作为 RADIUS 服务器的 IAS

更新时间: 2005年1月
应用到: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Internet 验证服务 (IAS),可用作 RADIUS 服务器,以便执行 RADIUS 客户端的身份验证、授权和记帐。RADIUS 客户端可以是访问服务器也可以是 RADIUS 代理。当将 Internet 验证服务 (IAS) 用作 RADIUS 服务器时,它提供以下功能:
  • RADIUS 客户端发送的所有访问 - 请求的集中的身份验证和授权服务。 

    IAS 使用 Microsoft® Windows NT® Server 4.0 域、Active Directory® 域或本地“安全帐户管理器”(SAM) 来验证进行连接尝试的用户凭据。IAS 使用用户帐户和远程访问策略的拨入属性对连接进行授权。

  • RADIUS 客户端发送的所有记帐请求的集中的记帐记录服务。 

    记帐请求存储在本地日志文件中以便进行分析。

下图显示了作为各种访问客户端的 RADIUS 服务器和 RADIUS 代理的 IAS。IAS 使用 Active Directory 域,对传入的 RADIUS “访问 - 请求”消息的用户凭据进行身份验证。
当 IAS 用作 RADIUS 服务器时,RADIUS 消息通过以下方式为网络访问连接提供身份验证、授权和记帐:
  1. 访问服务器,例如拨号网络访问服务器、××× 服务器以及无线访问点,接收来自访问客户端的连接请求。 

  2. 被配置为使用 RADIUS 作为身份验证、授权和记帐协议的访问服务器,创建“访问 - 请求”消息,并将其发送到 IAS 服务器。 

  3. IAS 服务器对“访问 - 请求”消息进行评估。 

  4. 如果需要,IAS 服务器将向访问服务器发送“访问 - 质询”消息。访问服务器处理质询,并向 IAS 服务器发送更新的“访问 - 请求”。 

  5. 通过使用与域控制器的安全连接,可以检查用户凭据,获得用户帐户的拨入属性。 

  6. 使用用户帐户的拨入属性和远程访问策略对连接尝试进行授权。 

  7. 如果已对连接尝试进行身份验证和授权,那么 IAS 服务器将向访问服务器发送“访问 - 接受”消息。 

    如果未对连接尝试进行身份验证或授权,那么 IAS 服务器将向访问服务器发送“访问 - 拒绝”消息。 

  8. 访问服务器完成与访问客户端的连接处理,并向消息登录的 IAS 服务器发送“记帐 - 请求”消息。 

  9. IAS 服务器向访问服务器发送“记帐 - 响应”。 

注意
  • 访问服务器也发送下列“记帐 - 请求”消息: 

    • 建立连接所需的时间。 

    • 何时关闭访问客户端连接。 

    • 何时启动和停止访问服务器。 

可以在以下情况时将 IAS 用作 RADIUS 服务器:
  • 将 Windows NT Server 4.0 域、Active Directory 域或本地安全帐户管理器 (SAM) 作为访问客户端的用户帐户数据库。 

  • 在多个拨号服务器、××× 服务器或请求拨号路由器上使用 Microsoft® Windows Server® 2003,Standard Edition、Windows Server 2003,Enterprise Edition、Windows Server 2003,Datacenter Edition 或 Windows 2000 路由和远程访问服务,并且需要集中化远程访问策略配置和连接记录以便进行审核。 

  • 将拨入、××× 或无线访问外包给服务提供商。访问服务器使用 RADIUS 对组织成员建立的连接进行身份验证和授权。 

  • 希望对异类的访问服务器进行集中式身份验证、授权和记帐。