ISA为非域成员通过RADIUS验证域用户的方法来控制用户上网

ISA为非域成员通过RADIUS验证域用户的方法来控制用户上网问题：我的环境是：ISA2004中文简体标准（独立的工作组+代理）+域环境。我想在ISA上面通过验证域用户的方法来控制用户上网，而不是通过IP来控制。主要解决的问题是ISA如何才可以验证域用户。本文的试验网络结构如下图所示：后来用2003里面的“Internet身份验证服务（IAS服务）”来解决的。通过添加/删除Windows程序来添加IAS服务。（默认是没有安装的）本文中的试验步骤如下：•在IAS服务器上配置识别ISA防火墙为IAS客户；•在IAS服务器上创建Web代理用户使用的远程访问策略；•配置ISA防火墙使用RADIUS验证Web代理用户；•在ISA防火墙创建访问规则允许IAS用户的访问；•测试；在IAS服务器上配置识别ISA防火墙为IAS客户在IAS服务器上运行管理工具下的Internet验证服务，在Internet验证服务控制台，右击RADIUS客户，然后点击新建RADIUS客户；（图片1）192.168.0.1internetIASDCDNS192.168.0.2客户机器192.168.0.3ISA042003域在此我输入ISA防火墙内部接口的IP地址192.168.0.1，点击下一步。（图片2）在附加信息页，共享密钥栏输入一个共享密钥并在确认共享密钥栏再次输入，此共享密钥将会同样在ISA防火墙上配置使用，然后勾选请求必须包含消息验证者属性，点击完成；（图片3）（图片4）在IAS服务器上创建Web代理用户使用的远程访问策略在Internet验证服务控制台，点击远程访问策略节点，然后右击右面板的空白处，选择新建远程访问策略；（图片5）选择创建一个自定义策略，在策略名字栏输入一个名字，在此我们命名为Webdaili，点击下一步；（图片6）在策略条件页点添加。在弹出的属性选择对话框，选择Windows组，点击添加；（图片7）在弹出的组对话框，点击添加；（图片8）输入计算机，点击确定；（图片9）在组对话框上点击确定。在策略条件页上列出了我刚才创建的条件，你可以根据你的需要加入其他条件，例如最常用的日期和时间限制条件等，点击下一步；（图片10）在权限页，选择授权远程访问权限，点击下一步；（图片11）在配置文件页，点击编辑配置文件.在弹出的编辑拨入配置文件对话框，点击身份验证标签，然后勾选未加密的身份验证（PAP，SPAP），然后点击确定；（图片12）在弹出的拨入配置提示对话框上点击No，然后在配置文件页点击下一步；（图片13）配置ISA防火墙使用RADIUS验证Web代理用户在ISA管理控制台，展开对应阵列下的配置，再点击网络，然后右击内部网络，选择属性；（图片14）在弹出的内部网络属性页，点击Web代理标签，然后点击身份验证；（图片15）在弹出的身份验证对话框，取消默认的集成身份验证方式的选择；在弹出的警告框上点击确定；然后选择RADIUS，然后点击RADIUS服务器；（图片16）在弹出的RADIUS服务器对话框，点击添加。在添加RADIUS服务器对话框，在服务器名栏中输入RADIUS服务器的IP地址192.168.0.2。然后点击共享密钥栏的修改按钮；在弹出的共享密钥对话框，输入并确认共享密钥，这个和在IAS服务器上所设置的共享密钥必须完全一致，然后点击确定；（图片17）然后点3个确定就OK！在ISA防火墙创建访问规则允许RADIUS用户的访问RADIUS用户是在DC上面的。所以就可以用ISA来控制DC上面的用户来上网了！下面两图是创建规则时选择用户的图。具体就不多说了！新建用户------添加/RADIUS------指定的用户名。测试；因为我已经是做过的，所以写这个是在做第二次。因为我也是个杂工，什么都管。也没有写过东西。所以写的不好。还请各位帮忙完善。最后的测试就看你们的了。哈哈。我也是新手。有问题多多探讨。在截图方面也不专业，所以感觉很慢的。Matthew