Zásady vyžádání nového připojení jsou sady podmínek a nastavení, které umožňují správcům sítě určit, které servery RADIUS (Remote Authentication Dial-In User Service) mají provádět ověřování a autorizaci požadavků na připojení přijatých serverem NPS (Network Policy Server) od klientů RADIUS. Konfigurací zásad vyžádání nového připojení lze určit, které servery RADIUS slouží k monitorování účtů protokolu RADIUS.

Důležité informace

Jestliže nasadíte architekturu NAP (Network Access Protection) pomocí metod vynucení virtuální privátní sítě (VPN) nebo 802.1X s ověřováním protokolem PEAP (Protected Extensible Authentication Protocol), je nutné v zásadě vyžádání nového připojení nakonfigurovat ověřování protokolem PEAP i v případě, že se požadavky na připojení zpracovávají místně.

Tyto zásady lze vytvořit tak, aby některé zprávy s požadavky na server RADIUS odesílané klienty RADIUS byly zpracovávány místně (server NPS plní funkci serveru RADIUS) a jiné typy zpráv byly předávány na jiný server RADIUS (server NPS plní funkci proxy serveru RADIUS).

Se zásadami vyžádání nového připojení lze server NPS používat jako server RADIUS nebo jako proxy server RADIUS v závislosti na následujících faktorech:

  • denní nebo týdenní doba,

  • název sféry v požadavku na připojení,

  • požadovaný typ připojení,

  • adresa IP klienta RADIUS.

Zprávy s požadavky na přístup k serveru RADIUS jsou serverem NPS zpracovány nebo předány, pouze pokud nastavení příchozí zprávy odpovídá alespoň jedné zásadě vyžádání nového připojení nakonfigurované na serveru NPS. Pokud nastavení zásady odpovídá a tato zásada vyžaduje, aby server NPS zprávu zpracoval, server NPS bude plnit funkci serveru RADIUS a požadavek na připojení ověří a autorizuje. Pokud nastavení zásady odpovídá a tato zásada vyžaduje, aby server NPS zprávu předal, server NPS bude plnit funkci proxy serveru RADIUS a požadavek na připojení předá ke zpracování vzdálenému serveru RADIUS.

Pokud nastavení příchozí zprávy s požadavkem na přístup k serveru RADIUS neodpovídá ani jedné zásadě vyžádání nového připojení, je klientovi RADIUS odeslána zpráva s odmítnutím přístupu a uživateli nebo počítači, který se pokouší o připojení k síti, je přístup odepřen.

Příklady konfigurace

Následující příklady konfigurace ukazují možné způsoby použití zásad vyžádání nového připojení:

  • Server NPS jako server RADIUS

    Výchozí zásada vyžádání nového připojení je jediná konfigurovaná zásada. V tomto příkladu je server NPS nakonfigurován jako server RADIUS a všechny požadavky na připojení jsou zpracovány místním serverem NPS. Server NPS může ověřovat a autorizovat uživatele, jejichž účty jsou ve stejné doméně jako server NPS a v důvěryhodných doménách.

  • Server NPS jako proxy server RADIUS

    Výchozí zásada vyžádání nového připojení je odstraněna a jsou vytvořeny dvě nové zásady pro směrování požadavků do dvou různých domén. V tomto příkladu je server NPS nakonfigurován jako proxy server RADIUS. Server NPS nezpracovává žádné požadavky na připojení na místním serveru. Místo toho předá požadavky serveru NPS nebo jiným serverům RADIUS, které jsou nakonfigurovány jako členové skupin vzdálených serverů RADIUS.

  • Server NPS jako server RADIUS i proxy server RADIUS

    Kromě výchozí zásady vyžádání nového připojení je vytvořena nová zásada, která předá požadavek na připojení na server NPS nebo jiný server NPS v nedůvěryhodné doméně. V tomto příkladu je zásada proxy serveru uvedena v seznamu zásad na prvním místě. Pokud požadavek na připojení odpovídá zásadě proxy serveru, je předán serveru RADIUS ve skupině vzdálených serverů RADIUS. Pokud požadavek na připojení zásadě proxy serveru neodpovídá, ale odpovídá výchozí zásadě vyžádání nového připojení, server NPS požadavek zpracuje na místním serveru. Pokud požadavek na připojení neodpovídá žádné zásadě, je zahozen.

  • Server NPS jako server RADIUS se vzdálenými servery monitorování účtů

    V tomto příkladu není místní server NPS nakonfigurován pro monitorování účtů a výchozí zásada vyžádání nového připojení je revidována tak, aby se zprávy monitorování účtů RADIUS předávaly serveru NPS nebo jiným serverům RADIUS ve skupině vzdálených serverů RADIUS. Ačkoli se zprávy monitorování účtů předávají, ověřovací a autorizační zprávy se nepředávají a místní server NPS vykonává tyto funkce pro místní doménu a všechny důvěryhodné domény.

  • Server NPS s mapováním vzdáleného serveru RADIUS pro uživatele systému Windows

    V tomto příkladu server NPS plní funkci serveru RADIUS i proxy serveru RADIUS pro jednotlivé požadavky na připojení tak, že požadavek na ověření předá vzdálenému serveru RADIUS a pro autorizaci použije místní účet uživatele systému Windows. Tato konfigurace se implementuje nastavením atributu Mapování vzdáleného serveru RADIUS pro uživatele systému Windows jako podmínky zásady vyžádání nového připojení. (Uživatelský účet musí být navíc vytvořen místně s použitím stejného názvu, jako má vzdálený uživatelský účet použitý vzdáleným serverem RADIUS k ověření.)

Podmínky

Podmínky zásad vyžádání nového připojení jsou tvořeny jedním či více atributy protokolu RADIUS. Tyto atributy se porovnávají s atributy příchozích zpráv požadavků na přístup k serveru RADIUS. V případě více podmínek je zásada serverem NPS vynucena, pouze pokud zpráva s požadavkem na připojení splňuje všechny podmínky zásady vyžádání nového připojení.

V zásadách vyžádání nového připojení lze konfigurovat následující atributy podmínek.

Skupina atributů Vlastnosti připojení obsahuje následující atributy.

  • Protokol rámců. Slouží k určení typu rámců pro příchozí pakety. Může jít například o rámce PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Frame Relay nebo X.25.

  • Typ služby. Slouží k určení typu požadované služby. Příkladem mohou být služby rámcové (například připojení PPP) a přihlašovací (například připojení Telnet). Další informace o typech služeb RADIUS naleznete ve specifikaci RFC 2865, Remote Authentication Dial-in User Service (RADIUS).

  • Typ tunelového propojení. Slouží k určení typu tunelového propojení, o jehož vytvoření klient žádá. Mezi tunelová propojení patří propojení protokolů PPTP (Point-to-Point Tunneling Protocol) a L2TP (Layer Two Tunneling Protocol).

Skupina atributů Omezení data a času obsahuje atribut Omezení data a času. Pomocí tohoto atributu lze určit den v týdnu a čas pokusu o připojení. Den a čas se vztahuje ke dni a času serveru NPS.

Skupina atributů Brána obsahuje následující atributy.

  • ID volané stanice. Slouží k určení telefonního čísla serveru pro přístup k síti. Hodnotou tohoto atributu je znakový řetězec. K zadávání kódů oblastí lze použít syntaxi podle vzoru.

  • Identifikátor serveru NAS. Slouží k určení názvu serveru pro přístup k síti. Hodnotou tohoto atributu je znakový řetězec. Při zadávání identifikátorů serverů NAS lze použít syntaxi podle vzoru.

  • Adresa NAS IPv4. Slouží k určení adresy IPv4 (Internet Protocol version 4) serveru pro přístup k síti (klienta RADIUS). Hodnotou tohoto atributu je znakový řetězec. Při zadávání sítí IP lze použít syntaxi podle vzoru.

  • Adresa NAS IPv6. Slouží k určení adresy IPv6 (Internet Protocol version 6) serveru pro přístup k síti (klienta RADIUS). Hodnotou tohoto atributu je znakový řetězec. Při zadávání sítí IP lze použít syntaxi podle vzoru.

  • Typ portu serveru NAS. Slouží k určení typu média používaného klientem přístupu. Příkladem mohou být analogové telefonní linky (nazývané také asynchronní), linky ISDN (Integrated Services Digital Network), tunelová propojení nebo virtuální privátní sítě (VPN), bezdrátová připojení standardu IEEE 802.11 a přepínače Ethernet.

Skupina atributů Identita počítače obsahuje atribut Identita počítače. Pomocí tohoto atributu lze určit metodu identifikace klientů v dané zásadě.

Skupina atributů Vlastnosti klienta RADIUS obsahuje následující atributy.

  • ID volající stanice. Slouží k určení telefonního čísla volajícího (klienta přístupu). Hodnotou tohoto atributu je znakový řetězec. K zadávání kódů oblastí lze použít syntaxi podle vzoru.

  • Popisný název klienta. Slouží k určení názvu počítače klienta RADIUS, který žádá o ověření. Hodnotou tohoto atributu je znakový řetězec. Při zadávání názvů klientů lze použít syntaxi podle vzoru.

  • Adresa IPv4 klienta. Slouží k určení adresy IPv4 serveru síťového přístupu (klienta RADIUS). Hodnotou tohoto atributu je znakový řetězec. Při zadávání sítí IP lze použít syntaxi podle vzoru.

  • Adresa IPv6 klienta. Slouží k určení adresy IPv6 serveru síťového přístupu (klienta RADIUS). Hodnotou tohoto atributu je znakový řetězec. Při zadávání sítí IP lze použít syntaxi podle vzoru.

  • Dodavatel klienta. Slouží k určení dodavatele serveru síťového přístupu, který požaduje ověření. Výrobcem serveru Microsoft NAS je počítač se spuštěnou službou Směrování a vzdálený přístup. Tento atribut umožňuje nakonfigurovat pro různé výrobce serverů NAS zvláštní zásady. Hodnotou tohoto atributu je znakový řetězec. Lze použít syntaxi podle vzoru.

Skupina atributů Uživatelské jméno obsahuje atribut Uživatelské jméno. Pomocí tohoto atributu lze určit uživatelské jméno (nebo jeho část), které se musí shodovat s uživatelským jménem zadaným klientem přístupu ve zprávě protokolu RADIUS. Tento atribut je znakový řetězec, který obvykle obsahuje název sféry a název uživatelského účtu. Při zadávání uživatelských jmen lze použít syntaxi podle vzoru.

Nastavení

Nastavení zásady vyžádání nového připojení je sada vlastností, které jsou použity u příchozích zpráv protokolu RADIUS. Nastavení je tvořeno následujícími skupinami vlastností:

  • Ověřování

  • Monitorování účtů

  • Manipulace s atributem

  • Upřesňující vlastnosti

Ověřování

Pomocí tohoto nastavení lze přepsat nastavení ověřování, která jsou nakonfigurována ve všech zásadách sítě, a určit metody a typy ověřování požadované pro připojení k síti.

Důležité informace

Pokud je v zásadě vyžádání nového připojení nakonfigurována méně bezpečná metoda ověření než v zásadě sítě, bude bezpečnější metoda ověřování v zásadě sítě potlačena. Pokud je například nakonfigurována zásada sítě, která vyžaduje použití protokolu PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2), což je metoda ověřování pomocí hesel pro zabezpečené bezdrátové připojení, a nakonfigurujete také zásadu vyžádání nového připojení, která umožňuje přístup bez ověření, nebudou klienti ověřováni pomocí protokolu PEAP-MS-CHAP v2. V tomto příkladu bude všem klientům, kteří se připojují k síti, udělen přístup bez ověření.

Monitorování účtů

Pomocí tohoto nastavení lze nakonfigurovat zásadu vyžádání nového připojení tak, aby se informace monitorování účtů předávaly serveru NPS nebo jinému serveru RADIUS ve skupině vzdálených serverů RADIUS, která bude monitorování účtů provádět.

Poznámka

Používáte-li více serverů RADIUS a chcete, aby byly informace monitorování účtů pro všechny servery uloženy v jedné centrální databázi monitorování účtů RADIUS, můžete pomocí nastavení monitorování účtů v zásadách vyžádání nového připojení na jednotlivých serverech RADIUS určit, že data monitorování účtů ze všech serverů budou předávána jednomu serveru NPS nebo jinému serveru RADIUS, který určíte jako server monitorování účtů.

Nastavení monitorování účtů v zásadě vyžádání nového připojení není závislé na konfiguraci monitorování účtů místního serveru NPS. Jinými slovy, pokud nakonfigurujete místní server NPS tak, aby protokoloval informace monitorování účtů protokolu RADIUS do místního souboru nebo do databáze serveru Microsoft® SQL Server™, budou tyto informace protokolovány bez ohledu na to, zda je zásada vyžádání nového připojení nakonfigurována tak, aby byly zprávy monitorování účtů předávány skupině vzdálených serverů RADIUS.

Pokud chcete, aby byly informace monitorování účtů protokolovány vzdáleně a nikoli místně, je nutné místní server NPS konfigurovat tak, aby neprováděl monitorování účtů, a zároveň nakonfigurovat monitorování účtů v zásadě vyžádání nového připojení tak, aby byla data monitorování účtů předávána skupině vzdálených serverů RADIUS.

Manipulace s atributem

Pro manipulaci s textovými řetězci některého z následujících atributů je možné nakonfigurovat sadu pravidel hledání a nahrazování:

  • Uživatelské jméno,

  • ID volané stanice,

  • ID volající stanice.

Pravidlo hledání a nahrazování je pro některý z výše uvedených atributů zpracováno dříve, než je zpráva protokolu RADIUS podrobena nastavením ověřování a monitorování účtů. Pravidla manipulace s atributem lze použít pouze u jednoho atributu. Pravidla manipulace s atributem nelze konfigurovat pro každý atribut. Seznam atributů, s kterými lze manipulovat, je navíc statický. Do seznamu atributů dostupných pro manipulaci nelze přidávat atributy.

Poznámka

Používáte-li ověřovací protokol MS-CHAP v2, nemůžete manipulovat s atributem Uživatelské jméno v případě, že je zpráva protokolu RADIUS předána pomocí zásady vyžádání nového připojení. Jedinou výjimkou je případ, kdy je použit znak zpětného lomítka (\) a manipulace se týká pouze informací vlevo od tohoto znaku. Zpětné lomítko se obvykle používá k oddělení názvu domény (údaje nalevo od lomítka) od názvu uživatelského účtu v rámci domény (údaje napravo od lomítka). V tomto případě jsou povolena pouze pravidla manipulace s atributem, která upravují nebo nahrazují název domény.

Přesměrování požadavku

Pro zprávy protokolu RADIUS s požadavkem na přístup lze nastavit následující možnosti přesměrování požadavku:

Ověřit požadavky tímto serverem. Použijete-li toto nastavení, server NPS ověří požadavek na připojení pomocí domény systému Microsoft Windows NT 4.0, služby Active Directory nebo místní databáze uživatelských účtů SAM (Security Accounts Manager). Toto nastavení také určuje, že server NPS použije k ověření požadavku na připojení odpovídající zásadu sítě, která je nakonfigurována na serveru NPS, a vlastností telefonického připojení uživatelského účtu. Server NPS je v tomto případě nakonfigurován tak, aby plnil funkci serveru RADIUS.

Předat požadavky na ověření vzdálené skupině serverů RADIUS:. Použijete-li toto nastavení, server NPS předá požadavky na připojení určené skupině vzdálených serverů RADIUS. Pokud server NPS obdrží platnou zprávu s potvrzením přístupu, která odpovídá zprávě se žádostí o přístup, je pokus o připojení považován za ověřený a autorizovaný. Server NPS v tomto případě plní funkci proxy serveru RADIUS.

Přijmout uživatele bez ověření pověření. Použijete-li toto nastavení, server NPS neověřuje identitu uživatele, který se pokouší o připojení k síti, a neověřuje, zda má uživatel nebo počítač oprávnění připojit se k síti. Je-li server NPS nakonfigurován tak, aby umožňoval přístup bez ověření, a obdrží požadavek na připojení, okamžitě odešle klientovi RADIUS zprávu s potvrzením přístupu a uživateli nebo počítači je udělen přístup k síti. Toto nastavení se používá u některých typů povinných tunelových propojení, která jsou pro klienta přístupu vytvořena před ověřením pověření uživatele.

Poznámka

Tuto možnost ověřování nelze použít, pokud je ověřovacím protokolem klienta přístupu protokol MS-CHAP v2 nebo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Oba tyto protokoly používají oboustranné ověřování. Při oboustranném ověřování prokazuje klient přístupu ověřujícímu serveru (serveru NPS), že je platným klientem přístupu, a ověřující server prokazuje klientovi přístupu, že je platným ověřujícím serverem. Při použití této možnosti ověřování je vrácena zpráva s potvrzením přístupu. Ověřující server však neprokáže svou platnost klientovi přístupu a oboustranné ověření selže.

Upřesňující vlastnosti

Nastavením upřesňujících vlastností můžete určit řadu atributů protokolu RADIUS, které jsou:

  • Přidány do zprávy odpovědi protokolu RADIUS v případě, že je server NPS používán jako server RADIUS pro ověřování nebo monitorování účtů.

    Pokud jsou některé atributy určeny v zásadě sítě i v zásadě vyžádání nového připojení, je v odpovědi protokolu RADIUS odeslána kombinace obou sad atributů.

  • Přidány do zprávy protokolu RADIUS v případě, že je server NPS používán jako proxy server RADIUS pro ověřování nebo monitorování účtů. Pokud atribut v předávané zprávě již existuje, je nahrazen hodnotou atributu určenou v zásadě vyžádání nového připojení.

Některé atributy, které lze konfigurovat v kategorii Upřesnit na kartě Nastavení v zásadě vyžádání nového připojení, navíc plní speciální funkce. Pokud například chcete rozdělit ověřování a autorizaci požadavku na připojení mezi dvě databáze uživatelských účtů, můžete konfigurovat atribut Mapování vzdáleného serveru RADIUS pro uživatele systému Windows.

Atribut Mapování vzdáleného serveru RADIUS pro uživatele systému Windows určuje, že uživatelé ověření vzdáleným serverem RADIUS jsou autorizováni systémem Windows. Jinými slovy, vzdálený server RADIUS provede ověření pomocí uživatelského účtu ve vzdálené databázi uživatelských účtů, ale místní server NPS autorizuje požadavek na připojení pomocí uživatelského účtu v místní databázi uživatelských účtů. To je užitečné, pokud chcete povolit návštěvníkům přístup k síti své organizace.

Například návštěvníci sítě pocházející z partnerských organizací mohou být ověřování serverem RADIUS příslušné organizace a používat uživatelský účet systému Windows ve vaší organizaci k přístupu do místní sítě (LAN), která je hostem vaší sítě.

Jiné atributy zajišťující speciální funkce jsou:

  • MS-Quarantine-IPFilter a MS-Quarantine-Session-Timeout. Tyto atributy se používají, pokud nasadíte karanténní kontroly přístupu k síti (NAQC) při nasazení služby Směrování a vzdálený přístup v síti VPN.

  • Passport-User-Mapping-UPN-Suffix. Tento atribut umožňuje ověřování požadavků na připojení pomocí pověření uživatelského účtu služby Windows Live™ ID.

  • Tunnel-Tag. Tento atribut určuje číslo ID sítě VLAN, ke kterému má server NAS přiřadit připojení při nasazení sítě VLAN (virtuální sítě LAN).

Výchozí zásada vyžádání nového připojení

Výchozí zásada vyžádání nového připojení je vytvořena při instalaci serveru NPS. Konfigurace této zásady je následující:

  • Ověřování není nakonfigurováno.

  • Monitorování účtů není nakonfigurováno pro předávání informací monitorování účtů skupině vzdálených serverů RADIUS.

  • Atribut není nakonfigurován pomocí pravidel manipulace s atributem pro předávání požadavků na připojení skupinám vzdálených serverů RADIUS.

  • Přesměrování požadavku je nakonfigurováno tak, aby byly požadavky na připojení ověřovány a autorizovány na místním serveru NPS.

  • Upřesňující atributy nejsou nakonfigurovány.

Výchozí zásada vyžádání nového připojení používá server NPS jako server RADIUS. Chcete-li nakonfigurovat server NPS jako proxy server RADIUS, je nutné nakonfigurovat také skupinu vzdálených serverů RADIUS. Novou skupinu vzdálených serverů RADIUS můžete vytvořit při vytváření nové zásady vyžádání nového připojení pomocí Průvodce vytvořením zásady požadavku na připojení. Výchozí zásadu vyžádání nového připojení můžete odstranit nebo můžete zajistit, aby byla poslední zpracovávanou zásadou.

Poznámka

Pokud jsou server NPS a služba Směrování a vzdálený přístup nainstalovány ve stejném počítači a služba Směrování a vzdálený přístup je nakonfigurována pro ověřování a monitorování účtů systému Windows, mohou být požadavky na ověření a monitorování účtů určené službě Směrování a vzdálený přístup předávány na server RADIUS. Tato situace může nastat, jestliže tyto požadavky vyhovují zásadě vyžádání nového připojení, která je nakonfigurována pro jejich přesměrování do skupiny vzdálených serverů RADIUS.

Obsah