远程 VPN 客户端的 RADIUS 身份验证

ISA Server 2004 支持对虚拟专用网络 (VPN) 客户端采用远程身份验证拨入用户服务 (RADIUS) 身份验证。启用了 RADIUS 身份验证后，RADIUS 服务器可以对 VPN 客户端进行身份验证，从而提供了集中式的远程访问身份验证、授权、记帐和审核。

配置 ISA 服务器采用 RADIUS 身份验证

配置 ISA 服务器时，请选择 RADIUS 身份验证作为身份验证提供方。添加 RADIUS 服务器时，必须配置下列项：

• 服务器名称。Internet 验证服务 (IAS) 服务器的主机名或 IP 地址。
• 机密。运行路由和远程访问的服务器与 IAS 服务器共享一个机密，用来对两者之间发送的消息进行加密。您必须配置远程访问服务器和 IAS 服务器以使用相同的共享机密。
• 端口。远程访问服务器必须将其身份验证请求发送到 IAS 服务器用来进行侦听的 UDP 端口。如果您使用的是 IAS 服务器，则不需要更改默认值 1812。

有关说明，请参阅配置 RADIUS 服务器。

RADIUS 身份验证系统策略规则

安装 ISA 服务器时，会启用默认系统策略规则，允许通过 RADIUS 身份验证从 ISA 服务器计算机（本地主机网络）访问内部网络。启用了此规则后，ISA 服务器可以使用 RADIUS 身份验证对 VPN 客户端进行验证。有关系统策略规则的详细信息，请参阅系统策略概述。

用户映射

如果客户端运行的是 Windows 以外的操作系统，并且这些客户端以远程 VPN 访问客户端的身份连接，那么必须指定使用 RADIUS 服务器来进行身份验证。使用 ISA 服务器用户映射功能，可以将不使用 Windows 的用户映射为 Windows 帐户。这样，如果您创建了应用于用户集的任何防火墙策略规则，那么也可以将其应用于不使用 Windows 的 VPN 远程访问客户端。

启用了用户映射后，当 RADIUS 用户提供凭据时，会将用户名和域映射为相同的用户名和域，并对用户进行身份验证，就好像其提供的是 Windows 凭据一样。

有关说明，请参阅启用用户映射。

配置 ISA 服务器进行 RADIUS 记帐

当配置运行路由和远程访问的服务器的属性时，请选择 RADIUS 记帐作为记帐提供方。

添加 RADIUS 服务器时，必须配置下列项：

• 服务器名称。IAS 服务器的主机名或 IP 地址。
• 机密。运行路由和远程访问的服务器与 IAS 服务器共享一个机密，用来对两者之间发送的消息进行加密。您必须配置远程访问服务器和 IAS 服务器以使用相同的共享机密。
• 端口。远程访问服务器必须将其记帐请求发送到 IAS 服务器用来进行侦听的 UDP 端口。默认值 1813 基于 RFC 2866“RADIUS Accounting”，并且当使用 IAS 服务器时也不需要更改。

有关说明，请参阅使用 RADIUS 进行记帐。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。