使用RADIUS 实现统一身份认证

■河北 盖俊飞 王春海

某连锁企业在多个地方有分公司和办事处。每个分公司配置了VPN 服务器为远程用户提供接入。为了对这些分散在不同位置的VPN 服务器提供统一身份验证，使用总公司的Active Directory服务器作为RADIUS，为不同公司的VPN 服务器提供身份验证服务，网络拓扑如图1所示。

在图1中，Active Directory 服务器配置为RADIUS 服务器（这是一台Windows Server 2008 R2的服务器，升级到Active Directory 服务器），防火墙（图中IP 地址为101.n1.n2.82的服务器）将RADIUS 服务器的端口发布到Internet。其他分公司或办事处的VPN 服务器（图中的VPN 服务器2 至VPN 服务器5）配置使用IP 地址为101.n1.n2.82的RADIUS 服务器进行身份验证。图中的VPN 服务器是总部的VPN 服务器，直接使用192.168.1.15 的RADIUS 服务器进行身份验证。

Active Directory 服务器端配置

在总公司Active Directory 的服务器上创建组织单位、添加用户、添加网络策略服务器并进行配置，主要内容如下：

1.在总公司Active Directory 服务器上根据分公司、办事处创建组织单位，再在组织单位中创建用户。然后修改用户属性，在“拨入”选项卡中选择“允许访问”。

2.打开“服务器管理器”添加角色，添加“网络策略和访问服务→网络策略服务器”。

3.安装完成后，打开“网络策略服务器”，在“RADIUS客户端和服务器→RADIUS客户端”中添加RADIUS 客户端。

4.如果要添加新的RADIUS 客户端，用鼠标右键单击RADIUS 客户端，选择“新建”，弹出“新建RADIUS客户端”的对话框，在“友好名称”文本框中输入新建的RADIUS 客户端的显示名称，在“地址”栏中输入要添加的RADIUS 客户端的IP 地址，本示例中这些IP 地址是图1 中各VPN 服务器外网的IP地址，然后在“共享机密”处输入机密文字用以在RADIUS客户端连接RADIUS 服务器端时确认。每一台远程的VPN 服务器都需要添加一个RADIUS 客户端。

5.在“策略→连接请求策略”中，修改Use Windows authentication for all users 策略，在“条件”选项卡设置此策略的条件，在此选择任意的日期和时间。在“设置”选项卡，设置身份验证方法和连接请求，根据用户的实际情况选择，一般选择“受保护的EAP”、安全密码（EAP-MSCHAP V2）等EAP类型与身份验证方法。

图1 VPN、RADIUS 拓扑图

6.在“策略→网络策略”新建策略，在“约束”选项卡中设置身份验证方法，在此根据实际情况进行设置。

至此RADIUS 服务器配置完成，接下来是在防火墙中将RADIUS 服务器的端口发布到Internet。

防火墙发布RADIUS 服务器

RADIUS 服务器使用UDP的1812、1813 端口对外提供服务。如果要发布RADIUS服务器，可以将防火墙外网的UDP 的1812、1813 端口映射给RADIUS 服务器上。任何一台硬件、软件防火墙可以实现这个功能。我们当时这个项目是使用的Forefront TMG 2010 的 软件防火墙，VPN 也是使用TMG 2010 配置实现的。所以本文以TMG 2010 为例进行介绍，如果你是其他的防火墙或VPN 服务器，进行类似的配置就行，主要原理都是一样的。

在图1 中的防火墙服务器中，在TMG 管理控制台的防火墙策略中，创建名为RADIUS-Server 的协议，协议类型为UDP、端口范围为1812-1813，方向为接收发送。然后创建非Web 服务器发布规则，通讯协议选择RADIUS-Server，发布的目标为192.168.1.15（图1 中RADIUS Server 的内网IP 地址）。

VPN 服务器配置RADIUS 服务器

在配置好了RADIUS 服务器，并把RADIUS 服务器发布到Internet 之后，可以配置各VPN 服务器。对于图1 中的VPN 服务器1 来说，因为RADIUS 服务器与VPN 服务器1 都在同一个网络中，所以指定RADIUS 服务器的时候，直接使用RADIUS 服务器的内网地址即可；而对于服务器1 以外的其他VPN 服务器，在指定RADIUS 服务器的IP地址时，需要指定RADIUS 服务器防火墙的外网地址。下面一一介绍（本文的VPN 服务器仍然以Forefront TMG 2010 为例）。

1.在VPN 服务器1 的TMG 控制台中，在“远程访问策略（VPN）→VPN 客户端”中单击“指定RADIUS 配置”链接，在“远程访问策略（VPN）属性”对话框中，在RADIUS 选项卡中单击“使用RADIUS 进行身份验证”，然后单击“RADIUS 服务器”按钮。

2.在RADIUS 服务器对话框中单击“添加”按钮，在弹出的“编辑RADIUS 服务器”对话框中，在服务器名中输入要使用的RADIUS 服务器的IP 地址，本示例中RADIUS 服务器与VPN 服务器处在同一个局域网中，所以使用RADIUS 服务器本身的IP 地 址192.168.1.15，服务器描述写上标识名称，在“共享的机密”中单击“更改”按钮，输入新建VPN 客户端时，为RADIUS 客户端指定的共享密码（一般情况下在新建RADIUS 客户端时，不同的RADIUS 客户端的共享密钥都不同），身份验证端口选择1812。设置完成后单击“确定”按钮完成设置。

配置完成后返回TMG 2010，单击“应用”按钮让设置生效。

对于VPN 服务器2～VPN服务器5，在指定RADIUS 服务器时，使用图1 中防火墙服务器的外网地址101.n1.n2.82，这些不一一介绍。

VPN 客户端使用

在配置好VPN 服务器之后，外网用户可以创建VPN客户端连接到各VPN 服务器。在此大家应该注意，本示例中有5 台VPN 服务器，每台VPN 服务器的外网地址都不同，那是不是对于客户来说需要创建5 个VPN 连接，在需要访问不同的分公司（或办事处）时拨叫不同的VPN服务器呢？实际上，我使用Windows 连接管理器定制的VPN 客户端连接程序，将这5台VPN 服务器都集成到了一个客户端，在需要访问不同的服务器时，只需要在列表中选择不同的VPN 服务器地址即可配置好的VPN 客户端使用步骤简单介绍如下。

1.运行VPN 客户端连接程序，在连接之前单击“属性”按钮。

2.在“VPN 选项卡”中的VPN 目的地下拉列表中选择目标VPN 服务器，单击“确定”按钮返回。然后在VPN 客户端连接程序里单击“连接”按钮即可连接到指定的VPN服务器。