为Cisco ASA5500系列*** 配置Windows Server 2008 R2 Radius 身份验证

zhoujun.g

　　前提：请配置cisco ASA 系列防火墙***，在Windows 2008 R2 上添加必要的角色和功能，至于Cisco ASA 防火墙配置***，我会在随后的章节中详细讲解，并且以ASA 5510为例，配置远程访问***。下面重点讲解：Windows 2008 R2 添加角色和功能，并且配置Radius 身份验证。
　　1、安装角色“网络策略和访问服务”下的“网络策略服务器”。
　　2、确保开启了Windows 防火墙 的1645端口，因为Radius 身份验证需要此端口，一般安装完了第一步，这个端口会默认开通。
　　3、打开“网络策略服务器”控制台，下面，我就只提到需要配置的东东，如果没有提及到，就保持默认。
　　1〉导航至“RADIUS 客户端和服务器”－“RADIUS客户端”，右键“RADIUS客户端”，“新建”。
　　在“设置”菜单中，友好名称 你就随便起一个，我这里以“cisco ASA5510”名称为例。地址为你防火墙的IP，如果你在Inside区，则就是Inside口的IP，如果你的Radius服务器在DMZ区，则就是DMZ口的IP，不要搞错哟，共享机密，就是你在ASA防火墙上配置的那个共享密钥；
　　在“高级”菜单中，供应商名称选择：RADIUS Standard；
　　2〉导航至NPS下“策略”，右键“连接请求策略”，“新建”。
　　策略名称：按你的喜好填写，最好是比较好记的名称，以防以后能准确的找到。
　　下一步，在条件中，添加。“客户端IPv4地址”这个是ASA防火墙的IP地址，也可以用“客户端友好名称”即在1〉中起的名称“cisco ASA5510”。
　　2〉导航至NPS下“策略”，右键“网络策略”，“新建”。
　　策略名称：按你的喜好填写，最好是比较好记的名称，以防以后能准确的找到。
　　下一步，在条件中，添加。“客户端IPv4地址”这个是ASA防火墙的IP地址，也可以用“客户端友好名称”即在1〉中起的名称“cisco ASA5510”。
　　在授权方式中，选择“授予访问权限”。
　　在“约束”选项卡中，身份验证方法：除MS-CHAP-v2及MS－CHAP外，请将PAP，SPAP同样添加进来。
　　4、测试。
　　一旦配置了Windows Radius 服务器，你便可以测试了，测试途径有两个，一个是通过ASDM测试，一个是通过命令行测试。
　　1〉通过命令行测试。
　　ASA 5510# test aaa-server authentication ***group username user1 password passwd111
　　Server IP Address or name: 192.168.1.7
　　INFO: Attempting Authentication test to IP address <192.168.1.7> (timeout: 10 seconds)
　　INFO: Authentication Successful