A hálózati hozzáférést biztosító kiszolgáló (NAS) egy olyan eszköz, amely valamilyen szintű hozzáférést biztosít egy nagyobb hálózathoz. A RADIUS infrastruktúrát használó hálózati hozzáférést biztosító kiszolgálók szintén RADIUS-ügyfelek, amelyek a hitelesítéshez, engedélyezéshez és nyilvántartáshoz kapcsolatkérelmeket és nyilvántartási üzeneteket továbbítanak a RADIUS-kiszolgálóknak.

Fontos!

Az ügyfélszámítógépek, mint például a laptopok és más, ügyfél operációs rendszereket futtató egyéb számítógépek nem RADIUS ügyfelek. A RADIUS-ügyfelek hálózati hozzáférésű kiszolgálók - mint például a vezeték nélküli hozzáférési pontok, 802.1X-kompatibilis kapcsolók, virtuális magánhálózati (VPN) kiszolgálók és telefonos kapcsolatú kiszolgálók - mert a RADIUS kiszolgálókkal való kommunikációhoz RADIUS protokollt (Hálózati házirend-kiszolgálókat) alkalmaznak.

Ha a hálózati házirend-kiszolgálót RADIUS-kiszolgálóként, RADIUS-proxyként vagy NAP állapotházirend-kiszolgálóként kívánja telepíteni, konfigurálnia kell a RADIUS-ügyfeleket a hálózati házirend-kiszolgálón.

Példák RADIUS-ügyfelekre

Hálózati hozzáférést biztosító kiszolgálók például a következők:

  • Hálózati hozzáférést biztosító kiszolgálók, amelyek távoli hozzáférési lehetőséget nyújtanak egy szervezet hálózatához vagy az internethez. Ilyenek például a Windows Server® 2008 operációs rendszert és az Útválasztás és távelérés szolgáltatást futtató számítógépek, amelyek hagyományos telefonos vagy virtuális magánhálózaton (VPN) keresztüli távelérést biztosítanak a szervezeti intranethez.

  • A vezeték nélküli hozzáférési pontok, amelyek vezeték nélküli megoldáson alapuló átviteli és fogadási technológiával biztosítanak fizikai rétegbeli hozzáférést egy szervezeti hálózathoz.

  • A szervezet hálózatához hagyományos helyi hálózati (LAN) technológiák, például Ethernet használatával fizikai rétegbeli hozzáférést biztosító kapcsolók.

  • A kapcsolatkérelmeket olyan RADIUS-kiszolgálókra továbbító RADIUS-proxyk, amelyek tagjai egy, a RADIUS-proxyn konfigurált távoli RADIUS-kiszolgálócsoportnak.

RADIUS Access-Request üzenetek

A RADIUS-ügyfelek vagy a maguk által létrehozott, vagy a más RADIUS-ügyfelektől kapott RADIUS Access-Request üzeneteket továbbítják egy RADIUS-proxy vagy RADIUS-kiszolgáló számára.

A RADIUS-ügyfelek nem hitelesítik, engedélyezik, vagy tartják nyilván az Access-Request üzeneteket. Ezeket a feladatokat csak RADIUS-kiszolgálók végezhetik el.

A hálózati házirend-kiszolgálók azonban konfigurálhatók RADIUS-proxyként és RADIUS-kiszolgálóként is egyidejűleg, így azok egyes Access-Request üzeneteket feldolgoznak, más üzeneteket továbbküldenek.

Hálózati házirend-kiszolgáló RADIUS-ügyfélként

A hálózati házirend-kiszolgáló RADIUS-ügyfélként viselkedik, ha RADIUS-proxyként konfigurálja az Access-Request üzenetek más RADIUS-kiszolgálókhoz való továbbításához. A hálózati házirend-kiszolgáló RADIUS-proxyként való használatakor a következő általános konfigurációs lépésekre van szükség:

  1. A hálózati hozzáférést biztosító kiszolgálók, például a vezeték nélküli hozzáférési pontok vagy VPN-kiszolgálók a megadott RADIUS-kiszolgálóként vagy hitelesítő kiszolgálóként az NPS-proxy IP-címével vannak beállítva. Ez lehetővé teszi a hozzáférési ügyfelektől fogadott információn alapuló Access-Request üzeneteket létrehozó hálózati hozzáférést biztosító kiszolgálók számára, hogy az üzeneteket az NPS-proxy felé továbbítsák.

  2. Az NPS-proxy az egyes hálózati hozzáférést biztosító kiszolgálók RADIUS-ügyfélként való hozzáadásával van beállítva. Ezek a konfigurációs lépések lehetővé teszik az NPS-proxy számára, hogy a hitelesítésen során kommunikálhassanak és üzeneteket fogadhassanak a hálózati hozzáférést biztosító kiszolgálóktól. Ezenkívül az NPS-proxy kapcsolatkérelem-házirendjeinek konfigurációja határozza meg, hogy mely Access-Request üzenetek legyenek továbbítva egy vagy több RADIUS-kiszolgáló felé. Ezeket a házirendeket is egy távoli RADIUS-kiszolgálócsoporttal kell beállítani, amely megadja a hálózati házirend-kiszolgáló számára, hogy hova küldje a hálózati hozzáférést biztosító kiszolgálóról fogadott üzeneteket.

  3. A hálózati házirend-kiszolgálók (NPS) vagy más RADIUS-kiszolgálók, amelyek a távoli RADIUS-kiszolgálócsoport tagjai az NPS-proxyn, az NPS-proxyról érkező üzenetek fogadására vannak beállítva. Ez az NPS-proxy RADIUS-ügyfélként való beállításával hajtható végre.

RADIUS-ügyfél tulajdonságai

Ha a hálózati házirend-kiszolgáló beépülő modulján keresztül vagy a hálózati házirend-kiszolgálókra vonatkozó netsh parancsokkal hozzáad egy RADIUS-ügyfelet a hálózati házirend-kiszolgáló konfigurációjához, a hálózati házirend-kiszolgálót úgy állítja be, hogy az a hálózati hozzáférést biztosító kiszolgálók vagy a RADIUS-proxyk RADIUS Access-Request üzeneteit fogadja.

Ha a RADIUS-ügyfelet a hálózati házirend-kiszolgálón konfigurálja, a következő tulajdonságok állíthatók be:

  • Ügyfélnév

    Rövid név a RADIUS-ügyfél számára, amely megkönnyíti az azonosítást a hálózati házirend-kiszolgáló beépülő moduljának vagy a hálózati házirend-kiszolgálókra vonatkozó netsh parancsok használatakor.

  • IP-cím

    A RADIUS-ügyfél IPv4-címe vagy tartománynévrendszer(DNS) neve.

  • Ügyfél-szállító

    A RADIUS-ügyfél szállítója. Megadása nélkül használhatja a RADIUS szokványos ügyfél-szállító értékét.

  • Közös titkos kulcs

    Egy karakterlánc, amely jelszóként használatos a RADIUS-ügyfelek, RADIUS-kiszolgálók és RADIUS-proxyk között. Az üzenethitelesítő attribútum használatakor a közös titkos kulcs a RADIUS-üzenetek titkosító kulcsaként is működik. Ezt a karakterláncot a RADIUS-ügyfélen és a hálózati házirend-kiszolgáló beépülő moduljában kell konfigurálni.

  • Üzenethitelesítő attribútum

    A teljes RADIUS-üzenet MD5 (Message Digest 5) kivonata a 2869. számú, „RADIUS Extensions” című szabványjavaslatban leírtak szerint. Ha a RADIUS üzenethitelesítő attribútum létezik, akkor rendszer ellenőrzi azt. Ha az ellenőrzés sikertelen, a RADIUS-üzenetet a rendszer elveti. Ha az ügyfélbeállításokban szükség van az üzenethitelesítő attribútumra, de az nem létezik, a RADIUS-üzenetet a rendszer elveti. Ajánlott az üzenethitelesítő attribútum használata.

    Megjegyzés

    Az EAP-hitelesítés használata esetén az üzenethitelesítő attribútum szükséges, és alapértelmezés szerint engedélyezett.

  • Az ügyfél hálózatvédelemre képes

    Az a megállapítás, hogy a RADIUS-ügyfél kompatibilis a hálózatvédelem (NAP) szolgáltatással, és a hálózati házirend-kiszolgáló hálózatvédelmi attribútumokat küld a RADIUS-ügyfélnek az Access-Accept üzenetekben.


Tartalom