扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ZDNet China 2007年4月12日
关键字:
在本页阅读全文(共2页)
调整远程接入策略
完成以上步骤后,我们会看到一个新的与用户所命名一致的远程接入策略出现在窗口中。如图LLL所示,窗口中有两个默认的策略,还有一个就是我们新建的策略。在默认状态下,新建的策略是禁用的,因此我们需要右键点击该策略,并选择属性项。
图LLL 远程接入策略
如图MMM所示,我们注意到窗口中有两个“Policy conditions”,并且这两个情况之间是AND关系,即如果某一接入情况同时符合这两个规定,则可以通过,否则就无法通过该策略,而会被转到下一个“远程接入策略”。在我们的例子中,策略状态表中的第一个策略仅允许采用802.11方式接入的用户,第二个策略状态是检查该用户是否符合我们上面设置的用户组或计算机组。点击“Edit Profile”继续。
图MMM WiFi Policy 属性
“Dial-in Constraints”标签允许我们设置拨号接入和线程约束条件,如图NNN所示。在这里还可以设置用户登录的最长时间。
图NNN Dial-in Profile
“Encryption”标签对于安全很重要,如图OOO所示。你必须取消其余三个保密性不强的方式,同时只选中最强的加密方式。
图OOO 加密
“Advanced”标签(如图PPP)我们目前还不需要使用,但是这个标签中的内容都相当重要。在这个标签中,我们可以定义RADIUS的一些特殊属性,比如让RADIUS服务器告诉Cisco VPN集线器某个用户是属于某个用户组的,以便集线器会将该用户组的VLAN和防火墙设置应用于该用户帐号上。你还可以针对内置防火墙的Aruba无线交换机设置VLAN或组关联。有关这方面的细节设置,我们会在后面有关RADIUS高级设置的文章中介绍。
图PPP Advanced 标签
在“Authentication”标签下,我们可以调整EAP模式(如图QQQ所示)。对于无线局域网PEAP认证,我们保持所有选项空白即可。这些设置是为那些较古老的RADIUS应用准备的,比如通过拨号调制解调器拨号后访问RADIUS服务器。下面我们点击“EAP Methods”查看具体内容。
图QQQ 验证
在这里,你可以编辑PEAP配置。如图RRR所示。我们在建立策略时就已经对相关内容进行了配置。接下来点击OK。
图RRR EAP Providers
再次点击 OK 按钮,退出Dial-in profile 窗口。
在IAS界面中的最后一项内容是“连接请求处理”,如图SSS所示。在本文中,我不打算对此进行详细介绍了,只是让大家初步了解一下该部分的内容。“Connection Request Processing”项目可以让我们设置高级的RADIUS中继功能。你可以选择将什么样的RADIUS请求进行中继,也可以选择将请求转发到不同的RADIUS服务器上,或者决定哪些RADIUS请求需要在本地“远程接入策略”中进行处理。
你还可以在在RADIUS服务器上配置需要转发的组,这可以让IAS在多级RADIUS环境中正常工作。比如,如果有一个用户属于企业合作伙伴的网络而不属于企业本身,那么当他试图接入企业的网络环境时,你就可以将他的RADIUS请求转发到合作伙伴公司的RADIUS服务器上进行处理。在一些校园环境,也会使用这种方式来区分学生和教职人员,或者不同校区的学生。
图SSS 连接请求
备份和恢复IAS策略
在做完了以上一系列工作后,我们还希望能够备份RADIUS配置,并在必要的时候将其恢复到冗余RADIUS服务器上。其实这个任务很好实现。微软给了我们一个简单的命令行来导出和导入RADIUS配置信息。
要执行备份操作,我们只需要输入以下命令:
netsh aaaa show config c:\IAS.txt
这里要注意的是,所保存的文件名前缀可以是任意合法的文件名,如果不小心搞乱了IAS配置,就可以直接用这个本地文件恢复配置。如果你需要在另一台IAS RADIUS服务器上应用相同的配置,也可以方便的将其恢复到该服务器上。从文本文件恢复IAS设置,也只需要一个简单的命令。
netsh exec c:\IAS.txt
这种方式可以让我们快速的配置多个冗余的 IAS RADIUS服务器,同时也可以让我们快速恢复IAS服务器的设置。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。