Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Many networks services (including corporate networks and public ISPs using modem,
DSL, or wireless 802.11 technologies) require you to present security credentials (such as
a username and password or security certificate) in order to connect on to the network.
Before access to the network is granted, this information is passed to a Network Access
Server (NAS) device over the link-layer protocol (for example, Point-to-Point Protocol
(PPP) in the case of many dialup or DSL providers), then to a RADIUS server over the
RADIUS protocol. The RADIUS server checks that the information is correct using
authentication schemes like PAP, CHAP or EAP. If accepted, the server will then indicate
to the NAS that you are authoried to access the network. RADIUS also allows the
authentication server to supply the NAS with additional parameters, such as
In general, the RADIUS protocol does not transmit passwords in cleartext between the
NAS and RADIUS server, but in hidden, using a rather complex operation instead, which
involves MD5 hashing and shared secret, as described in references.
RADIUS is also commonly used for accounting purposes. The NAS can use RADIUS
accounting packets to notify the RADIUS server of events such as
The primary purpose of this data is so that the user can be billed accordingly; the data is
also commonly used for statistical purposes and for general network monitoring.
Additionally RADIUS is widely used by VoIP service providers. It is used to pass login
credentials of a SIP end point (like a broadband phone) to a SIP Registrar using digest
authentication, and then to RADIUS server using RADIUS. Sometimes it is also used to
collect call detail records (CDRs) later used, for instance, to bill customers for
international long distance.
RADIUS was originally specified in an RFI by Merit Network in 1991 to control dial-in
access to NSFnet. Livingston Enterprises responded to the RFI with a description of a
RADIUS server. Merit Network awarded the contract to Livingston Enterprises that
delivered their PortMaster series of Network Access Servers and the initial RADIUS
server to Merit. RADIUS was later (1997) published as RFC 2058 and RFC 2059
(current versions are RFC 2865 and RFC 2866). Now, several commercial and open-
source RADIUS servers exist. Features can vary, but most can look up the users in text
files, LDAP servers, various databases, etc. Accounting records can be written to text
files, various databases, forwarded to external servers, etc. SNMP is often used for
remote monitoring. RADIUS proxy servers are used for centralized administration and
can rewrite RADIUS packets on the fly (for security reasons, or to convert between
vendor dialects).
RADIUS uses UDP ports 1812 or 1645 for Authentication and 1813 or 1646 for
Accounting. For example, Microsoft RADIUS servers default to the higher ports but
Cisco devices default to the lower ports. Juniper Networks' RADIUS servers also defaults
to the lower ports. The official IETF port number assignment is the higher port numbers
1812 and 1813.
The DIAMETER protocol is the planned replacement for RADIUS. DIAMETER uses
SCTP or TCP while RADIUS uses UDP as the transport layer.
Microsoft sử dụng một authentication server riêng như Internet Authentication Service
(IAS) cho mục đích xác nhận. Ngoài nhiệm vụ chính là cung cấp một dịch vụ thẩm định
trung tâm, IAS cũng cung cấp quyền hạn và account cho remote VPN clients. IAS dùng
giao thức RADIUS để quản lý tập trung tất cả các yêu cầu từ xa gửi đến bất chấp nền của
client hay môi trường mạng.
Thuận lợi chính của việc triển khai IAS servers là nó cung cấp dịch vụ quản lý tập trung
cho nhiều remote access servers. Theo cách này, một remote access server, như một VPN
server chẳng hạn, bớt căng thẳng hơn trong nhiệm vụ thẩm định người dùng.
Các đặt điểm của IAS
Microsoft IAS đưa ra nhiều đặc điểm cho việc triển khai cơ sở hạ tầng của thẩm định
quyền, quyền hạn, trương mục được đơn giản và dễ dàng hơn. Một số đặc điểm quan
trọng của IAS bao gồm:
• Centralized authentication of remote requests.
• Centralized authorization of remote requests.
• Centralized accounting of resource usage.
• Integration with Windows 2000 RRAS.
• Control of outsourced dialing.
• Simpler administration.
• Scalability and extendibility.
Cấu hình và cài đặt một IAS
Lần lượt theo các bước sau:
1. Chọn Start, Programs, Administrative Tools, Routing and Remote Access để mở
Microsoft Management Console (MMC).
2. Ở cây console (khung bên trái), nhấp chuột phải vào server mà bạn muốn cấu hình
RADIUS authentication. Một menu tắt xuất hiện. Chọn Properties để mở bảng
server's Property.
3. Hoạt hóa tab Security của bảng Properties. Từ danh sách Authentication provider
xổ suống, chọn RADIUS Authentication, như hình 863.
Figure 863: Configuring RADIUS authentication on IAS.
4. Nhấp Configure để mở hộp thoại RADIUS Authentication, xem hình 864.
Figure 864: The RADIUS Authentication dialog box.
5. Nhấp Add để mở hộp thoại Add RADIUS Server, xem hình 865.
Figure 865: The Add RADIUS server dialog box.
6. Chỉ định tên của RADIUS server trong hộp Server name. Nhấp Change để chỉ
định secret được chia sẽ nào sẽ được dùng cho việc bảo mật thông tin giữa VPN
server (RAS) và RADIUS server, như hình 866.
Figure 866: Specifying the shared secret information to be used between the
RADIUS server and the IAS server.
7. Nhấp OK để đóng hộp thoại Change Secret. Tiếp theo, nhấp OK để đóng hộp
thoại Add RADIUS server và quay trở về hộp thoại RADIUS Authentication. Bây
giờ bạn đã cấu hình xong RADIUS authentication trên IAS server, như hình 867.
Figure 867: The successfully configured RADIUSbased IAS server.
8. Nhấp OK để đóng hộp thoại RADIUS Authentication. Một thông điệp thông báo
sẽ xuất hiện, như hình 868. Nhấp OK để đóng hộp thông báo và trở về bảng
Property.
Figure 868: The successfully configured RADIUSbased IAS server.
9. Hoạt hóa tab Security của Property sheet, nếu cần thiết. Từ danh sách Accounting
provider sổ xuống, chọn RADIUS Accounting và sau đó nhấp Configure để mở
hộp thoại RADIUS Accounting, xem hình 869.
Figure 869: The RADIUS Accounting dialog box.
10. Nhấp Add… để mở hộp thoại Add RADIUS Server và cấu hình những thiết lập
cho RADIUS Accounting server, xem hình 870.
Figure 870: Adding the RADIUS server.
11. Nhấp OK để trở về hộp thoại RADIUS Accounting. Một lần nữa, Nhấp OK. Một
thông điệp thông báo xuất hiện. Nhấp OK để đóng hộp thông báo và trở về cửa sổ
MMC.
12. Bạn có thể được nhắc nhở nhập vào bất kỳ ứng dụng nào mà bạn muốn chạy khi
người dùng kết nối vào. Nhấp Next để tiếp tục.
Cấu hình IAS Clients dựa trên RADIUS
Bao gồm các bước sau:
1. Nhấp Start, Programs, Administrative Tools, Internet Authentication Service để
mở cửa sổ Internet Authentication Service, xem hình 871.
Figure 871: The Internet Authentication Service window.
2. Ở ô bên trái, nhấp chuột phải Clients. Một menu tắt sẽ xuất hiện. Chọn New
Client để mở hộp thoại Add Client, xem hình 872.
Figure 872: The Add Client dialog box.
3. Ở hộp Friendly name, nhập vào một tên mô tả của client mà bạn đang cấu hình.
Trong danh sách Protocol sổ xuống, đảm bảo rằng RADIUS được chọn. Xem
hình 873. Nhấp Next để tiếp tục.
Figure 873: Supplying client details.
4. Trong hộp Client address (IP or DNS), nhập vào tên DNS hoặc địa chỉ IP của
client. Nếu bạn đã chỉ định rõ tên DNS, nhấp Verify. Hộp thoại Resolve DNS
Name sẽ xuất hiện, như hình 874.
Figure 874: The Resolve DNS Name dialog box.
5. Nhấp Resolve và sau đó chọn địa chỉ IP từ danh sách Search results mà bạn muốn
kết hợp với tên đó. Kế tiếp, nhấp Use this IP để trở về cửa sổ Add RADIUS
Client.
6. Nếu bạn đang đăng ký một NAS client đến một IAS server, từ danh sách Client
Vendor sổ xuống chọn tên nhà sản xuất. Nếu bạn không biết tên nhà sản xuất hoặc
tên không có trong danh sách, chọn RADIUS Standard, như hình 875.
Figure 875: Configuring an NAS as a client.
7. Nếu NAS hổ trợ chữ ký điện tử trong việc xác nhận, chọn tùy chọn “Client must
always send the signature attribute in the request”. Tuy nhiên, nếu NAS không hổ
trợ chữ ký điện tử, không chọn tùy chọn này. Nhấp OK xữ lý.
8. Nhấp Finish để hoàn thành quá trình đăng ký client và trở về cửa sổ Internet
Authentication Service. registered client sẽ xuất hiện ở ô bên trái của cửa sổ, như
hình 876.
Figure 876: The registered client appears in the right pane of the window.
Sao chép cấu hình của một IAS đến một Server khác
Để sao chép cấu hình của một IAS server đến nơi khác, bạn cần thực hiện các công việc
sau :
1. Mở command prompt và nhập vào netsh aaaa show configuration <đường dẫn tập
tin văn bản>. Lệnh này dùng để lưu giữ thông tin vào một tập tin văn bản xác
định.
2. Sao chép tập tin văn bản mà bạn vừa tạo ra ở bước 1 đến máy đích.
3. Tại command prompt của máy đích, nhập lệnh netsh exec <đường dẫn của tập tin
vừa lưu trữ>. Một thông điệp sẽ hiện ra để thông báo lệnh thành công hay thất bại.
Nếu thông báo thành công, bạn đã sao chéo cấu hình của một IAS server đến nơi
khác.
Chú ý:
Trong bước đầu tiên, nếu lệnh “netsh aaaa show configuration” không hoạt động, bạn có
thể dùng lệnh “netsh aaaa dump configuration”. Tương tự, dùng lệnh “netsh ras aaaa” nếu
lệnh “netsh aaaa” không làm việc.
Bạn không cần phải dừng IAS server đích để chạy lệnh netsh exec. IAS tự động được làm
tươi và cấu hình những thay đổi khi chạy lệnh này.
2 Cấu hình nâng cao VPN