The Cable Guy - April 2004

Konfiguration von Routing- und RAS für eine RADIUS-Authentifizierung und -Kontoführung

Veröffentlicht: 17. Mai 2004
Von The Cable Guy

Der Routing und RAS-Dienst (RRAS-Dienst) von Microsoft Windows Server 2003 unterstützt zwei unterschiedliche Authentifizierungsprovider: Windows-Authentifizierung und RADIUS-Authentifizierung. Auch zur Kontoführung kann der RRAS-Dienst zwei unterschiedliche Provider nutzen: Windows-Kontenführung und RADIUS-Kontenführung. In dieser Ausgabe seiner Kolumne konzentriert sich der Cable Guy ganz auf die jeweils zweite Option, den RADIUS-Provider. Kurz, knapp und zielgenau beschreibt er, wie Sie den RRAS-Dienst für eine RADIUS-basierte Authentifizierung und Kontoführung konfigurieren.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
**
Download

Artikel im Word-Format

Downloadcg0404.doc
Microsoft Word-Datei
Viewer für Office-Dateien downloaden

Artikel im PDF-Format

Downloadcg0404.pdf
PDF-Datei
Adobe Acrobat Reader downloaden
**
Auf dieser Seite
EinleitungEinleitung
RADIUS-Server für die Authentifizierung und Autorisierung konfigurierenRADIUS-Server für die Authentifizierung und Autorisierung konfigurieren
RADIUS-Server zur Kontoführung konfigurierenRADIUS-Server zur Kontoführung konfigurieren
Einen RADIUS-Server über den Setup-Assistent für Routing- und RAS-Server konfigurierenEinen RADIUS-Server über den Setup-Assistent für Routing- und RAS-Server konfigurieren
IAS mit einem RADIUS-Client konfigurierenIAS mit einem RADIUS-Client konfigurieren
Zusätzliche InformationenZusätzliche Informationen

Einleitung

Der Routing und RAS-Dienst von Microsoft® Windows® ServerT 2003 (im Folgenden nur noch RRAS-Dienst genannt) unterstützt zwei unterschiedliche Authentifizierungsprovider:

Windows-Authentifizierung: Zur Authentifizierung von Benutzern verwendet der RRAS-Dienst hier die lokalen Konten von Windows Server 2003, die Konten einer Active Directory-Domäne oder eine Windows NT® 4.0-Domäne. Zur Autorisierung von Verbindungsversuchen verwendet der Dienst die Eigenschaften von Benutzerkonten und RAS-Richtlinien.

RADIUS-Authentifizierung: Bei dieser Authentifizierung verwendet der RRAS-Dienst einen RADIUS-Server (Remote Authentication Dial-In User Service), sowohl zur Authentifizierung von Benutzern als auch zur Autorisierung von Verbindungsversuchen.

Auch zur Kontoführung kann der RRAS-Dienst zwei unterschiedliche Provider nutzen:

Windows-Kontenführung: Der RRAS-Dienst protokolliert Kontoinformationen für Verbindungen in Protokolldateien, die über das Snap-In Routing- und RAS konfiguriert werden.

RADIUS-Kontenführung: Der RRAS-Dienst sendet die Kontoinformationen an einen RADIUS-Server.

Die Authentifizierungs- und Kontoführungsprovider können Sie im Snap-In Routing- und RAS über die Registerkarte Sicherheit in den Eigenschaften des Servers auswählen.

Bild

Wie die Abbildung zeigt, können Sie den Authentifizierungs- und Kontoführungsanbieter getrennt konfigurieren. Sie können also zum Beispiel eine Windows-Authentifizierung und eine RADIUS-Kontoführung nutzen.

Nachdem Sie den RADIUS-Authentifizierungsprovider oder den RADIUS-Kontoführungsprovider ausgewählt haben, können Sie mit den beiden Schaltern Konfigurieren einen oder mehrere RADIUS-Server angeben.

Sie haben die Möglichkeit, unterschiedliche Server zur Authentifizierung und Kontoführung zu nutzen.

Zum SeitenanfangZum Seitenanfang

RADIUS-Server für die Authentifizierung und Autorisierung konfigurieren

Wenn Sie auf den Schalter Konfigurieren neben dem Feld Authentifizierungsanbieter klicken, dann wird das folgende Dialogfenster angezeigt (der Schalter ist nur dann aktiviert, wenn Sie die RADIUS-Authentifizierung ausgewählt haben).

Bild

Das Dialogfenster RADIUS-Authentifizierung zeigt die konfigurierten RADIUS-Authentifizierungsserver an. Wenn Sie auf den Schalter Hinzufügen klicken, dann sehen Sie das folgende Dialogfenster.

Bild

In diesem Dialogfenster können Sie die folgenden Einstellungen konfigurieren:

Servername
Name oder IP-Adresse des RADIUS-Servers.

Schlüssel
Mit dem Schalter Ändern können Sie den geheimen Schlüssel ändern, der zur Verschlüsselung von RADIUS-Nachrichten verwendet wird, die zwischen dem RRAS-Dienst und dem RADIUS-Server ausgetauscht werden. Auf dem RRAS- und dem RADIUS-Server muss der gleiche geheime Schlüssel angegeben werden - ansonsten ist keine Kommunikation möglich. Außerdem unterscheidet der Schlüssel zwischen Groß- und Kleinbuchstaben. Sie sollten eine zufällige Kombination von Groß- und Kleinbuchstaben, Zahlen und Satzzeichen verwenden, die mindestens 22 Zeichen lang ist. Am besten erstellen Sie den Schlüssel über einen Zufallsgenerator.

Zeitlimit (Sekunden)
Zeitraum, den der RRAS-Server auf eine Antwort eines RADIUS-Servers wartet, bevor er einen anderen Server aus der Liste auswählt.

Ursprungswert
RRAS verwendet eine Bewertung, um zu entscheiden, welcher RADIUS-Server verwendet werden soll. Diese Bewertung wird auf Basis des konfigurierten Ursprungswerts und der Reaktionszeit des RADIUS-Servers ermittelt. RRAS verwendet den RADIUS-Server mit der höchsten Bewertung. Mit dieser Einstellung können Sie eine Verwendungsreihenfolge für die RADIUS-Server definieren. Denken Sie aber daran, dass die Reihenfolge auch von den Reaktionszeiten der RADIUS-Server abhängt.

Port
UDP-Port (User Datagram Protocol), an dem der RADIUS-Server eingehende Authentifizierungsanfragen entgegennimmt. Der Standardport 1812 ist in RFC 2138 (Request for Comments) definiert worden. Ältere RADIUS-Server verwenden meist UDP-Port 1645.

Nachrichtenauthentifizierung immer verwenden
Wenn Sie diese Einstellung aktivieren, wird für jede RADIUS-Nachricht das RADIUS-AttributMessage-Authenticator verwendet. Dieses Attribut sorgt für die Verschlüsselung der Nachricht mit dem geheimen Schlüssel. EAP-Nachrichten (Extensible Authentication Protocol) werden immer mit diesem Attribut versehen.
Wenn Ihr RADIUS-Server ein Computer unter Windows Server 2003 ist, auf dem der IAS-Dienst (Internet Authentication Service, Internetauthentifizierungsdienst) ausgeführt wird, und wenn der RADIUS-Client auf dem IAS-Server die Einstellung Anforderung muss das Attribut 'Message Authenticator' enthalten verwendet, dann müssen Sie diese Einstellung aktivieren. Weitere Informationen hierzu finden Sie im Abschnitt IAS mit einem RADIUS-Client konfigurieren in diesem Artikel.

Zum SeitenanfangZum Seitenanfang

RADIUS-Server zur Kontoführung konfigurieren

Wenn Sie neben dem Feld Kontoführungsanbieter auf Konfigurieren klicken, dann sehen Sie das folgende Dialogfenster.

Bild

Die Liste enthält alle RADIUS-Server, die als Kontoführungsserver konfiguriert sind. Wenn Sie auf Hinzufügen klicken, dann wird das folgende Fenster angezeigt.

Bild

In diesem Dialogfenster können Sie die folgenden Einstellungen konfigurieren:

Servername, Schlüssel, Zeitlimit (Sekunden), Ursprungswert
Diese Felder entsprechen denen im vorherigen Abschnitt dieses Artikels.

Port
UDP-Port (User Datagram Protocol), an dem der RADIUS-Server eingehende Kontoführungsanfragen entgegennimmt. Der Standardport 1813 ist in RFC 2138 (Request for Comments) definiert worden. Ältere RADIUS-Server verwenden meist UDP-Port 1646.

'Ein/Aus'-Nachrichten für RADIUS-Kontoführung senden
Wenn Sie diese Einstellung aktivieren, dann wird bei beim Starten und Beenden des RRAS-Dienstes jeweils eine RADIUS Accounting-On- und RADIUS-Accounting-Off-Nachricht an den RADIUS-Server gesendet. Diese kann so Informationen darüber speichern, ob der RRAS-Dienst neu gestartet wurde und wann dies geschehen ist.

Zum SeitenanfangZum Seitenanfang

Einen RADIUS-Server über den Setup-Assistent für Routing- und RAS-Server konfigurieren

Der Setup-Assistent für Routing- und RAS-Server wird bei der ersten Konfiguration des RRAS-Dienstes ausgeführt. Wenn Sie in diesem Assistenten eine Option auswählen, für die das PPP-Protokoll (Point-to-Point Protocol) erforderlich ist (zum Beispiel DFÜ, VPN oder Bedarfswahlrouting), dann wird die Seite Mehrere RAS-Server verwalten angezeigt.

Bild

Wenn Sie Windows als Authentifizierungs- und als Kontoführungsanbieter verwenden wollen, dann wählen Sie die Option Nein, Routing- und RAS zum Authentifizieren von Verbindungsanforderungen verwenden. Wenn Sie für beides RADIUS nutzen möchten, dann wählen Sie die andere Option. Wenn Sie auf Weiter klicken, dann sehen Sie die Seite RADIUS-Serverauswahl.

Bild

Auf dieser Seite können Sie die IP-Adresse oder den Namen eines primären und eines alternativen RADIUS-Servers und einen Schlüssel für beide konfigurieren. Nach der Ausführung des Assistenten ist der RRAS-Dienst folgendermaßen konfiguriert:

RADIUS-Authentifizierungsanbieter mit bis zu zwei RADIUS-Servern. Der primäre RADIUS-Server hat den Ursprungswert 30 und der sekundäre hat den Ursprungswert 29.

RADIUS-Kontoführungsanbieter mit bis zu zwei RADIUS-Servern. Der primäre RADIUS-Server hat den Ursprungswert 30 und der sekundäre hat den Ursprungswert 29.

Beide RADIUS-Server verwenden den gleichen Schlüssel.

Wenn Sie für die Authentifizierung und die Kontoführung unterschiedliche RADIUS-Server oder unterschiedliche Schlüssel verwenden möchten, dann müssen Sie die Konfiguration über das Routing- und RAS-Snap-In manuell ändern.

Zum SeitenanfangZum Seitenanfang

IAS mit einem RADIUS-Client konfigurieren

Routing- und RAS ist ein RADIUS-Client, der dem entsprechenden IETF-Standard (Internet Engineering Task Force) entspricht. Er kann zusammen mit jedem IETF-kompatiblen RADIUS-Server verwendet werden. Windows Server 2003 stellt den IAS-Dienst (Internet Authentication Service) zur Verfügung - hierbei handelt es sich um einen IETF-kompatiblen RADIUS-Server und -Proxy. IAS wird als optionale Windows-Netzwerkkomponente über die Option Software in der Systemsteuerung installiert.

Nachdem IAS installiert ist, müssen Sie die RADIUS-Clients konfigurieren. Hierzu führen Sie die folgenden Anweisungen aus:

1.

Klicken Sie auf Start, Systemsteuerungund Verwaltung. Klicken Sie dann auf Internetauthentifizierungsdienst.

2.

Im Snap-In Internetauthentifizierungsdienst klicken Sie mit der rechten Maustaste auf RADIUS-Clients und dann auf Neuer RADIUS-Client. Das folgende Dialogfenster wird angezeigt.
Bild

3.

Geben Sie unter Angezeigter Name den Namen des RRAS-Servers ein. Geben Sie im Feld Clientadresse (IP oder DNS) die IP-Adresse oder den DNS-Namen dieses Servers ein. Wenn Sie einen DNS-Namen verwenden, dann überprüfen Sie den Namen mit dem Schalter Verifizieren.

4.

Klicken Sie auf Weiter.Als Nächstes wird das folgende Dialogfenster angezeigt.
Bild

5.

Geben Sie den Schlüssel an, den Sie auch auf dem RRAS-Server konfiguriert haben. Wenn Sie auf dem Server die Option Nachrichtenauthentifizierung immer verwenden konfiguriert haben, dann müssen Sie hier die Option Anforderung muss das Attribut 'Message Authenticator' enthalten aktivieren.

6.

Um den RADIUS-Client hinzuzufügen, klicken Sie auf Fertigstellen.

Dieses Verfahren gestattet es dem RRAS-Server, RADIUS-Anfragenachrichten an den IAS-Server zu senden. Damit der IAS-Server jedoch Verbindungen authentifizieren und autorisieren kann, muss möglicherweise auch die Konfiguration der entsprechenden Benutzerkonten geändert werden. Außerdem sind eventuell entsprechende RAS-Richtlinien erforderlich. Weitere Informationen finden Sie unter Einführung zu RAS-Richtlinien (englischsprachig).

Zum SeitenanfangZum Seitenanfang

Zusätzliche Informationen

Windows Server 2003 - Netzwerk und Kommunikationsdienste (englischsprachig).

VPNs unter Windows Server 2003

Windows Server 2003 VPN-Website

Windows VPN-Website unter http://www.microsoft.com/vpn (englischsprachig).

Internet Authentication Service Website

Internet Authentication Service Website unter http://www.microsoft.com/windowsserver2003/technologies/ias/default.mspx (englischsprachig).

Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.

The Cable Guy

The Cable Guy
Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.


Zum SeitenanfangZum Seitenanfang