Přehled serveru NPS (Network Policy Server)

Server NPS představuje implementaci standardu RADIUS, který byl specifikován skupinou IETF (Internet Engineering Task Force) v dokumentech RFC 2865 a 2866, společnosti Microsoft. Server NPS provádí jako server RADIUS centralizované ověřování, autorizování a monitorování účtů připojení pro mnoho typů síťového přístupu včetně bezdrátového připojení, ověřovacího přepínače, telefonického přístupu, vzdáleného přístupu VPN (virtuální privátní sítě) a propojení směrovačů.

Server NPS umožňuje práci s heterogenní sadou zařízení sítě VPN, bezdrátového přístupu, vzdáleného přístupu a přístupu přes přepínače. Server NPS lze použít se službou Směrování a vzdálený přístup, která je k dispozici v systémech Microsoft Windows 2000, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition.

Je-li server NPS členem domény služby AD DS (Active Directory® Domain Services), používá adresářovou službu jako svou databázi uživatelských účtů a je součástí řešení přístupu jedním přihlášením. Při řízení přístupu k síti (při ověřování a autorizaci) a při přihlašování k doméně služby AD DS se používá stejná sada pověření.

Server NPS nabízí poskytovatelům služeb Internetu a organizacím zajišťujícím přístup k síti vylepšené možnosti správy všech typů přístupu z jednoho bodu pro správu bez ohledu na použitý typ zařízení přístupu k síti. Standard RADIUS podporuje tuto funkčnost v homogenním i heterogenním prostředí. Protokol RADIUS využívá strukturu klient-server a umožňuje odesílat na server RADIUS prostřednictvím zařízení přístupu k síti (používaného jako klienti RADIUS) požadavky na ověřování a monitorování účtů.

Server RADIUS má přístup k informacím o uživatelském účtu a může kontrolovat pověření pro ověření pro přístup k síti. Pokud jsou pověření uživatele ověřena a pokus o připojení je autorizován, autorizuje server RADIUS přístup uživatele na základě zadaných podmínek a následně zapíše informace o připojení přístupu k síti do protokolu monitorování účtů. Protokol RADIUS umožňuje shromažďovat a uchovávat údaje o ověřování, autorizaci a monitorování účtů přístupu k síti nikoli na jednotlivých přístupových serverech, ale v centrálním umístění.

Další informace naleznete v tématu Server RADIUS.

Jako proxy server RADIUS předává server NPS zprávy o ověřování a monitorování účtů na další servery RADIUS.

Pomocí serveru NPS mohou organizace zachovat správu ověřování, autorizací a monitorování účtů u uživatele i tehdy, když infrastrukturu pro vzdálený přístup udržuje jiný poskytovatel služeb.

Konfigurace serveru NPS je možné vytvářet u následujících řešení:

• Bezdrátový přístup
  
  
• Telefonický nebo vzdálený přístup VPN pro organizaci
  
  
• Telefonický přístup nebo bezdrátový přístup pomocí jiné společnosti
  
  
• Přístup k Internetu
  
  
• Ověřený přístup k prostředkům sítě extranet pro obchodní partnery
  
  

Další informace naleznete v tématu Proxy server RADIUS.

Následující příklady konfigurace ukazují, jakým způsobem lze nakonfigurovat server NPS jako server RADIUS a proxy server RADIUS.

NPS as a RADIUS server. V tomto příkladu je server NPS nakonfigurován jako server RADIUS, jedinou nakonfigurovanou zásadou je výchozí zásada vyžádání nového připojení a všechny požadavky na připojení jsou zpracovány místním serverem NPS. Server NPS může ověřovat a autorizovat uživatele, jejichž účty jsou ve stejné doméně jako server NPS a v důvěryhodných doménách.

NPS as a RADIUS proxy. V tomto příkladu je server NPS nakonfigurován jako proxy server RADIUS, který směruje požadavky na připojení do skupin vzdálených serverů RADIUS ve dvou nedůvěryhodných doménách. Výchozí zásada vyžádání nového připojení je odstraněna a jsou vytvořeny dvě nové zásady pro směrování požadavků do obou nedůvěryhodných domén. V tomto příkladu server NPS nezpracovává žádné požadavky na připojení na místním serveru.

NPS as both RADIUS server and RADIUS proxy. Kromě výchozí zásady vyžádání nového připojení, která určuje, že požadavky na připojení jsou zpracovány místně, je vytvořena nová zásada vyžádání nového připojení, která předá požadavek na připojení na server NPS nebo jiný server RADIUS v nedůvěryhodné doméně. Tato druhá zásada má název Proxy. V tomto příkladu je zásada proxy serveru uvedena v seznamu zásad na prvním místě. Pokud požadavek na připojení odpovídá zásadě proxy serveru, je předán serveru RADIUS ve skupině vzdálených serverů RADIUS. Jestliže požadavek na připojení zásadě proxy serveru neodpovídá, ale odpovídá výchozí zásadě vyžádání nového připojení, server NPS požadavek zpracuje na místním serveru. Pokud požadavek na připojení neodpovídá žádné zásadě, je zahozen.

NPS as a RADIUS server with remote accounting servers. V tomto příkladu není místní server NPS nakonfigurován pro monitorování účtů a výchozí zásada vyžádání nového připojení je revidována tak, aby se zprávy monitorování účtů RADIUS předávaly serveru NPS nebo jiným serverům RADIUS ve skupině vzdálených serverů RADIUS. Ačkoli se zprávy monitorování účtů předávají, ověřovací a autorizační zprávy se nepředávají a místní server NPS vykonává tyto funkce pro místní doménu a všechny důvěryhodné domény.

NPS with remote RADIUS to Windows user mapping. V tomto příkladu server NPS plní funkci serveru RADIUS i proxy serveru RADIUS pro jednotlivé požadavky na připojení tak, že požadavek na ověření předá vzdálenému serveru RADIUS a pro autorizaci použije místní účet uživatele systému Windows. Tato konfigurace se implementuje nastavením atributu Mapování vzdáleného serveru RADIUS pro uživatele systému Windows jako podmínky zásady vyžádání nového připojení. (Uživatelský účet musí být navíc vytvořen na serveru RADIUS místně s použitím stejného názvu, jako má vzdálený uživatelský účet použitý vzdáleným serverem RADIUS k ověření.)