Een netwerktoegangsserver (NAS) is een apparaat dat toegang biedt tot een groter netwerk. Een NAS met een RADIUS-infrastructuur is ook een RADIUS-client waarmee verbindingsaanvragen en accountingberichten worden verzonden naar een RADIUS-server voor verificatie, autorisatie en accounting.

Belangrijk

Clientcomputers zoals draadloze draagbare computers en andere computers met een clientbesturingssysteem, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-switches, VPN-servers (Virtual Private Network), en inbelservers, omdat deze gebruikmaken van het RADIUS-protocol om met RADIUS-servers zoals NPS-servers (Network Policy Server) te communiceren.

U moet RADIUS-clients in NPS configureren als u NPS wilt implementeren als RADIUS-server, een RADIUS-proxy of een NAP-beleidsserver (Network Access Protection).

Voorbeelden van RADIUS-clients

Voorbeelden van netwerktoegangsservers zijn:

  • Netwerktoegangsservers die RAS-verbindingen bieden met een organisatienetwerk of internet. Een voorbeeld hiervan is een computer met het Windows Server® 2008-besturingssysteem en de Routering en RAS-service, waarmee u beschikt over RAS-services via een inbelnetwerk of VPN (Virtual Private Network) voor het intranet van de organisatie.

  • Draadloze toegangspunten die fysieke laagtoegang bieden tot een organisatienetwerk via draadloze verzend- en ontvangsttechnologieën.

  • Switches die fysieke laagtoegang bieden tot het netwerk van een organisatie met traditionele LAN-technologieën, zoals Ethernet.

  • RADIUS-proxy's waarmee verbindingsaanvragen worden doorgestuurd naar RADIUS-servers die lid zijn van een externe RADIUS-servergroep die is geconfigureerd op de RADIUS-proxy.

RADIUS Access-Request-berichten

Via RADIUS-clients worden RADIUS Access-Request-berichten gemaakt die worden doorgestuurd naar een RADIUS-proxy of RADIUS-server of er worden Access-Request-berichten naar een RADIUS-server verzonden die zijn ontvangen van een andere RADIUS-client en die niet op de desbetreffende client zijn gemaakt.

Op RADIUS-clients worden Access-Request-berichten niet verwerkt via verificatie, autorisatie en accounting. Deze functies kunnen alleen worden uitgevoerd op RADIUS-servers.

U kunt NPS echter tegelijk configureren als RADIUS-proxy en RADIUS-server, zodat bepaalde Access-Request-berichten worden verwerkt en andere berichten worden doorgestuurd.

NPS als een RADIUS-client

NPS fungeert als een RADIUS-client wanneer u deze configureert als een RADIUS-proxy waarmee Access-Request-berichten voor verwerking worden doorgestuurd naar andere RADIUS-servers. Wanneer u NPS gebruikt als RADIUS-proxy, moet u de volgende algemene configuratiestappen uitvoeren:

  1. Netwerktoegangspunten, zoals draadloze toegangspunten en VPN-servers, worden geconfigureerd met het IP-adres van de NPS-proxy als de toegewezen RADIUS-server of verificatieserver. Hierdoor kunnen op de netwerktoegangsservers, waarop Access-Request-berichten worden gemaakt op basis van de informatie die wordt ontvangen van toegangsclients, berichten worden doorgestuurd naar de NPS-proxy.

  2. U configureert de NPS-proxy door elke netwerktoegangsserver toe te voegen als RADIUS-client. Door deze configuratiestap kan de NPS-proxy berichten ontvangen van de netwerktoegangsservers en hiermee communiceren gedurende de verificatie. Daarnaast wordt op de NPS-proxy via de beleidsregels voor verbindingsaanvragen opgegeven welke Access-Request-berichten moeten worden doorgestuurd naar een of meer RADIUS-servers. Deze beleidsregels worden ook geconfigureerd met een externe RADIUS-servergroep, waarmee voor NPS wordt aangegeven waarnaar de berichten moeten worden verzonden die worden ontvangen van de netwerktoegangsservers.

  3. De NPS of andere RADIUS-servers die lid zijn van de externe RADIUS-servergroep op de NPS-proxy worden zo geconfigureerd dat berichten worden ontvangen van de NPS-proxy. U kunt dit doen door de NPS-proxy te configureren als RADIUS-client.

Eigenschappen van RADIUS-client

Wanneer u een RADIUS-client toevoegt aan de NPS-configuratie via de NPS-module of via de netsh-opdrachten voor NPS, configureert u NPS voor het ontvangen van RADIUS Access-Request-berichten van een netwerktoegangsserver of een RADIUS-proxy.

Wanneer u een RADIUS-client configureert in NPS, kunt u de volgende eigenschappen opgeven:

  • Clientnaam

    Een beschrijvende naam voor de RADIUS-client, waarmee deze eenvoudig kan worden herkend bij gebruik van de NPS-module of netsh-opdrachten voor NPS.

  • IP-adres

    Het IPv4-adres (Internet Protocol versie 4) of de DNS-naam (Domain Name System) van de RADIUS-client.

  • Clientleverancier

    De leverancier van de RADIUS-client. U kunt ook de standaardwaarde van RADIUS voor Clientleverancier gebruiken.

  • Gedeeld geheim

    Een tekstreeks die wordt gebruikt als wachtwoord tussen RADIUS-clients, RADIUS-servers en RADIUS-proxy's. Wanneer u het kenmerk Berichtverificatie gebruikt, wordt het gedeelde geheim ook gebruikt als sleutel voor het versleutelen van RADIUS-berichten. Deze tekenreeks moet worden geconfigureerd op de RADIUS-client en in de NPS-module.

  • Kenmerk Berichtverificatie

    Dit wordt beschreven in RFC 2869, 'RADIUS-uitbreidingen', en is een MD5-hash (Message Digest 5) van het gehele RADIUS-bericht. Als het RADIUS-kenmerk Berichtverificatie is ingesteld, wordt dit gecontroleerd. Als de verificatie mislukt, wordt het RADIUS-bericht verwijderd. Als het kenmerk Berichtverificatie is vereist door de clientinstellingen en niet is ingesteld, wordt het RADIUS-bericht verwijderd. U wordt aangeraden het kenmerk Berichtverificatie te gebruiken.

    Opmerking

    Wanneer u EAP-verificatie gebruikt, is het kenmerk Berichtverificatie vereist en is dit standaard ingeschakeld.

  • Client heeft NAP-functies

    Hiermee wordt aangegeven dat de RADIUS-client compatibel is met NAP (Network Access Protection) en dat NAP-kenmerken via NPS naar de RADIUS-client worden verzonden in het Access-Accept-bericht.

Inhoudsopgave