2024年6月11日发(作者:)

RADIUS服务器

RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提

供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即

提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,

NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返

回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的

信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和

客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经

过加密发送,提供了密码使用的安全性。

基于IEEE 802.1x认证系统的组成

一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组

成。

认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访

问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目

前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商

也开发了自己的IEEE 802.1x客户端软件。

认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其

与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受

控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连

接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实

现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。

认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用

户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多

台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的

审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS服务器组件。

实验拓扑图

安装RADIUS服务器

在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除Windows组件"

在弹出的"Windows组件向导"中选择"网络服务"组件,单击"详细信息"

勾选"Internet验证服务"子组件,确定,然后单击"下一步"进行安装

在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口

创建用户账户

RADIUS服务器安装好之后,需要为所有通过认证才能够访问网络的用户在RADIUS服务器中

创建账户。这样,当用户的计算机连接到启用了端口认证功能的交换机上的端口上时,启用了IEEE

802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后,才能够访问网络中的资源。

在"控制面板"下的"管理工具"中打开"计算机管理",选择"本地用户和组"