Pokud nasazujete telefonická připojení nebo připojení k síti VPN (Virtual Private Network) pomocí serveru NPS (Network Policy Server) v roli serveru RADIUS, je nutné provést následující kroky:

  • Instalace a konfigurace serverů pro přístup k síti (NAS) jako klientů RADIUS.

  • Nasazení součástí pro různé metody ověřování.

  • Konfigurace serveru NPS jako serveru RADIUS.

Instalace a konfigurace serverů pro přístup k síti (klienti RADIUS)

Chcete-li provést nasazení telefonického přístupu, je nutné nainstalovat a nakonfigurovat Směrování a vzdálený přístup jako server pro telefonické připojení. Chcete-li provést nasazení přístupu k síti VPN, je nutné nainstalovat a nakonfigurovat Směrování a vzdálený přístup jako server VPN.

Důležité informace

Klientské počítače, například bezdrátové přenosné počítače a jiné počítače s klientskými operačními systémy, nejsou klienty RADIUS. Klienti RADIUS jsou servery pro přístup k síti, jako jsou bezdrátové přístupové body, přepínače s podporou protokolu 802.1X, servery virtuální privátní sítě (VPN) a servery pro telefonické připojení, protože pomocí protokolu RADIUS komunikují se servery RADIUS, například se servery NPS (Network Policy Server).

Směrování a vzdálený přístup lze nainstalovat na místním serveru NPS nebo ve vzdáleném počítači.

Nasazení součástí pro různé metody ověřování

Pro nasazení sítě VPN lze použít následující metody ověřování:

  • Protokol EAP (Extensible Authentication Protocol) s protokolem TLS (Transport Layer Security), známý jako protokol EAP-TLS.

  • Protokol PEAP (Protected EAP) s protokolem MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), který se rovněž nazývá protokol PEAP-MS-CHAP v2.

  • Protokol PEAP s protokolem TLS (Transport Layer Security), známý jako protokol PEAP-TLS.

U protokolů EAP-TLS a PEAP-TLS je nezbytné instalací a konfigurací služby AD CS (Active Directory® Certificate Services), která umožňuje vydávání certifikátů klientským počítačům v doméně a serverům NPS, zavést infrastrukturu veřejných klíčů (PKI). Tyto certifikáty jsou využívány klientskými počítači a servery NPS během ověřovacího procesu ke kontrole identity. Pokud dáváte přednost čipovým kartám, můžete místo používání certifikátů klientských počítačů zavést čipové karty. V takovém případě je třeba zaměstnancům organizace vydat čipové karty a čtečky čipových karet.

U protokolu PEAP-MS-CHAP v2 můžete zavést vlastní certifikační autoritu (CA) se službou AD CS umožňující vydávání certifikátů serverům NPS, nebo lze certifikáty pro servery koupit od důvěryhodných kořenových certifikačních autorit, kterým klienti důvěřují, například od společnosti VeriSign.

Další informace naleznete v tématu Přehled protokolu EAP a Přehled protokolu PEAP.

Konfigurace serveru NPS jako serveru RADIUS

Pokud konfigurujete server NPS jako server RADIUS, musíte konfigurovat klienty RADIUS, zásady sítě a monitorování účtů protokolem RADIUS.

Konfigurace klientů RADIUS

Konfigurace klientů RADIUS probíhá ve dvou fázích:

  • Nakonfigurujte fyzického klienta RADIUS, kterým je server VPN nebo server pro telefonické připojení, pomocí informací umožňujících serveru pro přístup k síti komunikovat se servery NPS. Tyto informace zahrnují konfiguraci IP adresy serveru NPS a sdíleného tajného klíče v uživatelském rozhraní serveru VPN nebo serveru pro telefonické připojení.

  • Na serveru NPS přidejte nového klienta RADIUS. Na serveru NPS přidejte všechny servery VPN nebo servery pro telefonické připojení jako klienty RADIUS. Server NPS umožňuje zadat popisný název každého klienta RADIUS, IP adresu klienta RADIUS a sdílený tajný klíč.

Další informace naleznete v tématu Přidání nového klienta RADIUS.

Konfigurace zásad sítě

Zásady sítě představují sady podmínek, omezení a nastavení, které umožňují určit, kdo a za jakých podmínek se smí připojit k síti.

Další informace naleznete v tématu Zásady sítě.

Konfigurace monitorování účtů protokolem RADIUS

Monitorování účtů protokolem RADIUS umožňuje zaznamenávat ověření uživatele a požadavky na monitorování účtů do souboru protokolu v místním počítači nebo do databáze Microsoft® SQL Server™, která se nachází v místním nebo vzdáleném počítači.


Obsah