第10讲Radius认证服务器的配置与应 用 ★学习目标★ l熟悉身份认证的概念 l熟悉IEEE802.1x协议的工作特点 l掌握基于WindowsServer2003的Radius服务器的安装和配置方 法 l掌握交换机上IEEE802.1x及相关协议的启用和配置方法 l掌握Radius认证系统的应用和故障排除方法 重点难点 l掌握基于WindowsServer2003的Radius服务器的安装和 配置方法 l掌握交换机上IEEE802.1x及相关协议的启用和配置方法 l掌握Radius认证系统的应用和故障排除方法 身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资 源时，系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证 的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操 作访问受控信息或恶意破坏系统数据的完整性。近年来，越来越多的单位通 过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius 认证系统的使用最为广泛。在大量的企业、政府机关、高校，通过Radius认 证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权 限，并记录相关的信息。本讲在简要介绍身份认证的概念、IEEE802.x协议、 Radius认证系统等基础概念的基础上，以WindowsServer2003操作系统和 Cisco交换机为例，详细介绍用户身份认证系统的安装、配置、使用和故障排 除方法。 10.1身份认证概述 10.1.1身份认证的概念 身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户 是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身 份，提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术， 确认系统访问者的身份和权限，使计算机和网络系统的访问策略能够可靠、 有效地执行，防止攻击者假冒合法用户获得资源的访问权限，从而保证系统 和数据的安全以及授权访问者的合法利益。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体 可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关 系，双方通信过程中，一方实体向另一方实体提供这个证据证明自已的身份， 另一方通过相应的机制来验证证据，以确定该实体是否与证据所显示的身份 一致。 4.2PKI的概念和组成 10.1.2认证、授权与审计 在计算机网络安全领域，将认证、授权与审计统称为AAA或3A，即英文 Authentication（认证）、Authorization（授权）和Accounting（审计）。 1．认证 认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资 源的问题。 2．授权 授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资 源使用权限。 3．审计 审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都 要留下记录，以便进行核查。 安全性评估（securityassessment）是审计操作的进一步扩展。在安全性评 估中，专业人员对网络中容易受到入侵者攻击的部分进行内部检查，对网络 存在的薄弱环节进行阶段性评估。通过对评估结果的分析，既可以发现网络 中存在的设计缺陷，也可以为今后的网络调整提供权威的数据支撑。用户对 资源的访问过程如图1所示 图1.用户访问系统资源的过程 10.2IEEE802.1x协议与RADIUD服务器 IEEE802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中 采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的 分离，保证了网络传输的效率。 IEEE802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是 传统的IEEE802体系定义的局域网不提供接入认证，只要用户能接入集线器、 交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个 安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE802.1x是一种 基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主 要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过 认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如 果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet， 相当于物理上断开了连接。 IEEE802.1x协议采用现有的可扩展认证协议（ExtensibleAuthentication Protocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于 IEEE802.11标准的无线局域网的认证而开发的。虽然IEEE