IAS的工作原理（一）作为 RADIUS 服务器的 IAS

作为 RADIUS 服务器的 IAS

Internet 验证服务 (IAS)，可用作 RADIUS 服务器，以便执行 RADIUS 客户端的身份验证、授权和记帐。RADIUS 客户端可以是访问服务器也可以是 RADIUS 代理。当将 Internet 验证服务 (IAS) 用作 RADIUS 服务器时，它提供以下功能：RADIUS 客户端发送的所有访问 - 请求的集中的身份验证和授权服务。

IAS 使用 Microsoft® Windows NT® Server 4.0 域、Active Directory® 域或本地“安全帐户管理器”(SAM) 来验证进行连接尝试的用户凭据。IAS 使用用户帐户和远程访问策略的拨入属性对连接进行授权。

RADIUS 客户端发送的所有记帐请求的集中的记帐记录服务。

记帐请求存储在本地日志文件中以便进行分析。

下图显示了作为各种访问客户端的 RADIUS 服务器和 RADIUS 代理的 IAS。IAS 使用 Active Directory 域，对传入的 RADIUS “访问 - 请求”消息的用户凭据进行身份验证。

当 IAS 用作 RADIUS 服务器时，RADIUS 消息通过以下方式为网络访问连接提供身份验证、授权和记帐：访问服务器，例如拨号网络访问服务器、*** 服务器以及无线访问点，接收来自访问客户端的连接请求。

被配置为使用 RADIUS 作为身份验证、授权和记帐协议的访问服务器，创建“访问 - 请求”消息，并将其发送到 IAS 服务器。

IAS 服务器对“访问 - 请求”消息进行评估。

如果需要，IAS 服务器将向访问服务器发送“访问 - 质询”消息。访问服务器处理质询，并向 IAS 服务器发送更新的“访问 - 请求”。

通过使用与域控制器的安全连接，可以检查用户凭据，获得用户帐户的拨入属性。

使用用户帐户的拨入属性和远程访问策略对连接尝试进行授权。

如果已对连接尝试进行身份验证和授权，那么 IAS 服务器将向访问服务器发送“访问 - 接受”消息。

如果未对连接尝试进行身份验证或授权，那么 IAS 服务器将向访问服务器发送“访问 - 拒绝”消息。

访问服务器完成与访问客户端的连接处理，并向消息登录的 IAS 服务器发送“记帐 - 请求”消息。

IAS 服务器向访问服务器发送“记帐 - 响应”。

注意访问服务器也发送下列“记帐 - 请求”消息：

建立连接所需的时间。

何时关闭访问客户端连接。

何时启动和停止访问服务器。

可以在以下情况时将 IAS 用作 RADIUS 服务器：将 Windows NT Server 4.0 域、Active Directory 域或本地安全帐户管理器 (SAM) 作为访问客户端的用户帐户数据库。

在多个拨号服务器、*** 服务器或请求拨号路由器上使用 Microsoft® Windows Server® 2003，Standard Edition、Windows Server 2003，Enterprise Edition、Windows Server 2003，Datacenter Edition 或 Windows 2000 路由和远程访问服务，并且需要集中化远程访问策略配置和连接记录以便进行审核。

将拨入、*** 或无线访问外包给服务提供商。访问服务器使用 RADIUS 对组织成员建立的连接进行身份验证和授权。

希望对异类的访问服务器进行集中式身份验证、授权和记帐。