对多个远程访问服务器使用RADIUS集中验证(1)

    如果有多台Wimdows2000远程访问服务器，为避免对所有的远程访问服务器的远程访问策略进行单独管理，可将其中一个运行Windows2000的计算机配置为验证服务器，由其提供集中的远程访问身份验证、授权、计账和审核，远程访问服务器接到远程客户机的验证请求后，直接转发给验证服务器进行处理。可以在规模不同的各种网络配置中使用微软的Internet验证服务器(IAS)实现集中验证，从小规模网络的独立服务器到大规模的企业网络和ISP网络。
　　
　　RADIUS简介
　　
　　RDIUS是远程身份验证拨入用户服务(Remote Authemtication Dial-in User Service)的英文简称。它是一个工业标准协议(由RFC2138和2139定义)，它为分布式拨号网络提供身份验证、授权和计账服务。
　　
　　RDIUS基于客户朋反务器结构，如图4.68所示。RDIUS客户机将远程客户机提供的账号和密码等信息提交给RDIUS服务器，RADIUS服务器执行客户机身份验证，将验证结果返回RDIUS客户机，再由RADIUS客户机据此结果判断是否要让远程访问客户端登录，并授予相关的访问权限。RADIUS客户机只是起着代理作用。真正实施验证的是RADIUS服务器。RADIUS客户机也称为网络访问服务器(NAS)。

　　RADlUS标准可用于异构网络环境，实现对拨号用户(拨号连接或VPN连接)的集中管理。在实际应用中，RADIUS客户机通常是ISP使用的拨号服务器，RADIUS服务器通常是专门用于验证拨号用户身份并授权的专门服务器。
　　
　　微软提供了完整的RADIUS解决方案，如图4.69所示。RADIUS服务器由Internet验证服务(简称IAS)来实现的。IAS的最早版本包含在WindowsNT4.0 Option Pack中，现在Windows200O Server/Advanced Server集成了增强的IAS组件。Windows2000远程访问服务器可作为RADIUS客户机，可以使用IAS作为身份验证和计账提供程序。这样，无论是ISP，还是大型企业，都可用Windows2000 Server/Advanced Server来集中管理远程访问用户的身份验证和计账。