这几天正在做关于ns防火墙外部认证服务器如何配置研究,按照版主提供的关的ns-5gt的配置方法,没有成功,经过参考相关文章,终于在win2003
服务器上通过测试,现把它整理出来供大家参考,指正.
一、 本文重点：
① 远程访问策略的配置；
② 启用用户“通过远程访问策略控制访问”；
③ 在win2k中配置防火墙的vsa值。
二、W2K中RADIUS服务器的安装过程及与NS-204相连的步骤
1.安装环境说明：
局域网服务器（1台）IP：192.168.1.1
局域网用户(DHCP)IP：
防火墙NS-204 信任端IP：192.168.1.2
主要作用是让局域网用户在经过防火墙时，防火墙会向局域网RADIUS服务器进行用户身份验证，通过验证后方能上网。
2.安装服务器
W2K安装过程基本上按默认方式进行，但在添加组件时必须选上以下组件：
――管理和监视工具、终端服务、终端服务授权及网络服务中的INTERNET验证服务、QOS许可控制服务、WINS、DHCP、DNS、简单PCP/IP。
3．配置INTERNET验证服务
3.1 添加新客户端
进入“INTERNET验证服务”――右键单击“客户端”――“新建客户端”――自定义一个客户端名如“netscreen”――“下一步”――输入
NS204管理IP“192.168.1.2”――“验证”――“解析”――搜索结果中出现192.168.1.1则说明网络连接正常，否则请用PING检查服务器与防火墙的网络连接是否正常――“使用此IP”――“确定”――输入“共享机密”和“确认共享机密”如123456――“完成 ”
3.2启用wind2k用户的通过远程访问策略控制访问

单击“远程访问策略”――右键单击“如果启用拨入许可，就允许访问”――“属性”――选择“授予远和访问权限”――“编辑配置文件”――
“身份验证”――在MS-CHAP V2、MS-CHAP、CHAP、PAP,SPAP选项上打勾――“确定”――“确定”
说明:如果是win2003 server 就没有必要起用以上3.2的配置,因为win2003 server已经默认启用了wind2k用户的通过远程访问策略控制访问.只需另建
一个远程访问策略,其配置步骤如下。
单击新建“远程访问策略”---自定义一个策略名称”netscreen”---单击下一步―选择”添加”---在“选择属性”选定”windows groups”-----点击”添加”----在弹出的”组”的方框中选择”添加”-----
选择”netscreen”组(此组在开始已经在”计算机管理”的”用户组”中已经建立)----添加---确定―下一步―选择”授予远程访问权限”---下一步----编辑配置文件---选择”身份认证”在MS-CHAP V2、MS-CHAP、CHAP、PAP,SPAP选项上打勾――在选择”高级”―选择”添加”―选择”vendor-specific”―添加---添加---输入供应商代码”3224”---选择”符合”---选择”配置属性”----供应商指法的属性号”2”---属性值为”netscreen”(用户组的名字)---确定---确定---确定---关闭----完成.
3.3检查RADIUS服务是否启动
“程序”――“管理工具”――“服务“――检查服务列表中”Internet Authentication
Service“这项服务是否“已启动”。
4. 设置防火墙
4.1 设置认证服务器地址
进行防火墙管理页面――“Configure”――“Authen.”――选择“RADIUS Server ”――在“Server Name”中输入局域网服务器的IP：192.168.1.1.;在“Shared Secret”中输入“共享机密”如3.1中的123456――端口选择1645-----其他默认值----“Apply”
在建立一个空外部用户用户组“netscreen”
4.2 启用身份验证
“Policy”――“trust to untrust”――“Edit”――选择“Authentication”---“选择在防火墙中建立的radius服务的名字”――user groups 选择”external auth group-netscreen-----“OK”
5.用户帐号的添加
右键单击“我的电脑”――“管理”――“本地用户和组”――右键单击“用户”――“新用户”――输入“用户名”“密码”和“确认密码”“密码永不过期”“用户不能更改密码”――“创建”，然后在把该用户加入netscreen组即可