Server NPS (Network Policy Server) může sloužit jako proxy server RADIUS pro směrování zpráv RADIUS mezi servery pro přístup pro klienty RADIUS a servery RADIUS, které provádějí ověřování, autorizaci a monitorování účtů uživatelů při pokusu o připojení. Je-li server NPS použit jako proxy server RADIUS, slouží jako centrální přepínač nebo směrovač, kterým procházejí zprávy přístupu a zprávy o monitorování účtů protokolu RADIUS. Server NPS zaznamenává informace o těchto přesměrovaných zprávách do protokolu monitorování účtů.

Na následujícím obrázku je znázorněn server NPS jako proxy server RADIUS umístěný mezi klienty RADIUS (servery pro přístup) a servery RADIUS nebo jiným proxy serverem RADIUS.

NPS jako server proxy RADIUS

Slouží-li server NPS jako proxy server RADIUS mezi klientem RADIUS a serverem RADIUS, budou zprávy RADIUS s pokusy o připojení k síti předány následujícím způsobem:

  1. Servery pro přístup, například servery pro telefonický přístup k síti, servery VPN (virtual private network) a bezdrátové přístupové body, přijímají požadavky na připojení od přístupových klientů.

  2. Server pro přístup nakonfigurovaný na používání protokolu RADIUS jako protokolu pro ověřování, autorizaci a monitorování účtů vytvoří zprávu s žádostí o přístup a odešle ji na server NPS, který slouží jako proxy server RADIUS.

  3. Proxy server RADIUS serveru NPS přijme zprávu s žádostí o přístup a podle místně nakonfigurovaných zásad požadavku na připojení určí, kam bude tato zpráva předána.

  4. Proxy server RADIUS serveru NPS předá zprávu s žádostí o přístup odpovídajícímu serveru RADIUS.

  5. Daný server RADIUS tuto zprávu vyhodnotí.

  6. V případě potřeby odešle server RADIUS zprávu s výzvou k ověření přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup. Server pro přístup danou výzvu zpracuje spolu s přístupovým klientem a odešle aktualizovanou zprávu s žádostí o přístup na proxy server RADIUS serveru NPS, ze kterého je tato zpráva předána na server RADIUS.

  7. Server RADIUS provede ověření a autorizaci pokusu o připojení.

  8. Je-li pokus o připojení ověřen i autorizován, odešle server RADIUS zprávu s potvrzením přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.

    Není-li pokus o připojení ověřen nebo autorizován, odešle server RADIUS zprávu se zamítnutím přístupu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.

  9. Server pro přístup dokončí proces připojení s přístupovým klientem a odešle zprávu s požadavky na monitorování účtů na proxy server RADIUS serveru NPS. Proxy server RADIUS serveru NPS zaznamená údaje o účtech a předá tuto zprávu serveru RADIUS.

  10. Server RADIUS odešle zprávu s odpovědí na požadavek na monitorování účtu na proxy server RADIUS serveru NPS, odkud je tato zpráva předána na server pro přístup.

Server NPS lze jako proxy server RADIUS použít v následujících případech:

  • Jste poskytovatel služeb nabízející více zákazníkům najaté telefonické připojení, virtuální privátní síť (VPN) nebo služby bezdrátového přístupu k síti. Vaše servery NAS odesílají požadavky na připojení na proxy server RADIUS serveru NPS. V závislosti na části s názvem sféry uživatelského jména v požadavku na připojení předá proxy server RADIUS serveru NPS tento požadavek serveru RADIUS, který je spravován zákazníkem a může ověřovat a autorizovat pokus o připojení.

  • Chcete provést ověření a autorizaci uživatelských účtů, které nejsou členy domény, jíž je server NPS členem, nebo jiné domény, která má obousměrný vztah důvěryhodnosti s doménou, jejímž členem server NPS je. Jedná se o účty v nedůvěryhodných doménách, doménách s jednosměrným vztahem důvěryhodnosti a dalších doménových strukturách. Namísto konfigurace serverů pro přístup k odesílání požadavků na připojení serveru RADIUS serveru NPS můžete tyto servery nakonfigurovat k odesílání požadavků na připojení proxy serveru RADIUS serveru NPS. Proxy server RADIUS serveru NPS použije část uživatelského jména s názvem sféry a předá požadavek serveru NPS ve správné doméně nebo doménové struktuře. Pokusy uživatelských účtů o připojení v jedné doméně nebo doménové struktuře mohou být ověřeny pro servery NAS v jiné doméně nebo doménové struktuře.

  • Chcete provádět ověřování a autorizaci pomocí databáze, která není databází účtů systému Windows. V takovém případě jsou požadavky na připojení odpovídající určitému názvu sféry předány serveru RADIUS, který má přístup k jiné databázi uživatelských účtů a autorizovaných dat. Příkladem jiných databází mohou být databáze služby NDS (Novell Directory Services) a jazyka SQL (Structured Query Language).

  • Chcete zpracovat velké množství požadavků na připojení. V takovém případě můžete namísto konfigurace klientů RADIUS ve snaze o vyrovnání požadavků na připojení s požadavky na monitorování účtů v rámci více serverů RADIUS tyto klienty nastavit tak, aby tyto požadavky odesílali na proxy server RADIUS serveru NPS. Proxy server RADIUS serveru NPS dynamicky vyrovná zatížení požadavky na připojení a monitorování účtů v rámci více serverů RADIUS a zvýší zpracování většího počtu klientů RADIUS a ověření za sekundu.

  • Chcete umožnit ověřování a autorizaci RADIUS najatým poskytovatelům služeb a minimalizovat nastavení brány firewall sítě intranet. Brána firewall sítě intranet se nachází mezi obvodovou sítí (síť mezi sítěmi intranet a Internet) a sítí intranet. Při umístění serveru NPS do obvodové sítě musí brána firewall mezi obvodovou sítí a sítí intranet povolit komunikační tok mezi serverem NPS a více řadiči domény. Je nutné, aby při nahrazení serveru NPS proxy serverem NPS brána firewall v rámci sítě intranet povolovala mezi proxy serverem NPS a jedním nebo více servery NPS pouze komunikační tok protokolu RADIUS.

Obsah