本文档介绍如何通过RADIUS协议将Netscreen防火墙设备与Windows 2000活动目录集成,实现用户集中验证及高效管理。涵盖安装配置步骤、注意事项及常见错误修正。
今日的IT管理员会面临着众多的网络设备。因为根据每一种设备单独的数据库来控制对外部服务的存取,因为数据库之间的差异而造成效率的低下。每一个人员的变更,需要在每一个单独的设备进行更新,如此数以千计的设备将消耗大量时间。可喜的是今日出现的诸如RADIUS的用户验证技术较少了访问控制的管理负荷。RADIUS通过使用Windows 2000活动目录提供的服务来集中验证用户信息。Netscreen设备利用此技术进行有效率的用户验证服务。此外,使用Windows 2000活动目录提供的服务进行用户集中验证可以节省大量的硬件和软件成本。更为重要的是,很多大型企业已经部署了活动目录作为用户数据库,当用户修改密码的时候,它将与企业其他系统,诸如邮件、数据据和内部网络登录进行自动同步。将Netscreen设备与活动目录结合起来可以控制×××、防火墙和用户管理。此文档描述了通过使用微软的互联网验证服务的RADIUS协议在Netscreen Firewall设备上使用活动目录来验证用户名和密码。
此测试基于5.4的OS和Windows Server 2003企业版。 1、安装微软的IAS服务 点击“开始”---“设置”---“控制面板”,打开“添加删除程序”,双击“添加删除Windows组件”,系统打开“Windows组件”,找到“网络服务”,点击右下角的“详细信息”,打开“网络服务”,勾选“Internet验证服务”。确定。单击“下一步”,稍后片刻,点击“完成”,完成了微软的IAS服务的安装。
回到刚才的“控制面板”,点击“管理工具”,打开的“Internet验证服务”
将Netscreen设备添加为客户端。右键单击“RADIUS客户端”,选择“新建RADIUS客户端”,在好记的名称输入:NetScreen,客户端地址输入你的Netscren IP地址,我的输入“192.168.10.254”,单击“下一步”,在共享的机密和确认的共享机密输入一样的密码。单击“完成”完成第一步设定。
2、在IAS服务器上配置策略 “控制面板”,点击“管理工具”,打开的“Internet验证服务”,右键单击“远程访问策略”,选择“新建远程访问策略”,单击“下一步”,在新建远程访问策略向导中,选择“设置自定义策略”,在策略名输入“Permit assess IT group and Return IT group abbribute”,单击“下一步”,在策略状态,单击“添加”,在选择属性中选择“Windows Group”,单击“添加”,输入正确的组名。单击“确定”。
单击“下一步”,选择“授予远程访问权限”,单击“下一步”,选择编辑配置文件,访问“身份验证”选项卡,取消所有选择,勾选“未加密的身份验证(PAP,SPAP)”,单击“应用”,访问“高级”选项卡,单击“添加”,选择“Vendor-Specific",单击“添加”,在“输入供应商代码”中输入“3224”,并选择“符合”。单击“配置属性”,在“供应商指派的属性号”中输入“3”,属性格式选择“字符串”,属性值输入“IT”,连续单击“确定”回到“高级”选项卡,删除“高级”选项卡其余的栏目,保留“Vendor-Specific”。单击“应用”,“确定”。在收到系统提示的时候,选择“否”,单击“完成”完成了策略的设定
3、配置验证服务和外部用户组 以根管理员登录防火墙管理界面。首先在Ns上面定义一个RADIUS服务器,从Web管理界面菜单“Configuration”---“Auth”---“Auth Servers”,单击右上角的“New”,在打开的界面中的“Name”输入“Micorosoft IAS”,“IP/Domain Name”输入之前定义的RADIUS服务器的IP,本例是“192.168.10.200”,在“Account Type”中勾选“Auth”,在下面的定义RADIUS服务器属性中的“Shared Secret”输入之前定义密码。单击“OK”保存设定。 接着我们来定义外部用户组IT,菜单“Objects”---“Users”---“External Groups”,单击“New”,在“Group Name”中输入“IT”,在下面的“Group Type”中勾选“Auth”,单击“OK”保存设定。
4、设定策略使用外部用户进行验证。 因之前我已经定义了一条策略允许IT对外部随意访问,先只需编辑此策略即可。 选择要编辑的策略,单击策略右边的“Edit”,点击打开界面的“Adanced”,进入策略高级编辑界面,勾选“Authentication”,点选“Auth Server”,并在其下面的列表中选择“Microsoft IAS”,点选“User Group”,在右边的选择“External-IT ”,单击“OK”保存策略。 测试,打开IE,输入新浪的网址“http://www.sina.com.cn”,系统弹出一个对话框,输入正确的用户和密码,即可访问新浪。 备注:若当前登录是域用户,它就自动验证。
这个测试成功完成! 再此有几点要说明: 1、原Juniper提供了一个PDF文档“configuring_screenOS_for_NT_Domain_v11.pdf”,提供配置方法,但此文档有几个错误的地方需要修正。 2、错误地方一:请看下图,原文章需要勾选“Encrypted Authentication(CHAP)”,请参考我的测试截图,无需勾选此处。 3、错误地方二:在NS上配置RADIUS服务器时,原文勾选的是“XAUTH.”,请参考我测试截图,不能勾选“XAuth”,而应该勾选“Auth”。 4、错误地方三:在NS上配置外部组时,原文勾选的是“XAUTH.”,请参考我测试截图,不能勾选“XAuth”,而应该勾选“Auth”。 全文完毕,如有不正确之处,敬请指出! 谢谢
此测试基于5.4的OS和Windows Server 2003企业版。 1、安装微软的IAS服务 点击“开始”---“设置”---“控制面板”,打开“添加删除程序”,双击“添加删除Windows组件”,系统打开“Windows组件”,找到“网络服务”,点击右下角的“详细信息”,打开“网络服务”,勾选“Internet验证服务”。确定。单击“下一步”,稍后片刻,点击“完成”,完成了微软的IAS服务的安装。
回到刚才的“控制面板”,点击“管理工具”,打开的“Internet验证服务”
将Netscreen设备添加为客户端。右键单击“RADIUS客户端”,选择“新建RADIUS客户端”,在好记的名称输入:NetScreen,客户端地址输入你的Netscren IP地址,我的输入“192.168.10.254”,单击“下一步”,在共享的机密和确认的共享机密输入一样的密码。单击“完成”完成第一步设定。
2、在IAS服务器上配置策略 “控制面板”,点击“管理工具”,打开的“Internet验证服务”,右键单击“远程访问策略”,选择“新建远程访问策略”,单击“下一步”,在新建远程访问策略向导中,选择“设置自定义策略”,在策略名输入“Permit assess IT group and Return IT group abbribute”,单击“下一步”,在策略状态,单击“添加”,在选择属性中选择“Windows Group”,单击“添加”,输入正确的组名。单击“确定”。
单击“下一步”,选择“授予远程访问权限”,单击“下一步”,选择编辑配置文件,访问“身份验证”选项卡,取消所有选择,勾选“未加密的身份验证(PAP,SPAP)”,单击“应用”,访问“高级”选项卡,单击“添加”,选择“Vendor-Specific",单击“添加”,在“输入供应商代码”中输入“3224”,并选择“符合”。单击“配置属性”,在“供应商指派的属性号”中输入“3”,属性格式选择“字符串”,属性值输入“IT”,连续单击“确定”回到“高级”选项卡,删除“高级”选项卡其余的栏目,保留“Vendor-Specific”。单击“应用”,“确定”。在收到系统提示的时候,选择“否”,单击“完成”完成了策略的设定
3、配置验证服务和外部用户组 以根管理员登录防火墙管理界面。首先在Ns上面定义一个RADIUS服务器,从Web管理界面菜单“Configuration”---“Auth”---“Auth Servers”,单击右上角的“New”,在打开的界面中的“Name”输入“Micorosoft IAS”,“IP/Domain Name”输入之前定义的RADIUS服务器的IP,本例是“192.168.10.200”,在“Account Type”中勾选“Auth”,在下面的定义RADIUS服务器属性中的“Shared Secret”输入之前定义密码。单击“OK”保存设定。 接着我们来定义外部用户组IT,菜单“Objects”---“Users”---“External Groups”,单击“New”,在“Group Name”中输入“IT”,在下面的“Group Type”中勾选“Auth”,单击“OK”保存设定。
4、设定策略使用外部用户进行验证。 因之前我已经定义了一条策略允许IT对外部随意访问,先只需编辑此策略即可。 选择要编辑的策略,单击策略右边的“Edit”,点击打开界面的“Adanced”,进入策略高级编辑界面,勾选“Authentication”,点选“Auth Server”,并在其下面的列表中选择“Microsoft IAS”,点选“User Group”,在右边的选择“External-IT ”,单击“OK”保存策略。 测试,打开IE,输入新浪的网址“http://www.sina.com.cn”,系统弹出一个对话框,输入正确的用户和密码,即可访问新浪。 备注:若当前登录是域用户,它就自动验证。
这个测试成功完成! 再此有几点要说明: 1、原Juniper提供了一个PDF文档“configuring_screenOS_for_NT_Domain_v11.pdf”,提供配置方法,但此文档有几个错误的地方需要修正。 2、错误地方一:请看下图,原文章需要勾选“Encrypted Authentication(CHAP)”,请参考我的测试截图,无需勾选此处。 3、错误地方二:在NS上配置RADIUS服务器时,原文勾选的是“XAUTH.”,请参考我测试截图,不能勾选“XAuth”,而应该勾选“Auth”。 4、错误地方三:在NS上配置外部组时,原文勾选的是“XAUTH.”,请参考我测试截图,不能勾选“XAuth”,而应该勾选“Auth”。 全文完毕,如有不正确之处,敬请指出! 谢谢
转载于:https://blog.51cto.com/wangsheng1/157166
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
