是),它是IETF提出的提出的PPP协议的扩展,最早是为解决基于协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了
11、基于定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(机;另一种是基于无线局域网(WLAN)的接入方式。其中,前者是基于物理)的接入方式。其中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有
12、的以太网交换机都支持端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。协议。10.2.2 RADIUS服务器服务器RADIUS(Remote Authentication Dial In User Service,远程用户拨号认,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(证服务)服务器提供了三种基本的功能:认证(Authentication)、授权)、授权(Authorization)和审计()和审计(Accounting),即提供了),即提供了3A功能。其中审计也功能。其中审计也称为称为“记账记账”或或“计费计费”。RADIUS协议采
13、用了客户机协议采用了客户机/服务器(服务器(C/S)工作模式。网络接入服务器)工作模式。网络接入服务器(Network Access Server,NAS)是)是RADIUS的客户端,它负责将用户的验的客户端,它负责将用户的验证信息传递给指定的证信息传递给指定的RADIUS服务器,然后处理返回的响应。服务器,然后处理返回的响应。RADIUS服务器服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客服务器或其
14、他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。服务器之间的用户密码经过加密发送,提供了密码使用的安全性。在如图在如图2所示的网络中,所示的网络中,RADIUS服务器对服务器对RADIUS客户端(图客户端(图2中直接标为中直接标为“客客户端户端”)进行用户验证、资源访问授权、记账等操作,)进行用户验证、资源访问授权、记账等操作,图2 RADIUS系统的组成 10.2.3 系统规划系统规划为了说明基于为了说明基于I
15、EEE 802.1x与与RADIUS服务器系统的实现过程,本讲专门设计了一个实验服务器系统的实现过程,本讲专门设计了一个实验。本实验是一个具有较大应用价值的综合实验:一是本实验立足目前的网络应用实际,。本实验是一个具有较大应用价值的综合实验:一是本实验立足目前的网络应用实际,可以直接在安全要求不太高的网络环境中使用;二是本实验的实现原理与目前市面上流可以直接在安全要求不太高的网络环境中使用;二是本实验的实现原理与目前市面上流行的记费认证系统基本相同,通过本实验可以帮助读者了解一些商业软件的功能特点;行的记费认证系统基本相同,通过本实验可以帮助读者了解一些商业软件的功能特点;三是通过实践将会加深
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Radius 认证 服务器 配置 应用
限制150内