RADIUS 身份验证

远程身份验证拨号用户服务 (RADIUS) 是 RFC 2865“Remote Authentication Dial-in User Service (RADIUS)”中描述的工业标准协议。RADIUS 用于提供身份验证。RADIUS 客户端（通常是拨号服务器、虚拟专用网络 (VPN) 服务器或无线访问点）以 RADIUS 消息的形式将用户凭据和连接参数信息发送到 RADIUS 服务器。RADIUS 服务器验证 RADIUS 客户端请求，并返回 RADIUS 消息响应。

由于 RADIUS 服务器除了验证客户端凭据外，还对其进行授权，因此 ISA 服务器所收到的 RADIUS 服务器响应（指出客户端凭据不被批准）可能并不真地意味着 RADIUS 服务器未授权该客户端。即便凭据已通过身份验证，ISA 服务器也可能根据 RADIUS 服务器授权策略拒绝客户端请求。

注意

当 RADIUS 用户将凭据提供给 ISA 服务器时，凭据必须以 domain\user（而不是 user@domain）的形式传递。

可以配置 ISA 服务器使用特定的 RADIUS 服务器（负责执行 RADIUS 用户身份验证）。

对传出请求的 RADIUS 身份验证

当使用 Internet 验证服务 (IAS) 作为 RADIUS 服务器时，请务必在 IAS 远程访问策略的拨入配置文件中启用未加密的身份验证，即密码身份验证协议 (PAP) 或 Shiva 密码身份验证协议 (SPAP)。对 PAP 或 SPAP 启用 IAS 是针对于每个配置文件的 IAS 设置。与策略条件匹配的所有 RADIUS 客户端都将能够使用 PAP 或 SPAP 连接到 IAS 服务器。

为 RADIUS 身份验证配置 ISA 服务器

配置 ISA 服务器时，请选择 RADIUS 身份验证作为身份验证提供方。添加 RADIUS 服务器时，必须配置下列项：

服务器名称。RADIUS 服务器的主机名或 IP 地址。
机密。运行“路由和远程访问”的服务器与 RADIUS 服务器共享一个机密，该机密用于对在两者之间发送的消息进行加密。必须配置远程访问服务器和 RADIUS 服务器使用相同的共享机密。
端口。远程访问服务器必须将其身份验证请求发送到 RADIUS 服务器用来进行侦听的数据数据报协议 (UDP) 端口。使用 RADIUS 服务器时，不需要更改默认值 1812。

注意

当为 RADIUS 身份验证配置 ISA 服务器时，RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。

有关说明，请参阅配置 RADIUS 服务器。

安全事项

配置 RADIUS 身份验证时，需考虑下列安全事项：

RADIUS User-Password 隐藏机制可能无法为密码提供足够的安全性。RADIUS 隐藏机制使用 RADIUS 共享机密、Request Authenticator 以及 MD5 哈希算法加密 User-Password 和其他属性，如 Tunnel-Password 和 MS-CHAP-MPPE-Keys。RFC 2865 指出可能需要评估威胁环境，并确定是否应采用更多的安全措施。
可以结合使用 Internet 协议安全 (IPSec)、封装式安全措施负载 (ESP) 以及加密算法（如三级 DES (3DES)），为整个 RADIUS 消息提供数据保密性，从而为隐藏属性提供更多的保护。请遵循推荐的下列准则：
1. 使用 IPSec 为 RADIUS 客户端和服务器提供更高的安全性。
2. 要求使用强用户密码。
3. 使用身份验证计算和帐户锁定有助于防止用户密码受到词典攻击。
4. 使用具有一长串随机顺序的字母、数字和标点符号的共享机密。经常更改此机密有助于保护 IAS 服务器。
当使用基于密码的身份验证时，应强制对网络采用强密码策略，以使词典攻击更难以实施。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。