如何改身份验证问题自定义的!

发布网友发布时间：2022-05-10 13:36

共1个回答

热心网友时间：2023-10-10 12:22

创建包含“IP 安全策略”的控制台。或打开一个已保存的包含“IP 安全策略”的控制台文件。2.双击要修改的策略。3.双击要修改的规则。4.在“身份验证方法”选项卡上，单击“添加”。或者，如果要重新配置现有的方法，可单击身份验证方法，然后单击“编辑”。5.选择希望添加或修改的身份验证方法：�6�1 当该规则适用于被 Windows 2000 或 Windows Server 2003 Active Directory 域或受信任的 Active Directory 域验证为有效的计算机时，要将 Kerberos V5 安全协议用于身份验证服务，请单击“Active Directory 默认（Kerberos V5 协议）”。�6�1 要将公钥证书用于身份验证服务，请单击“使用由此证书颁发机构 (CA) 颁发的证书”，然后单击“浏览”选择根 CA。�6�1 要防止将 CA 的名称与证书请求一同发送，请选中“从证书请求中排除 CA 名称”复选框。�6�1 要启用证书到帐户的映射，请选中“启用证书到帐户的映射”复选框。�6�1 要指定使用自己的密钥进行身份验证，请单击“使用此字符串（预共享密钥）”。6.要删除身份验证方法或更改其首选顺序，请执行下列操作之一：�6�1 要删除所选方法，请单击“删除”。�6�1 要将所选方法上移一级，请单击“上移”。重复操作直到该方法处在所需的首选等级。�6�1 要将所选方法下移一级，请单击“下移”。重复操作直到该方法处在所需的首选等级。要点�6�1 不推荐使用预共享密钥身份验证，因为它是一种相对较弱的身份验证方法。预共享密钥身份验证会创建一个主密钥，其安全性（由于可能会生成较差的加密格式）不如证书或 Kerberos V5 协议。此外，预共享密钥以纯文本方式存储。预共享密钥身份验证方法是出于互操作性目的而提供并遵循 IPSec 标准。建议您仅将预共享密钥用于测试，而在生产环境中使用证书或 Kerberos V5 来代替。注意�6�1 要管理基于 Active Directory 的 IPSec 策略，您必须是 Active Directory 中 Domain Admins 组的成员，或者您必须被委派了适当的权限。要本地或远程管理计算机的 IPSec 策略，您必须是本地或远程计算机中 Administrators 组的成员。如果计算机已加入某个域，则 Domain Admins 组的成员可能会执行该过程。详细信息，请参阅默认本地组和默认组。�6�1 要创建包含“IP 安全策略”的控制台，请启动“IP 安全策略”管理单元。要打开已保存的控制台文件，请打开“MMC”。详细信息，请参阅“相关主题”。�6�1 运行 Windows XP Home Edition 的计算机不支持 Kerberos V5 协议身份验证方法。�6�1 如果选择使用证书进行身份验证，必须选择 CA（一般为已安装的计算机证书的根 CA）。此字段不能为空。�6�1 对于预共享密钥身份验证，每个 IPSec 对等方必须使用相同的预共享密钥，否则身份验证将失败。�6�1 如果有多个规则中的筛选器适用于同一对 IP 地址之间的通讯，那么两个规则中的验证方法列表应该相同。否则，由一个规则启动的安全请求可能与其他规则的筛选器匹配，但有不同的身份验证方法。这种情况下，协商将会失败。当某个规则在两个 IP 地址之间成功启动主模式安全关联之后，筛选不同通讯的其他规则将不会重新协商身份验证和主密钥（主模式安全关联）。相反，这些其他规则将使用相同的主模式安全关联来与其特别筛选器相匹配的通讯安全性（算法和会话密钥）进行协商。