Serveur de stratégie réseau

NPS (Network Policy Server) permet de créer et appliquer des stratégies d’accès réseau à l’échelle de l’entreprise pour le contrôle d’intégrité, l’authentification et l’autorisation des demandes de connexion des clients. NPS peut être également utilisé en tant que proxy RADIUS (Remote Authentication Dial-In User Service) pour le transfert des demandes de connexion au serveur NPS ou à d’autres serveurs RADIUS configurés dans les groupes de serveurs RADIUS distants.

NPS permet la configuration et la gestion centralisées de l’authentification et l’autorisation d’accès réseau ainsi que des stratégies de contrôle d’intégrité des clients à l’aide des trois fonctionnalités suivantes :

  • RADIUS server. NPS effectue une authentification, une autorisation et une gestion des comptes centralisées des connexions d’accès sans fil, d’accès par commutateur d’authentification et d’accès par connexion à distance et réseau privé virtuel (VPN). Lorsque vous utilisez NPS en tant que serveur RADIUS, vous devez configurer les serveurs d’accès réseau, tels que les point d’accès sans fil et les serveurs VPN, en tant que clients RADIUS dans NPS. Vous devez également configurer les stratégies réseau utilisées par NPS pour autoriser les demandes de connexion. Vous pouvez éventuellement configurer la gestion de comptes RADIUS de sorte que NPS enregistre les informations de gestion de comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server. Pour plus d’informations, voir Serveur RADIUS.

  • RADIUS proxy. Lorsque vous utilisez NPS en tant que proxy RADIUS, vous devez configurer les stratégies de demande de connexion indiquant au serveur NPS quelles demandes de connexion doivent être transférées à d’autres serveurs RADIUS et de spécifier ces derniers. Vous pouvez éventuellement configurer NPS pour le transfert des données de gestion de comptes à enregistrer par un ou plusieurs ordinateurs d’un groupe de serveurs RADIUS distants. Pour plus d’informations, voir Proxy RADIUS.

  • Network Access Protection (NAP) policy server. Lorsque vous configurez NPS en tant que serveur de stratégie NAP, NPS évalue les déclarations d’intégrité (SoH) envoyées par les ordinateurs clients compatibles NAP qui souhaitent se connecter au réseau. NPS joue également le rôle d’un serveur RADIUS lorsqu’il est configuré avec NAP, en assurant l’authentification et l’autorisation des demandes de connexion. Vous pouvez configurer les stratégies et paramètres NAP dans NPS, notamment les programmes de validation d’intégrité système (SHV), la stratégie de contrôle d’intégrité et les groupes de serveurs de mise à jour permettant aux ordinateurs clients de mettre à jour leur configuration de sorte qu’ils deviennent conformes à la stratégie réseau de l’entreprise. Pour plus d’informations, voir Protection d’accès réseau (NAP) dans NPS.

Vous pouvez configurer NPS avec n’importe quelle combinaison de ces fonctionnalités. Par exemple, vous pouvez configurer un serveur NPS en tant que serveur de stratégie NAP avec une ou plusieurs méthodes de contrainte, tout en configurant le même serveur NPS en tant que serveur RADIUS pour les connexions d’accès à distance et en tant que proxy RADIUS pour le transfert de certaines demandes de connexion aux membres d’un groupe de serveurs RADIUS distants pour l’authentification et l’autorisation dans un autre domaine.

Configuration

Pour configurer NPS en tant que serveur RADIUS ou serveur de stratégie NAP, vous devez utiliser la configuration standard ou la configuration avancée dans la console NPS ou le Gestionnaire de serveur. Pour configurer NPS en tant proxy RADIUS, vous devez utiliser la configuration avancée.

Configuration standard

Dans la configuration standard, des Assistants vous permettent de configurer NPS pour les scénarios suivants :

  • Serveur de stratégie NAP

  • Serveur RADIUS pour les connexions d’accès à distance ou VPN

  • Serveur RADIUS pour les connexions câblées ou sans fil 802.1X

Pour configurer NPS à l’aide d’un Assistant, ouvrez la console NPS, sélectionnez l’un des scénarios ci-dessus, puis cliquez sur le lien qui permet d’ouvrir l’Assistant.

Configuration avancée

Lorsque vous utilisez la configuration avancée, vous devez configurer NPS manuellement en tant que serveur RADIUS, serveur de stratégie NAP ou proxy RADIUS. Des Assistants vous guident pour la configuration NAP et des stratégies. Ces Assistants sont toutefois accessibles dans l’arborescence NPS de la console NPS et non pas dans la section Mise en route du volet d’informations de la console.

Pour configurer NPS à l’aide de la configuration avancée, ouvrez la console NPS, puis cliquez sur la flèche en regard de Configuration avancée pour développer cette section.

Les options ci-après sont proposées.

Configurer le serveur RADIUS

Pour configurer NPS en tant serveur RADIUS, vous devez configurer les clients RADIUS, la stratégie réseau et la gestion de comptes RADIUS.

Les sections d’aide ci-après fournissent les informations dont vous avez besoin pour déployer NPS en tant que serveur RADIUS :

Configurer le serveur de stratégie NAP

Pour déployer NAP, vous devez configurer les composants NAP en plus des clients RADIUS et de la stratégie réseau.

Les sections d’aide ci-après fournissent les informations dont vous avez besoin pour déployer NPS en tant que serveur de stratégie NAP :

Configurer le proxy RADIUS

Pour configurer NPS en tant que proxy RADIUS, vous devez configurer les clients RADIUS, les groupes de serveurs RADIUS distants et les stratégies de demande de connexion.

Les sections d’aide ci-après fournissent les informations dont vous avez besoin pour déployer NPS en tant que proxy RADIUS :

Enregistrement NPS

La journalisation NPS est également appelée gestion des comptes RADIUS. Configurez la journalisation NPS selon vos besoins que NPS soit utilisé en tant que serveur RADIUS, proxy RADIUS, serveur de stratégie NAP ou dans n’importe quelle combinaison de ces trois configurations.

Pour configurer la journalisation NPS, vous devez configurer les événements doivent être enregistrés et consultés à l’aide de l’Observateur d’événements, puis déterminer quelles autres informations vous souhaitez enregistrer. Vous devez en outre décider si vous souhaitez enregistrer les informations de gestion de comptes et d’authentification utilisateur dans des fichiers journaux au format texte sur l’ordinateur local ou dans une base de données SQL Server sur l’ordinateur local ou sur un ordinateur distant.

Les sections d’aide ci-après fournissent les informations dont vous avez besoin pour déployer la gestion de comptes RADIUS :


Table des matières