通過 RSA SecurID 身份驗證配置 VPN
針對 RSA SecurID 身份驗證配置 VPN 由以下步驟組成:
• 在 ISA Server 中配置 VPN 客戶端訪問。要想允許遠程 VPN 客戶端使用 ISA Server 訪問內部網路,必須啟用 VPN 客戶端訪問。啟用 VPN 客戶端訪問時,ISA Server 將啟用一個名為“允許 VPN 客戶端到防火牆”的系統策略規則,以允許初始訪問。還需要指定客戶端用於連線 VPN 到 ISA Server 計算機而應當使用的隧道協定,和允許的遠程 VPN 客戶端連線的最大數量。用戶需創建一個包含想要允許其訪問 VPN 的遠程客戶端的 VPN 客戶端組,並指定將如何分配這些客戶端的 IP 地址。
• 安裝 RSA ACE/Server 。RSA ACE/Server 一種可管理用戶身份驗證過程的身份驗證伺服器。更多信息,請參見RSA Security 站點。
• 將 ISA Server 配置為 RSA ACE/Agent 。RSA ACE/Agent 可保護用戶的內部資源。在想要使用 RSA ACE/Server 身份驗證保護的每個資源上安裝該代理。
• 啟用系統策略規則以允許從 ISA Server 計算機到 RSA ACE/Server 計算機的訪問。RSA SecurID 系統策略規則默認允許從本地主機網路(ISA Server 計算機)到內部網路的訪問。默認情況下禁用該規則。用戶需要啟用該規則並指示一台特定的 RSA ACE/Server 計算機而非整個內部網路。
• 配置 EAP (RSA SecurID) 身份驗證。用戶可在“ISA Server 管理”中配置各種 VPN 身份驗證方法,包括帶有智慧卡或其他證書的可擴展身份驗證協定 (EAP)。不能使用該接口啟用帶有 RSA SecurID 的 EAP 身份驗證。而應使用“路由和遠程訪問”控制台來啟用帶有 RSA SecurID 的 EAP 身份驗證。
在“ISA Server 管理”中配置 VPN 客戶端
要想配置 VPN 客戶端訪問,請執行以下步驟。
1.單擊“ISA Server 管理”的“虛擬專用網路 (VPN)”節點。
2.在詳細信息窗格中,單擊“VPN 客戶端”選項卡。
3.在“任務”選項卡上,單擊“配置 VPN 客戶端訪問”。
4.在“VPN 客戶端屬性”對話框的“常規”選項卡上,單擊“啟用 VPN 客戶端訪問”。在“允許的 VPN 客戶端最大數量”中,鍵入同時存在的 VPN 客戶端連線的最大數量。
5.在“協定”選項卡上,選擇用於連線 VPN 客戶端將使用的隧道協定。選擇“啟用 L2TP/IPSec”。
6.如果正使用基於 Active Directory 目錄服務域的身份驗證,則在“組”選項卡上,單擊“添加”,然後添加“VPN 客戶端”域組。
注意 針對 Active Directory 身份驗證在域控制器上創建一個包含 VPN 客戶端的域組。
7.在“任務”選項卡上,單擊“定義地址分配”。
8.在“地址分配”選項卡上,選擇將用於將 IP 地址分配到遠程 VPN 客戶端的方法。可選擇從 DHCP 伺服器動態分配地址到客戶端,或從靜態地址池分配地址到客戶端。
9.在 ISA Server 詳細信息窗格中,單擊“套用”以套用更改。
注意
• 啟用 VPN 客戶端訪問時將啟用一個名為“允許 VPN 客戶端流量到 ISA Server”的系統策略規則。
• 有關配置 VPN 客戶端訪問的詳細信息,請參見VPN 漫遊客戶端和隔離控制.
重要 可能需要在更改 VPN 配置後重新啟動 ISA Server 計算機。要想查看是否需要重新啟動 ISA Server 計算機,在“ISA Server 管理”中展開 ISA Server 計算機節點,單擊“監視”。在詳細信息窗格的“警報”選項卡上,查找顯示為“需要重新啟動 ISA Server 計算機”的警報。該警報的警報信息將顯示為“更改 VPN 配置需要重新啟動計算機”。如果看到該警報,將需要重新啟動 ISA Server 計算機。
安裝和配置 RSA ACE/Server
按照 RSA ACE/Server 文檔中描述的方法安裝 RSA ACE/Server。
將 ISA Server 計算機配置為 RSA ACE/Agent
要想將 ISA Server 計算機配置為 RSA ACE/Agent,請執行以下步驟。
• 將位於 RSA ACE/Server 計算機上 ACE\Data 資料夾中的 Sdconf.rec 檔案複製到 ISA Server 計算機上的 %windir%\system32 資料夾中。
如果使用早於 RSA ACE/Server 5.0 的 RSA ACE/Server 版本,請執行以下步驟。
1.在 RSA ACE/Server 計算機上,單擊“開始”,單擊“程式”,單擊“RSA/”ACE Server,然後單擊“資料庫管理 - 主機模式”。
2.在“代理主機”選單上,單擊“添加代理主機”。
3.在“名稱”中,鍵入 ISA Server 計算機的名稱。
4.在“網路地址”中,鍵入 ISA Server 計算機的 IP 地址(如果沒顯示)。
5.在“代理主機”中,單擊“生成配置檔案”,單擊“一個代理主機”,單擊“確定”,雙擊 ISA Server 計算機的名稱,將 Sdconf.rec 檔案保存在該計算機上的一個資料夾中。
6.將 Sdconf.rec 檔案複製到 ISA Server 計算機上的 %windir%\system32 資料夾中。
要想驗證 ISA Server 可對 RSA ACE/Server 計算機進行身份驗證,請執行以下步驟。
1.將安裝光碟“Tools”資料夾中的 sdtest.exe 複製到 ISA Server 安裝資料夾中。接著從命令提示符處鍵入“ISA_installation_folder\sdtest.exe”。
2.在“RSA SecurID 身份驗證信息”中,單擊“直接測試 RSA ACE/Server”。
3.在“RSA SecurID 身份驗證”中,在“輸入用戶名”和“輸入密碼”中分別鍵入用戶名和密碼。
4.當出現“身份驗證成功”訊息時單擊“確定”。
啟用系統策略規則以允許 ISA Server 計算機訪問 RSA SecurID 伺服器
RSA SecurID 系統策略規則默認允許從本地主機網路(ISA Server 計算機)到內部網路的訪問。默認情況下禁用該規則。要想啟用該規則並指定一台特定的 RSA ACE/Server 計算機而非內部網路,請執行以下步驟。
1.在 Microsoft ISA Server 管理控制台樹中,右鍵單擊“防火牆策略”節點,然後單擊“編輯系統策略”。
2.在“配置組”列表中,單擊“身份驗證服務”部分的“RSA SecurID”。
3.在“常規”選項上,單擊“啟用”。
4.在“到”選項卡上,單擊“添加”打開“添加網路實體”對話框。
5.要想將 RSA SecurID 伺服器定義為一個網路實體,請執行以下操作:
1.單擊“新建”選單,然後單擊“計算機”。
2.在“新建計算機規則元素”對話框的“名稱”中,鍵入一個名稱來標識 SecurID 伺服器。
3.在“計算機 IP 地址”中,鍵入該伺服器的 IP 地址。
4.還可在“描述”對話框中添加描述,然後單擊“確定”。
6.在“添加網路實體”對話框的“計算機”中選擇 RSA SecurID 伺服器名稱。單擊“添加”,然後單擊“關閉”。
7.在“到”選項卡上,選擇“內部”,然後單擊“刪除”。然後單擊“確定”。
8.在 ISA Server 詳細信息窗格中,單擊“套用”以套用新的訪問規則。
配置 EAP (RSA SecurID) 身份驗證
要想中止 ISA Server 控制服務,請執行以下步驟。
1.單擊“開始”,單擊“運行”,然後在“運行”對話框中,鍵入“cmd”。
2.在命令提示符視窗中,鍵入“net stop isactrl”。注意還將中止 ISA Server 防火牆服務 (FWSRV) 和其他依賴 isactrl 服務的 ISA Server 服務。
要想在 ISA Server 計算機上配置“路由和遠程訪問”,請執行以下步驟。
1.單擊“開始”,指向“所有程式”,選擇“管理工具”,然後單擊“路由和遠程訪問”。
2.在“路由和遠程訪問”節點中,右鍵單擊 ISA Server 計算機的名稱,然後單擊“屬性”。
3.在“安全”選項卡上,單擊“身份驗證方法”。
4.在“身份驗證方法”對話框中,確保啟用了“可擴展身份驗證協定 (EAP)”。然後單擊“確定”。
5.在“路由和遠程訪問”節點上,單擊“遠程訪問策略”。
6.在詳細信息窗格中,雙擊“ISA Server 默認策略”。
7.在“設定”選項卡上,單擊“編輯配置檔案”。
8.在“身份驗證”選項卡上,單擊“EAP 方式”。
9.在“選擇 EAP 提供程式”對話框中,單擊“添加”。
10.在“添加 EAP”對話框中,選擇“RSA SecurID”,然後關閉這些對話框。
要想重新啟動 ISA Server 服務,請執行以下步驟。
1.單擊“開始”,單擊“運行”,然後在“運行”對話框中,鍵入“cmd”。
2.在命令提示符視窗中,鍵入以下命令:
• 鍵入“net start isactrl”重新啟動 ISA Server 控制服務。鍵入“net start fwsrv”重新啟動 ISA Server 防火牆服務。鍵入“net start isasched”重新啟動 ISA Server 作業調度程式服務。無需啟動路由和遠程訪問服務。防火牆服務重新啟動時自動啟動路由和遠程訪問服務。
現在檢驗嘗試連線帶有 RSA SecurID 身份驗證的 VPN 客戶端。
注意 當啟用運行 Microsoft Windows Server 2003 的計算機上的 SecurID 身份驗證時,網路服務帳戶必須擁有以下註冊表項的讀取/寫入許可權:HKLM\Software\SDTI\ACECLIENT。此外,網路服務帳戶必須擁有位於 %SystemRoot%\system32\ 的 Sdconf.rec 檔案的讀取許可權。