AAA认证及RADIUS服务实现远程登录和控制台登录
一、实验说明:管理员对边界路由器的管理通常是用远程登录的方式进行的,远程登录可以采用AAA的认证方式进行连接。本实验采用如上图所示的拓扑结构,来实现远程登录及控制台登录的AAA认证。为增强认证的有效性,采用本地认证和RADIUS服务器认证两种并行的办法。
二、实验步骤
1.按照如图所示的拓扑结构连接网络设备。
2.利用WinRadius软件实现RADIUS服务器部署。(该步骤在IP地址
为:192.168.9.254的服务器中进行)具体步骤如下:
(1)在互联网中下载winradius软件,在百度中输入关键字winradius即可找到。
(2)把WinRadius解压到一个目录中。
(3)运行WinRadius.exe。并进行相应的设置
①系统设置
在此设置RADIUS服务器的认证密钥为WinRadius。(密钥可以自行设置),点击确定按钮完成。
②ODBC的设置
点击自动配置ODBC按钮完成数据库连接设置,然后点击确定按钮。
③其他设置采用默认方式。
(4)重新启动Radius.exe.
(5)给认证服务器添加用户账号。
这里一共添加了三个用户。
(6)运行RadiusTest.exe实现测试.
至此,RADIUS服务部署完毕。
3.配置路由器R1,实现AAA认证,实验中路由器的型号是锐捷RSR20-04。(1)路由器基础配置,并测试连通性。
rsr20_01#config t
Enter configuration commands, one per line. End with CNTL/Z.
rsr20_01(config)#host R1
R1(config)#int fa 0/0
R1 (config-if-FastEthernet 0/0)#ip add 192.168.9.170 255.255.255.0
R1 (config-if-FastEthernet 0/0)#no shut
R1 (config-if-FastEthernet 0/0)#exit
R1 (config)#int fa 0/1
R1 (config-if-FastEthernet 0/1)#ip add 202.110.118.1 255.255.255.252
R1 (config-if-FastEthernet 0/1)#no shut
R1 (config-if-FastEthernet 0/1)#end
R1#sh ip int bri
Interface IP-Address(Pri) OK? Status
Serial 3/0 no address YES DOWN FastEthernet 0/0 192.168.9.170/24 YES UP FastEthernet 0/1 202.110.118.1/30 YES UP
R1#
R1#ping 202.110.118.2
Sending 5, 100-byte ICMP Echoes to 202.110.118.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#
R1#ping 192.168.9.254
Sending 5, 100-byte ICMP Echoes to 192.168.9.254, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#
R1#ping 192.168.9.171
Sending 5, 100-byte ICMP Echoes to 192.168.9.171, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#
(2)配置路由器R1的AAA认证。
R1#config t
R1(config)#username zhuge password 0 https://www.doczj.com/doc/735620049.html,
R1(config)#aaa new-model
R1(config)#aaa authen login man01 group radius local
R1(config)#radius-server host 192.168.9.254
R1(config)#radius-server key WinRadius
(注意:该密钥的值一定要与RADIUS服务器的配置的密钥相同)
R1(config)#
(3)将AAA认证应用到远程登录和控制台登录中。
R1(config)#line vty 0 4
R1(config-line)#login authentication man01
R1(config-line)#exit
R1(config)#line con 0
R1(config-line)#login authentication man01
R1(config-line)#end
R1#
4.分别在PC1和PC2上实现远程登录验证。登录时查看RADIUS服务器的反应。
①PC1登录情况
②PC2登录情况
③console端口控制台登录情况
④RADIUS服务响应情况.
⑤关闭RADIUS服务器,进行本地登录验证。
5.路由器R1的参考配置.
R1#sh run
Building configuration...
Current configuration : 879 bytes
!
version RGOS 10.3(4), Release(53498)(Fri Apr 3 08:44:55 CST 2009 -ngcf49) hostname R1
!
aaa new-model
!
aaa authentication login man01 group radius local
!
username zhuge password https://www.doczj.com/doc/735620049.html,
no service password-encryption
!
radius-server host 192.168.9.254
radius-server key 7 0631370d1d14162e1001
enable secret level 14 5 $1$djka$v4xAxzzw34v7u55y
enable secret 5 $1$MQkh$q6yvC43spDF15sv7
!
!
interface Serial 3/0
clock rate 64000
!
interface FastEthernet 0/0
ip address 192.168.9.170 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet 0/1
ip address 202.110.118.1 255.255.255.252
duplex auto
speed auto
!
!
ref parameter 50 400
line con 0
login authentication man01
line aux 0
line vty 0 4
login authentication man01
!
!
End
三、总结
本实验中RADIUS服务器的配置中的密钥配置一定要与路由器的密钥配置相同。在实验中要注意拓扑图中各个端口的链接情况,千万别出现把端口插线弄反的情况。
基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器:如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功
RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网 一、实验目的:通过Radius服务器的mac验证和路由器上的 nat配置,使得在局域网内的无线设备可以上网。 二、实验拓扑图: 三、使用的设备列表: S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置:
步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网
实验四telnet远程登录 一.实验目的 1.了解掌握远程登录 2.了解系统服务 3. 掌握TELNET应用 二.实验原理 Telnet是进行远程登录的标准协议和主要方式它为用户提供了在本地计算机上完成远程主机工作的能力。通过使用Telnet,Internet用户可以与全世界许多信息中心图书馆及其它信息资源联系。Telnet远程登录的使用主要有两种情况。第一种是用户在远程主祝上有自己的帐号(Account),即用户拥有注册的用户名和口令;第二种是许多Internet主机为用户提供了某种形式的公共Telnet信息资源,这种资源对于每一个Telnet用户都是开放的。Telnet是使用最为简单的Internet工具之一。 Telnet支持的命令有: c- 关闭关闭当前连接 d- 显示显示操作参数 o- 打开主机名[端口]连接到一个主机名(默认端口23) q- 退出退出telnet set- 设置设置选项(要列表,请键入\'set \') sen- 发送将字符串送到服务器 st - 状态打印状态信息 u- 解除设置解除设置选项(要列表,请键入\'unset’ \) h- 帮助打印帮助信息 三.实验内容及步骤 1.防火墙配置,点击开始->控制面板->window防火墙
2.配置防火墙例外选项卡,确保windows防火墙允许转发远程桌面数据包。
3.本地主机登录远程主机 点击开始->所有程序->附件->远程桌面连接。输入远程主机IP地址点击连接。 4.按照提示输入远程主机用户名及密码.
5.用户名密码认证成功即可登录远程主机 6. 远程主机设置。开启telnet服务。在我的电脑点击右键->管理->服务和应用程序->服务
有时在登陆3389的时候会出现如下提示: 具体的解决办法: 有时候是这个错误提示:由于网络错误,连接被中断,请重新连接到远程计算机 远程连接我肯定是开启了的,防火墙里面3389端口也是打开的,并且连接其他的服务器就可以连接上,说明我本机没问题,用扫描软件,扫描了一下这个服务器,显示IP和端口都是存在的,说明这个服务器网络也没问题,实在没办法,只有不断的测试,后来在系统日志里面看到很多条系统错误信息。其中:严重错误“RDP 协议组件 "DATA ENCRYPTION" 在协议流中发现一个错误并且中断了客户端连接。”引起了我的注意。 几经周折得知这是因为Certificate子键负责终端服务通信中数据信息的认证和加密,它一旦被损坏,终端服务的协议组件就会检测到错误,中断客户机与终端服务器之间的通信。导致Certificate子键损坏的原因很多,如管理员安装和卸载某些系统软件、对终端服务参数的不合理配置等。这时我们需要重置该键值中的内容,才能修复终端服务。 进入注册表编辑器窗口,展开“HKEY_LOCAL_MA CHINE\ SYSTEM\CurrentCon trolSet\Services\TermService\ Parame ters”,找到名为“Certificate”的子键,将它删除,重新启动XP系统或Windows 2000 Server服务器,系统就会重新生成“Certificate”子键,这样客户端就能正常连接到终端服务器了。 在终端服务器出现无法连接的问题后,我们首先要判断这是不是网络故障引起的,检测远程客户端和XP系统 (Windows 2000 Server服务器)是否能够正常连接到网络;然后就要检查终端服务器的加密级别是否设置过高。排除上述原因后,就有可能是“Certificate”子键损坏了。此外,“HKEY_LOCAL _MACHINE\ SYSTEM\Cur rentControlSet\Services\Term Service\Parameters”下的 “X509 Certificate”和“X509 Certificate ID”损坏了也有可能导致终端服务出现问题,它们的修复方法与“Certificate”子键损坏后的修复方法相同。
《网络协议》实验报告 实验名称:远程登录协议(Telnet) 组别机器号:第六组主机B 班级:网络13-3班 学号:1320020306 姓名:黄腾飞 指导教师:陈虹 成绩:
一、实验目的 1. 掌握Telnet的工作过程 2. 理解Telnet选项协商 二、实验环境 实验拓扑结构(标注IP地址和MAC地址): IP地址:172.16.0.62 MAC地址:002511-53EB30 三、实验内容 1.运行Telnet命令,捕获数据进行分析 2.Telnet选项协商的过程 四、实验过程及结果分析 本实验主机A和B(主机C和D,主机E和F)一组进行。 1.运行Telnet命令,捕获数据进行分析 (1)主机B启动协议分析器进行数据捕获,并设置过滤条件(提取TELNET协议)。 (2)实验环境中的服务器(IP地址:172.16.1.100)上的telnet服务已经启动,使用服务器为本小组提供的帐号,其用户名:group1_1,密码:group1_1。 注:用户名、密码相同,生成规则是:groupx_y(x是组索引,y是主机索引,eg 第一组的主机C使用的用户名和密码为:group1_3)。 主机A在命令行提示符下运行: ①Telnet 172.16.1.100 ②在“Login:”提示符后输入用户名(group1_1)。在“Password:”提示符后输入密码(group1_1)。 ③在虚拟终端上进行一些简单的操作(可不作)。 ④按“CTRL+]”回到Telnet提示符下。 ⑤输入“quit”退出Telnet。
(3)察看主机B捕获的数据,分析Telnet的工作过程。 用户名和密码是一位一位传的。 2.Telnet选项协商的过程 (1)主机B启动协议分析器进行数据捕获,并设置过滤条件(提取Telnet协议)。(2)主机A首先要与Telnet服务器建立一个TCP连接。
登录失败:未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 登录失败:未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 如果出现“xxx计算机无法访问,您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限”的报错,这可能是计算机的安全设置被改动过了,导致目标计算机无法被访问。可以采取以下步骤解决: 1. 取消简单文件共享。 打开“我的电脑”,在菜单上选择“工具”->“文件夹选项”->“查看”,清除“使用简单文件共享(推荐)”的选择。 2. 启用guest账户。 右键点击“我的电脑”,选择“管理”,选择“本地用户和组”->“用户”,右键点击Guest用户,选“属性”,清除“帐户已停用”的选择。 3. 在组策略中设置,安全策略。 开始--运行--gpedit.msc--计算机配置--windows设置--安全设置--本地策略--“用户权力指派”,双击右边的“从网络访问此计算机”,保证其中有Everyone,双击左边的“拒绝从网络访问此计算机”,保证其是空的。 4. 选择左边的“本地策略”->“安全选项”, a.确认右边的“网络访问:本地帐户的共享与安全模式”为“经典”; b.确认右边的“Microsoft网络客户:为通讯启用数字签名(总是)”为“已停用”; c.确认右边的“Microsoft网络客户:为通讯启用数字签名(如果服务器允许)”为“已启用”; d.确认右边的“Microsoft网络服务器:为通讯启用数字签名(总是)”为“已停用”; e.确认右边的“Microsoft网络服务器:为通讯启用数字签名(如果服务器允许)”为“已启用”。 5.正确配置网络防火墙 1>很多机器安装了网络防火墙,它的设置不当,同样导致用户无法访问本机的共享资源,这时就要开放本机共享资源所需的NetBIOS端口。笔者以天网防火墙为例,在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则,最后点击“保存”按钮,这样就开放了NetBIOS端口。 2>关闭windows自带防火墙。 6.合理设置用户访问权限 网络中很多机器使用NTFS文件系统,它的ACL功能(访问控制列表)可以对用户的访问权限进行控制,用户要访问这些机器的共享资源,必须赋予相应的权限才行。如使用Guest账号访问该机器的CPCW共享文件夹,右键点击该共享目录,选择“属性”,切换到“安全”标签页,然后将Guest账号添加到用户列表中,接着指定Guest的访问权限,至少要赋予“读取”和“列出文件夹目录”权限。如果想让多个用户账号能访问该共享目录,只需要添加Eeryone账号,然后赋予“读取”和“列出文件夹?.. 7、网络协议配置问题, A、网络协议的安装和设置 1.在WinXP中安装NetBEUI协议 对的,你没有看错,就是要在WinXP中安装NetBEUI协议。微软在WinXP中只支持TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议,正式宣布不再支持NetBEUI协议。但是在建立小型局域网的实际使用中,使用微软支持的两种协议并不尽如人意。比如,在解决网上邻居慢问题的过程中,笔者采用了诸多方法后网上邻居的速度虽然好一点,但还是慢如蜗牛;另外,在设置多块网卡的协议、客户和服务绑定时,这两种协议还存在BUG,多块网卡必须同时绑定所有的协议(除NWLink NetBIOS)、客户和服务,即使你取消某些绑定重启后系统又会自动加上,这显然不能很好地满足网络建设中的实际需要。而当笔者在WinXP中安装好NetBEUI协议后,以上两个问题都得到圆满的解决。
配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下: ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例,需要准备如下数据: ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明: 以下配置均在RouterB上进行。 操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。
如何远程连接服务器 大多数的公司、网站、论坛的服务器都是放在机房叫人托管,因此挑选托管机房是一件很重要也很头疼的事,虽然每个机房都说是24小时留人值守,但事实是服务器真宕机的时候,打电话叫人重启,对方总能找到理由拖上半天才给你重启,给公司和网站论坛带来麻烦甚至造成经济损失。为此,南宁网络人电脑有限公司推出了一套方便、简捷的远程控制解决方案:通过电话唤醒技术远程重启计算机,解决无人值守的问题,再配合免费的网络人(Netman)远程控制软件,实现远程控制电脑:远程运行软件程序、上传下载和修改文件、远程开启外接设备等! 详情咨询:https://www.doczj.com/doc/735620049.html,/hardware.asp 第一步:远程开机 将网络人开机卡插在计算机的PCI 插槽上,不需要其他软件配合,不需要在电脑上安装驱动,打个电话,就能远程开机。网络人开机卡,有固话和手机两个版本。固话版需要从电话机上分出一根电话线插到开机卡上;如果你的电脑旁没有座机,可以选择手机版,在控制上放置一张手机卡。开机卡安装好后,只要拨打该电话或手机号,即可实现远程开机,简单实用,快捷稳定。 简单人性化的开机方法:
拨打接在开机卡上的电话或手机,在过了30一50秒的等待时间,如无人接听,将进入启动平台,这时语音提示输入登陆密码进行验证,验证密码正确之后,便可以根据语音提示来对电脑进行开关机的操作了: 按1#键,相当于手工按了一下电脑面板上的开机按键,电脑启动。 按2#键,相当于手工按了一下电脑面板上的开机按键,电脑关闭。如果电脑已经处于关机状态下,就会提示指令无效。 按3#键,可以修改响铃时间。需要提醒大家的是,一般的电话响铃时间都不会超过50秒,如果超过就自动挂机了,因此提醒大家设置响铃时间时不要超过50秒。 按下4#键,可以修改登陆密码,默认的登陆密码是123456 ,大家在使用时最好更改为6位数的其他密码。 按下5#键,相当于手工持续按下电脑面板上的开机按键6秒钟。电脑在死机的情况下,就可以通过这一功能,强制关闭电脑。过几分钟后,再重新启动就可以了。 如果你忘记了登陆密码,可以按下电话插口旁的复位键,得设置恢复到出厂设置,密码将复原为123456。 第二步:远程控制、操作计算机 安装完成后,还可以通过网络人(Netman)配套的远控软件对电脑进行远程控制。 网络人(Netman)个人版是一款可以穿透内网、完全免费、超级安全的远程控制软件。支持远程隐性监控对方屏幕,遥控键盘、鼠标,远程上传、下载、修改、运行文件……就像操作自己电脑一样方便,大大提高远程办公效率。
远程开启服务 (1)Telnet服务 Telnet用于提供远程登录服务,当终端用户登录到提供这种服务的主机时,就会得到一个Shell(命令行),通过这个Shell,终端用户便可以执行远程主机上的任何程序。 同时,用户将作为这台主机的终端来使用该主机的CPU和内存资源,实现完全控制远程主机。Telnet登录控制是入侵者常常使用的方式。 (2)Telnet命令:telnet IP [PORT] 参数说明: “IP”:开有Telnet服务主机的IP地址。 “PORT”:Telnet服务的监听端口,默认端口为23号。 步骤一:建立IPC$连接。 步骤二:管理远程计算机。 首先打开“计算机管理”,然后在“计算机管理”界面中通过“操作(A)”→“连接到另一台计算机(C)”,如图所示。
在弹出的“选择计算机”窗口中“名称”栏中填入目标主机的IP“192.168.27.128”,然后单击“确定”按钮,显示界面如图所示。 在上述过程中,如果出现“输入用户名和密码”的对话框,那么就需要再次输入用户名和密码。 值得说明的是,该用户名和密码可以与建立IPC$连接时候使用的相同,也可以不相同,这都不会影响以后的操作,但是这个用户一定要拥有管理员权限。 步骤三:开启“计划任务”服务(Task Scheduler)。 在“计算机管理”窗口中,鼠标左键单击“服务和应用程序”前面的“+”来展开项目,然后在展开的项目中选择“服务”,如图所示。
在图右侧窗口中所列即是远程计算机的服务列表,每个服务的具体功能可以查看与其对应的“描述”。在“名称”中找到“Task Scheduler”,如图所示。 双击“Task Scheduler”打开设置对话框,如图所示。 在“Task Scheduler的属性”窗口中,把“启动类型”选择为
802.1X认证完整配置过程说明 802.1x认证的网络拓布结构如下图: 认证架构 1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。 2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制
通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。 3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。 4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。 我们的认证客户端采用无线客户端,无线接入点是用TP-LINK,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。 配置如下: 配置RADIUS server步骤: 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构; 在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序反了,证书服务中的企业根证书服务则不能选择安装; 一:安装AD,IIS 安装见附件《AD安装图文教程》 二:安装IAS 1、添加删除程序—》添加删除windows组件
Radius与IAS的运作流程 Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行;或是转给Radius代理服务器,然后再由它转给另外一台Radius服务器。 您可以利用Windows Server 2003内的IAS,来架设Radius服务器或是Radius 代理服务器。 IAS可以让Windows Server 2003扮演Radius服务器,而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。 IAS服务器扮演Radius服务器的角色,它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。其运作流程如下: 1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自 客户端的连接请求。 2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记 帐的工作。 3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确,并且 利用用户的帐户设置与远程访问策略内的设置,来决定用户是否有 权限来连接。 4、若用户有权限来连接,它会通知存取服务器,再由存取服务器让客 户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将 此次的连接请求记录下来。 IAS RADIUS服务器在检查用户身份与帐户设置时,它可以从以下所列的用户帐户数据库中得到这些信息: IAS RADIUS服务器的本机安全性,也就是SAM Windows nt 4 的域用户帐户数据库 Active Directory数据库 后两者要求IAS RADIUS服务器必须是域的成员,此时它所读取的帐户可以是所属域内的帐户,或是有双向信任关系的其它域内的帐户。 若未将验证、授权与记帐的工作转给RADIUS服务器,则每一台远程访问服务器或VPN服务器必须自己运行这些工作,因此每一台远程访问服务器或VPN服务器都需要有自己的远程访问策略与远程访问记录文件,如此将增加维护这些信息的负担。 在将验证、授权与记帐的工作转给RADIUS服务器后,您只需要维护位于RADIUS服务器内的远程访问策略与远程访问记录文件即可,此时的远程访问服务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。 安装IAS服务器 控制面板---添加/删除windows组件---网络服务---Internet验证服务让IAS服务器读取Active Directory内的用户帐户 如果用户是利用Active Directory内的用户帐户来连接,则IAS服务器必须向DC 询问用户帐户的信息,才能够决定用户是否有权限连接,不过您必须事先将IAS 服务器注册到Active Directory内。请先到IAS服务器上,利用具有域系统管理员身份的帐户来登录,然后选择以下几种注册方法之一: 利用“Internet验证服务”主控制窗口
Telnet远程登录基本概念解析 Telnet的应用不仅方便了我们进行远程登录,也给hacker们提供了又一种入侵手段和后门,但无论如何,在你尽情享受Telnet所带给你的便捷的同时,你是否真正的了解Telnet 呢? 一摘要 Telnet的应用不仅方便了我们进行远程登录,也给hacker们提供了又一种入侵手段和后门,但无论如何,在你尽情享受Telnet所带给你的便捷的同时,你是否真正的了解Telnet 呢? 二远程登录 Telnet服务虽然也属于客户机/服务器模型的服务,但它更大的意义在于实现了基于Telnet协议的远程登录(远程交互式计算),那么就让我们来认识一下远程登录。 1 远程登陆的基本概念 先来看看什么叫登录:分时系统允许多个用户同时使用一台计算机,为了保证系统的安全和记帐方便,系统要求每个用户有单独的帐号作为登录标识,系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令,这个过程被称为'登录'。 远程登陆是指用户使用Telnet命令,使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器,它只负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。 2 远程登陆的产生及发展 我们可以先构想一个提供远程文字编辑的服务,这个服务的实现需要一个接受编辑文件请求和数据的服务器以及一个发送此请求的客户机。客户机将建立一个从本地机到服务器的TCP连接,当然这需要服务器的应答,然后向服务器发送键入的信息(文件编辑信息),并读取从服务器返回的输出。以上便是一个标准而普通的客户机/服务器模型的服务。 似乎有了客户机/服务器模型的服务,一切远程问题都可以解决了。然而实际并非你想象的那样简单,如果我们仅需要远程编辑文件,那么刚才所构想的服务完全可以胜任,但假如我们的要求并不是这么简单,我们还想实现远程用户管理,远程数据录入,远程系统维护,想实现一切可以在远程主机上实现的操作,那么我们将需要大量专用的服务器程序并为每一个可计算服务都使用一个服务器进程,随之而来的问题是:远程机器会很快对服务器进程应接不暇,并淹没在进程的海洋里(我们在这里排除最专业化的远程机器)。 那么有没有办法解决呢?当然有,我们可以用远程登录来解决这一切。我们允许用户在远地机器上建立一个登录会话,然后通过执行命令来实现更一般的服务,就像在本地操作一样。这样,我们便可以访问远地系统上所有可用的命令,并且系统设计员不需提供多个专用地服务器程序。
Windows服务器学习篇:服务器远程桌面连接与退出 简单介绍一下Windows服务器上的远程桌面连接和退出 远程桌面是管理Windows服务器的首选,不仅仅是因为系统自带,还有它的方便性,本地磁盘和远程服务器之间的文件共享也是一个因素。 连接 1、先给服务器配置一个固定IP,并根据环境设置好网关、掩码,如果是外网服务器还要配置好DNS。
2、服务器开启远程桌面功能 在防火墙中将远程桌面添加为例外
3、修改默认端口。远程桌面的默认端口是3389,为了安全起见应该修改它。 1)先在防火墙中添加一条入站规则,端口9833。 2)分别修改注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp]中的PortNamber的值为9833。 4、在客户端,打开远程桌面连接软件,输入192.168.1.222:9833,最后输入用户名、密码登录即可。
5、在确定新端口生效后,把默认的3389端口禁用。1)在防火墙例外中将远程桌面去掉。 2)在防火墙入站规中将远程桌面(Tcp-In)禁用。
退出 远程连接退出时最好不要直接按面板上的x按钮。 正确的步骤为:点击注销中的断开连接 或者 任务管理器,用记栏点击断开。
这样才是正确的连接断开方式。
RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco 路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。 cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。 CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。 在以下安全访问环境需要使用RADIUS: +当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多 个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。 +当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。 +当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的 第一步。 +当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。 例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。 +当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS 认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使 用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。+当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。RADIUS不适合以下网络安全情形: ~多协议访问环境,Radius不支持以下协议: *AppleTalk Remote Access (ARA)苹果远程访问。
浅谈Radius服务器的功能原理及交互过程 RADIUS是一个英文缩写,其具体含义是Remote Authentication Dial In User Service,中文意思是“远端用户拨入验证服务”,是一个AAA协议,即集authentication(认证)、authorization(授权)、accounting(计费)三种服务于一体的一种网络传输协议。文章将从Radius服务器的功能原理及交互过程对其进行介绍。 标签:协议;UDP;NAS;客户端 Radius是一种C/S结构的可扩展协议,它是以Attribute-Length-Value向量进行工作的,其协议认证机制也非常灵活,当用户提供用户名和原始密码时,Radius 可支持点对点协议PPP、密码认证协议PAP、提问握手认证协议CHAP及其他认证机制。NAS设备可以是它的客户端,任何运行该软件的计算机都可以成为Radius的客户端。目前,该服务器应用于各类宽带上网业务。 1 Radius服务器的功能原理 (1)宽带用户拨号上网时接入NAS,NAS设备使用“访问请求”数据包向Radius服务器提交用户的请求信息,该信息包括用户名、密码等。用户的密码会经过MD5加密,双方会使用不会通过网络进行传播的“共享密钥”。同时,Radius 服务器会对用户名和密码的合法性进行检验,提出质疑时,就会要求进一步对用户、对NAS设备进行验证。如果验证不通过,就会返回“拒绝访问”的数据包,以此来拒绝用户的访问;验证合法,就会给NAS设备返回“接受访问”的数据包,即用户通过了认证。允许访问时,NAS设备会向Radius服务器提出“计费请求”,Radius服务器响应“接受计费”的请求,开始对用户计费,用户从此刻开始了上网。 (2)“重传机制”是Radius协议的特色功能之一。一般情况下,Radius服务器分为主备用设备,这项功能是为NAS设备向主用Radius服务器提交请求却没有收到返回信息时而准备的,备用的Radius服务器会进行重传,如果备用Radius 服务器的密钥和主用Radius服务器的密钥不相同时,是需要重新进行认证的。NAS设备进行重传的时候,对于有多个备用Radius服务器的网络,一般采用轮询的方法。 (3)NAS设备和Radius服务器之间的通信协议是“UDP协议”,Radius服务器有1812和1813端口,其中1812端口是认证端口,1813端口是计费端口。因为NAS设备和Radius服务器大多数是在同一个局域网中,采用UDP协议进行通信则更加快捷方便,而且无连接的UDP协议会减轻Radius服务器的压力,增加安全性。 (4)漫游和代理也是Radius服务器的功能之一。“漫游”功能是代理的一个具体实现,作为Radius服务器的代理,负责转发Radius认证和计费的数据包,这样用户可以通过本来和其无关的Radius服务器进行认证,即用户可以在非归
如何开启Windows远程桌面服务? 网灵一号”从Ver 0.1.5.8 开始支持“桌面办公”功能,即连接到受控电脑的远程桌面服务。这个需要受控电脑上的Windows远程桌面服务是开启的。 那么,如何手动开启Windows远程桌面服务呢? (1)Windows XP、Windows 2003 中 第一步:在桌面“我的电脑”上点鼠标右键,选择“属性”。 第二步:在弹出的“系统属性”窗口中选择“远程”标签。 第三步:在“远程”标签中找到“远程桌面”,在“允许用户远程连接到此计算机”复选框前打上对勾后确定。 第四步:注意Windows防火墙中的例外“远程桌面”要生效。 重启系统后,具有管理员权限的用户就可以远程访问远程桌面了。
最后,有几点需要注意的地方: 1)登录远程桌面的Windows用户,至少是Remote Desktop User 用户组的成员。当然Administrators 组也是可以的。 2)登录远程桌面的用户名,必须是带有密码的。空密码的账号是无法登录的。 3)Windows 7 比较烦人的是,防火墙策略比较复杂,它还分为家庭网络、工作网络、公共网络什么的。各个不同类型的网络防火墙设置都是独立的。所以当你的网卡被设置为不同的网络类型的时候(一般是连接到新的局域网或插入新的网线,导致IP发生变化),就是会出现连不上的情况。一般做法是,全部给他设置为家庭网络。。。。 4)如果Windows远程桌面服务以前没有启用,是刚刚才启用的,那么需要重新启动一下电脑才能进行连接。 5)注意其它第三方防火墙的拦截。像金山的、360的等等。 6)另外还有种情况,就是那种第三方定制打包的XP安装盘,如雨木林风(ymlf)XP、电脑城装机XP,GhostXP等等什么一键安装的Windows系统,基本上都以安全为由,把远程桌面服务从系统里给砍掉了,导致系统的远程桌面服务完全不可用,即使从选项上开启了,仍然用不了远程桌面。某些第三方打包的Vista、Win7也是这样的情况。 (2)Win7、Windows 2008 中 第一步:在桌面“计算机”上点鼠标右键,选择“属性”。 第二步:在弹出的窗口中,从左边,选择“远程设置”。 第三步:在“远程”标签中找到“远程桌面”,选择“允许运行任意版本远程桌面的计算机连接(较不安全)”。 第四步:注意Windows防火墙中的例外“远程桌面”要生效。 重启系统后,具有管理员权限的用户就可以远程访问远程桌面了。
Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco 实施中,RADIUS客户端运行在cisco路由 器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。