RADIUS-kiszolgáló 802.1X szabványú vezeték nélküli és vezetékes kapcsolatokhoz

802.1X szabványú vezeték nélküli hozzáférés üzembe helyezéséhez vezeték nélküli elérési pontokat kell telepítenie és konfigurálnia. 802.1X szabványú vezetékes hozzáférés üzembe helyezéséhez 802.1X szabványú hitelesítő kapcsolókat kell telepítenie és konfigurálnia.

Fontos!

Az ügyfélszámítógépek, mint például a laptopok és más, ügyfél operációs rendszereket futtató egyéb számítógépek nem RADIUS ügyfelek. A RADIUS-ügyfelek hálózati hozzáférésű kiszolgálók - mint például a vezeték nélküli hozzáférési pontok, 802.1X-kompatibilis kapcsolók, virtuális magánhálózati (VPN) kiszolgálók és telefonos kapcsolatú kiszolgálók - mert a RADIUS kiszolgálókkal való kommunikációhoz RADIUS protokollt (Hálózati házirend-kiszolgálókat) alkalmaznak.

A hálózati hozzáférést biztosító kiszolgálóknak mindkét esetben meg kell felelniük az alábbi követelményeknek:

• A IEEE 802.1X-hitelesítési szabvány támogatása
  
  
• A RADIUS-hitelesítés és a RADIUS-nyilvántartás támogatása
  
  

Ha olyan számlázó vagy nyilvántartó alkalmazásokat használ, amelyek munkamenet-korrelációt igényelnek, a következőkre lesz szüksége:

• Az Az IETF RFC 2865 szabványjavaslatában („Remote Authentication Dial-in User Service (RADIUS)”) meghatározott Class attribútum támogatása a munkamenet-korreláció biztosításához a hitelesítési és nyilvántartási RADIUS-rekordokhoz. Amikor konfigurálja a RADIUS-nyilvántartást a hálózati házirend-kiszolgálón vagy proxyn, a munkamenet-korrelációhoz naplóznia kell az összes olyan számlázási adatot, amelyek lehetővé teszik a (például számlázó-) alkalmazások részére az adatbázis lekérdezését, a kapcsolódó mezők korrelációját és az egyes munkamenetek egy összefüggő nézetének megjelenítését a lekérdezés eredményében. Munkamenet-korreláció biztosításához minimálisan a következő hálózati házirend-kiszolgálói adatokat kell naplóznia: NAS-IP-Address, NAS-Identifier (a NAS IP-címére és a NAS-azonosítóra is szüksége van, mert a hozzáférési kiszolgáló bármelyik attribútumot küldheti), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port és Event-Timestamp.
  
  
• A belső fiókkezelési kérelmek támogatása, amelyeket néhány, a hálózati hozzáférést biztosító kiszolgáló a felhasználói munkamenet ideje alatt rendszeresen küld, és amelyek naplózhatók. Ez a kérelemtípus akkor használható, ha az Acct-Interim-Interval RADIUS-attribútum konfigurálva van a periodikus kérelmek támogatására a hálózati házirend-kiszolgáló távoli hozzáférési profiljában. Ha a belső kérelmeket naplózni kívánja a hálózati házirend-kiszolgálón, akkor a hálózati hozzáférést biztosító kiszolgálónak támogatnia kell a belső fiókkezelési kérelmek használatát.
  
  

Ha virtuális helyi hálózatot (VLAN) használ, a hálózati hozzáférést biztosító kiszolgálóknak támogatniuk kell.

Nagytávolságú hálózati környezetben (WAN) a hálózati hozzáférést biztosító kiszolgálóknak a következőket kell nyújtaniuk:

• A dinamikus újraküldési időtúllépés (RTO) becslésének vagy az exponenciális visszalépés támogatása az adattorlódás és a késleltetések kezelésére a nagykiterjedésű hálózati környezetben.
  
  

Emellett léteznek szűrési szolgáltatások, amelyeket a hálózati hozzáférést biztosító kiszolgálóknak támogatniuk kell a hálózat fokozott biztonsága érdekében. Ezek a szűrőbeállítások a következők:

• DHCP-szűrés. A hálózati hozzáférést biztosító kiszolgálóknak szűrést kell végezniük az IP-portokon, hogy megakadályozzák a szórt DHCP-üzenetek átvitelét, ha az ügyfél egy DHCP-kiszolgáló. A hálózati hozzáférést biztosító kiszolgálóknak blokkolniuk kell az ügyfél azon IP-csomagjait, amelyeket az a 68-as portról küld a hálózatra.
  
  
• DNS-szűrés. A hálózati hozzáférést biztosító kiszolgálóknak szűrést kell végezni az IP-portokon, hogy megakadályozzák az ügyfél DNS-kiszolgálóként való működését. A hálózati hozzáférést biztosító kiszolgálóknak blokkolniuk kell az ügyfél azon IP-csomagjait, amelyeket az a 53-as portról küld a hálózatra.
  
  

Vezeték nélküli hozzáférési pontok üzembe helyezéséhez ajánlott a Wi-Fi Protected Access (WPA) támogatása. A WPA szolgáltatást a Windows Vista® és a Windows XP (a Service Pack 2 szervizcsomaggal) rendszerek támogatják. A WPA szolgáltatás üzembe helyezéséhez olyan vezeték nélküli hálózati adaptereket használjon, amelyek támogatják a WPA-t.

A következő hitelesítési módszereket használhatja 802.1X szabványú vezeték nélküli és vezetékes kapcsolatok esetében:

• Bővíthető hitelesítési protokoll (EAP) TLS protokollal, más néven EAP-TLS.
  
  
• Védett EAP (PEAP) Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) protokollal, más néven PEAP-MS-CHAP v2.
  
  
• PEAP az EAP-TLS protokollal, más néven PEAP-TLS.
  
  

EAP-TLS és PEAP-TLS esetén a nyilvános kulcsokra épülő infrastruktúrát (PKI) is telepítenie kell az Active Directory® tanúsítványszolgáltatások oly módon történő telepítésével és beállításával, hogy az kiállítsa a tartományi tag ügyfélszámítógépek és hálózati házirend-kiszolgálók tanúsítványait. Ezeket a tanúsítványokkal az ügyfelek és hálózati házirend-kiszolgálók a hitelesítési folyamat során végeznek identitás-ellenőrzést. Ha kívánja, intelligens kártyákat is használhat az ügyfélszámítógépek tanúsítványai helyett. Ez esetben a szervezet alkalmazottainak intelligens kártyákat és intelligenskártya-olvasókat kell kiadnia.

PEAP-MS-CHAP v2 esetén saját hitelesítésszolgáltatót (CA) telepíthet az Active Directory tanúsítványszolgáltatásokkal a hálózati házirend-kiszolgálók tanúsítványainak kiállítására, vagy nyilvános, az ügyfelek által is elfogadott, megbízható legfelső szintű hitelesítésszolgáltatóktól (például VeriSign) is vásárolhat kiszolgálói tanúsítványokat.

További információt a következő témakörökben talál: Az EAP protokoll - áttekintés és A PEAP protokoll - áttekintés.

Ha RADIUS-kiszolgálóként konfigurálja a hálózati házirend-kiszolgálót, a RADIUS-ügyfeleket, a hálózati házirendet és a RADIUS-nyilvántartást is be kell állítania.