Server NPS (Network Policy Server) může sloužit jako proxy server RADIUS pro směrování zpráv RADIUS mezi servery pro přístup pro klienty RADIUS a servery RADIUS, které provádějí ověřování, autorizaci a monitorování účtů uživatelů při pokusu o připojení. Je-li server NPS použit jako proxy server RADIUS, slouží jako centrální přepínač nebo směrovač, kterým procházejí zprávy přístupu a zprávy o monitorování účtů protokolu RADIUS. Server NPS zaznamenává informace o těchto přesměrovaných zprávách do protokolu monitorování účtů.
Na následujícím obrázku je znázorněn server NPS jako proxy server RADIUS umístěný mezi klienty RADIUS (servery pro přístup) a servery RADIUS nebo jiným proxy serverem RADIUS.
Slouží-li server NPS jako proxy server RADIUS mezi klientem RADIUS a serverem RADIUS, budou zprávy RADIUS s pokusy o připojení k síti předány následujícím způsobem:
-
Servery pro přístup, například servery pro telefonický přístup k síti, servery VPN (virtual private network) a bezdrátové přístupové body, přijímají požadavky na připojení od přístupových klientů.
-
Server pro přístup nakonfigurovaný na používání protokolu RADIUS jako protokolu pro ověřování, autorizaci a monitorování účtů vytvoří zprávu s žádostí o přístup a odešle ji na server NPS, který slouží jako proxy server RADIUS.
-
Proxy server RADIUS serveru NPS přijme zprávu s žádostí o přístup a podle místně nakonfigurovaných zásad požadavku na připojení určí, kam bude tato zpráva předána.
-
Proxy server RADIUS serveru NPS předá zprávu s žádostí o přístup odpovídajícímu serveru RADIUS.
-
Daný server RADIUS tuto zprávu vyhodnotí.
-
V případě potřeby odešle server RADIUS zprávu s výzvou k ověření přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup. Server pro přístup danou výzvu zpracuje spolu s přístupovým klientem a odešle aktualizovanou zprávu s žádostí o přístup na proxy server RADIUS serveru NPS, ze kterého je tato zpráva předána na server RADIUS.
-
Server RADIUS provede ověření a autorizaci pokusu o připojení.
-
Je-li pokus o připojení ověřen i autorizován, odešle server RADIUS zprávu s potvrzením přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.
Není-li pokus o připojení ověřen nebo autorizován, odešle server RADIUS zprávu se zamítnutím přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.
-
Server pro přístup dokončí proces připojení s přístupovým klientem a odešle zprávu s požadavky na monitorování účtů na proxy server RADIUS serveru NPS. Proxy server RADIUS serveru NPS zaznamená údaje o účtech a předá tuto zprávu serveru RADIUS.
-
Server RADIUS odešle zprávu s odpovědí na požadavek na monitorování účtu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.
Server NPS lze jako proxy server RADIUS použít v následujících případech:
-
Jste poskytovatel služeb nabízející více zákazníkům najaté telefonické připojení, virtuální privátní síť (VPN) nebo služby bezdrátového přístupu k síti. Vaše servery NAS odesílají požadavky na připojení na proxy server RADIUS serveru NPS. V závislosti na části s názvem sféry uživatelského jména v požadavku na připojení předá proxy server RADIUS serveru NPS tento požadavek serveru RADIUS, který je spravován zákazníkem a může ověřovat a autorizovat pokus o připojení.
-
Chcete provést ověření a autorizaci uživatelských účtů, které nejsou členy domény, jíž je server NPS členem, nebo jiné domény, která má obousměrný vztah důvěryhodnosti s doménou, jejímž členem server NPS je. Jedná se o účty v nedůvěryhodných doménách, doménách s jednosměrným vztahem důvěryhodnosti a dalších doménových strukturách. Namísto konfigurace serverů pro přístup k odesílání požadavků na připojení serveru RADIUS serveru NPS můžete tyto servery nakonfigurovat k odesílání požadavků na připojení proxy serveru RADIUS serveru NPS. Proxy server RADIUS serveru NPS použije část uživatelského jména s názvem sféry a předá požadavek serveru NPS ve správné doméně nebo doménové struktuře. Pokusy uživatelských účtů o připojení v jedné doméně nebo doménové struktuře mohou být ověřeny pro servery NAS v jiné doméně nebo doménové struktuře.
-
Chcete provádět ověřování a autorizaci pomocí databáze, která není databází účtů systému Windows. V takovém případě jsou požadavky na připojení odpovídající určitému názvu sféry předány serveru RADIUS, který má přístup k jiné databázi uživatelských účtů a autorizovaných dat. Příkladem jiných databází mohou být databáze služby NDS (Novell Directory Services) a jazyka SQL (Structured Query Language).
-
Chcete zpracovat velké množství požadavků na připojení. V takovém případě můžete namísto konfigurace klientů RADIUS ve snaze o vyrovnání požadavků na připojení s požadavky na monitorování účtů v rámci více serverů RADIUS tyto klienty nastavit tak, aby tyto požadavky odesílali na proxy server RADIUS serveru NPS. Proxy server RADIUS serveru NPS dynamicky vyrovná zatížení požadavky na připojení a monitorování účtů v rámci více serverů RADIUS a zvýší zpracování většího počtu klientů RADIUS a ověření za sekundu.
-
Chcete umožnit ověřování a autorizaci RADIUS najatým poskytovatelům služeb a minimalizovat nastavení brány firewall sítě intranet. Brána firewall sítě intranet se nachází mezi obvodovou sítí (síť mezi sítěmi intranet a Internet) a sítí intranet. Při umístění serveru NPS do obvodové sítě musí brána firewall mezi obvodovou sítí a sítí intranet povolit komunikační tok mezi serverem NPS a více řadiči domény. Je nutné, aby při nahrazení serveru NPS proxy serverem NPS brána firewall v rámci sítě intranet povolovala mezi proxy serverem NPS a jedním nebo více servery NPS pouze komunikační tok protokolu RADIUS.