Pokud nasazujete pevný (drátový) nebo bezdrátový přístup podle standardu 802.1X pomocí serveru NPS (Network Policy Server) v roli serveru RADIUS (Remote Authentication Dial-In User Service), je nutné provést následující kroky:

  • Instalace a konfigurace serverů pro přístup k síti (NAS) jako klientů RADIUS.

  • Nasazení součástí pro různé metody ověřování.

  • Konfigurace serveru NPS jako serveru RADIUS.

Instalace a konfigurace serverů pro přístup k síti (klienti RADIUS)

Při nasazování bezdrátového přístupu pomocí protokolu 802.1X je nutné provést instalaci a konfiguraci bezdrátových přístupových bodů. Při nasazování drátového přístupu pomocí protokolu 802.1X je nutné provést instalaci a konfiguraci ověřovacích přepínačů rozhraní 802.1X.

Důležité informace

Klientské počítače, například bezdrátové přenosné počítače a jiné počítače s klientskými operačními systémy, nejsou klienty RADIUS. Klienti RADIUS jsou servery pro přístup k síti, jako jsou bezdrátové přístupové body, přepínače s podporou protokolu 802.1X, servery virtuální privátní sítě (VPN) a servery pro telefonické připojení, protože pomocí protokolu RADIUS komunikují se servery RADIUS, například se servery NPS (Network Policy Server).

V obou případech je třeba, aby servery pro přístup k síti splňovaly následující požadavky:

  • Podpora ověřování podle standardu IEEE (Institute of Electrical and Electronics Engineers) 802.1X

  • Podpora ověřování RADIUS a monitorování účtů protokolem RADIUS

Jestliže používáte fakturační nebo účetní aplikace, které vyžadují vzájemně závislé relace, je nutné splnit následující podmínky:

  • Podpora atributu Class definovaného v dokumentu RFC 2865 definovaném skupinou IETF (Internet Engineering Task Force) "Remote Authentication Dial-in User Service (RADIUS)," který umožňuje vzájemnou závislost relací při ověřování a monitorování účtů serverem RADIUS. Když na serveru NPS nebo proxy konfigurujete monitorování účtů protokolem RADIUS, je kvůli vzájemné závislosti relací nutné protokolovat všechna účetní data umožňující aplikacím (jako jsou fakturační aplikace) zadávat dotazy do databáze, korelovat související pole a ve výsledcích dotazů vracet soudržné zobrazení každé relace. Chcete-li umožnit vzájemnou závislost relací, je třeba na serveru NPS protokolovat minimálně následující účetní data: NAS-IP-Address, NAS-Identifier (potřebujete jak adresu NAS-IP-Address tak identifikátor NAS-Identifier, protože přístupový server může odeslat jeden nebo druhý atribut), dále údaje Class, Acct-Session-Id Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port a Event-Timestamp.

  • Podpora monitorování průběžných požadavků pravidelně odesílaných serverem pro přístup k síti (NAS) během relace uživatele, které mohou být protokolovány. Tento typ požadavku lze použít, pokud je atribut Acct-Interim-Interval protokolu RADIUS nakonfigurován tak, aby v profilu vzdáleného přístupu na serveru NPS podporoval pravidelné požadavky. Chcete-li, aby byly průběžné požadavky protokolovány na serveru NPS, musí server NAS podporovat používání monitorování průběžných požadavků.

Jestliže používáte virtuální místní sítě (VLAN), musí servery NAS podporovat sítě VLAN.

V prostředí sítě WAN by servery pro přístup k síti měly umožňovat následující činnosti:

  • Podpora odhadu dynamického vypršení opakovaného přenosu (RTO) nebo exponenciální řada umožňující řešit přetížení a zpoždění v prostředí sítě WAN.

Servery pro přístup k síti by kvůli rozšířenému zabezpečení sítě měly dále podporovat funkce filtrování. K těmto možnostem filtrování patří:

  • Filtrování protokolu DHCP. Servery NAS musí mít filtr na portech IP, aby mohly zabránit přenosu vysílaných zpráv protokolu DHCP (Dynamic Host Configuration Protocol), pokud je klientem server DHCP. Servery pro přístup k síti musí zablokovat odesílání paketů IP z klientského počítače přes port 68 do sítě.

  • Filtrování serverů DNS. Servery NAS musí filtrovat porty IP, čímž brání klientským počítačům v tom, aby vystupovaly jako servery DNS. Servery NAS musí zablokovat odesílání paketů IP z klientského počítače přes port 53 do sítě.

Jestliže nasazujete bezdrátové přístupové body, přednost má podpora standardu WPA (Wi-Fi Protected Access). Standard WPA je podporován systémy Windows Vista® a Windows XP s aktualizací Service Pack 2. Chcete-li nasadit standard WPA, používejte síťové adaptéry, které tento standard podporují.

Nasazení součástí pro různé metody ověřování

U bezdrátových připojení pomocí protokolu 802.1X, jakož i připojení kabelem pomocí protokolu 802.1X můžete použít následující metody ověření:

  • Protokol EAP (Extensible Authentication Protocol) s protokolem TLS (Transport Layer Security), který se také nazývá protokol EAP-TLS.

  • Protokol PEAP (Protected EAP) s protokolem MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), který se rovněž nazývá protokol PEAP-MS-CHAP v2.

  • Protokol PEAP s protokolem EAP-TLS, který se také nazývá protokol PEAP-TLS.

U protokolů EAP-TLS a PEAP-TLS je nezbytné instalací a konfigurací služby AD CS (Active Directory® Certificate Services), která umožňuje vydávání certifikátů klientským počítačům v doméně a serverům NPS, zavést infrastrukturu veřejných klíčů (PKI). Tyto certifikáty jsou využívány klientskými počítači a servery NPS během ověřovacího procesu ke kontrole identity. Pokud dáváte přednost čipovým kartám, můžete místo používání certifikátů klientských počítačů zavést čipové karty. V takovém případě je třeba zaměstnancům organizace vydat čipové karty a čtečky čipových karet.

U protokolu PEAP-MS-CHAP v2 můžete zavést vlastní certifikační autoritu (CA) se službou AD CS umožňující vydávání certifikátů serverům NPS, nebo lze certifikáty pro servery koupit od důvěryhodných kořenových certifikačních autorit, kterým klienti důvěřují, například od společnosti VeriSign.

Další informace naleznete v tématu Přehled protokolu EAP a Přehled protokolu PEAP.

Konfigurace serveru NPS jako serveru RADIUS

Pokud konfigurujete server NPS jako server RADIUS, musíte konfigurovat klienty RADIUS, zásady sítě a monitorování účtů protokolem RADIUS.

Konfigurace klientů RADIUS

Konfigurace klientů RADIUS probíhá ve dvou fázích:

  • Konfigurace fyzického klienta RADIUS, kterým je bezdrátový přístupový bod nebo ověřovací přepínač, pomocí informací umožňujících serveru pro přístup k síti komunikovat se servery NPS. Tato informace zahrnuje konfiguraci adresy IP vašeho serveru NPS a sdíleného tajného klíče přístupového bodu nebo přepínače uživatelského rozhraní.

  • Přidání nového klienta RADIUS na serveru NPS. Na serveru NPS přidejte každý přístupový bod nebo ověřovací přepínač jako klienta RADIUS. Server NPS umožňuje zadat popisný název každého klienta RADIUS, IP adresu klienta RADIUS a sdílený tajný klíč.

Další informace naleznete v tématu Přidání nového klienta RADIUS.

Konfigurace zásad sítě

Zásady sítě představují sady podmínek, omezení a nastavení, které umožňují určit, kdo a za jakých podmínek se smí připojit k síti.

Další informace naleznete v tématu Zásady sítě.

Konfigurace monitorování účtů protokolem RADIUS

Monitorování účtů protokolem RADIUS umožňuje zaznamenávat ověření uživatele a požadavky na monitorování účtů do souboru protokolu v místním počítači nebo do databáze Microsoft® SQL Server™, která se nachází v místním nebo vzdáleném počítači.

Další informace získáte v tématu Monitorování účtů protokolu RADIUS.

Další odkazy


Obsah