提供的身份信息或凭据无效:例如,无效的用户名、密码、令牌等。
请求缺少必要的身份验证信息:例如,缺少必要的头部信息、Cookie、会话ID等。
请求中包含错误的身份验证信息:例如,请求中提供了无效的数字签名、哈希值、摘要等。
服务器出现故障:例如,服务器认证服务出现异常、网关超时等问题。网络接入服务器位于公用交换电话网与IP网的接口处,用户拨号通过交换机经用户线或中继线接入网络接入服务器。
NAS是一种接入网关。有时指RAS(远程接入服务器)或媒体网关。总之,它是一种在外部通信网络和内部网络之间的网关。通常的配置为一台控制调制解调器组的服务器。用户拨号至调制解调器,然后与接入服务器相连,该服务器验证用户身份并授权用户到内部网络的访问。用户通常使用TCP/IP通过PPP连接访问内部资源。除了那些在由接入服务器授权后允许访问因特网的用户之外,当用户拨号至因特网服务提供商时也使用这种相同的配置。
网络接入服务器的功能组成可归类为四大功能模块:
★ 接入功能模块
接入功能模块包括电话网侧的接口模块,分为PSTN的接口模块和ISDN的接口模块;还包括IP网侧的接口模块,包括LAN接口模块和同步专线接口模块,根据需要也可采用FR和ATM接口模块。
★ 通信协议模块
接入服务器中包含众多通信协议:电话网侧通信协议(PPP)、IP网侧通信协议(TCP/IP、UDP)、VPDN协议等。
★ 管理模块
网络接入服务器的管理控制模块包括3个功能模块:SNMP代理功能模块、Telnet服务器功能模块和远端拨号监控功能模块。通过3种不同的途径对网络接入服务器进行控制管理。
★ 接入认证、授权、计费和统计模块
网络接入服务器中包含网络接人认证与授权模块、计费模块和统计模块。
除了上述4个主要的功能模块外,还有一些其它的模块诸如VPDN模块、来电指示模块和系统控制模块。 名为“Network Access Server Requirements (网络接入服务器要求) (nasreq)”的IETF工作组已经为现代网络接入服务器定义了有关AAA(身份验证、授权、记帐)的新要求。该工作组考虑了如、智能身份验证方法和漫游等服务。它还开发了两个因特网RFC,它们提供了网络接入服务器的完整描述。什么是 RADIUS 服务器
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 的关键功能部件为:
客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行 *** 作。
RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。
网络安全性:
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码。 灵活认证机制:
RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。
可扩展协议:
所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中,单击“常规”: 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。
注意:
要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 客户端,可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。使用该对话框可以配置 Web 服务器以验证用户身份。可以验证单个用户或选择用户组来阻止未授权用户与受限制内容建立 Web (>RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS server配置 RADIUS 服务器:在“ISA 服务器管理”的控制台树中,单击“常规”- 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议(UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。
客户端浏览器在>
客户端向服务器发送连接请求,并要求建立SSL/TLS连接。
服务器返回证书,包括证书的公钥和相关信息。
客户端收到证书后,会检查证书是否由可信的机构颁发,以及证书中的公钥是否可以被验证。如果证书通过验证,客户端会生成一个随机数,然后用证书中的公钥来加密这个随机数,发送给服务器。
服务器收到客户端发来的加密的随机数后,使用自己的私钥进行解密,得到客户端生成的随机数。
服务器和客户端会根据这个随机数来生成会话密钥,用于后续的加密和解密通信数据。
通过以上过程,客户端浏览器可以验证服务器的身份,并确定通信双方可以进行加密通信。如果证书验证失败或者证书中的公钥无法被验证,则浏览器会提示用户存在安全风险,建议不要继续进行连接。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)