Een netwerktoegangsserver (NAS) is een apparaat dat toegang biedt tot een groter netwerk. Een NAS met een RADIUS-infrastructuur is ook een RADIUS-client waarmee verbindingsaanvragen en accountingberichten worden verzonden naar een RADIUS-server voor verificatie, autorisatie en accounting.
Belangrijk | |
Clientcomputers zoals draadloze draagbare computers en andere computers met een clientbesturingssysteem, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-switches, VPN-servers (Virtual Private Network), en inbelservers, omdat deze gebruikmaken van het RADIUS-protocol om met RADIUS-servers zoals NPS-servers (Network Policy Server) te communiceren. |
U moet RADIUS-clients in NPS configureren als u NPS wilt implementeren als RADIUS-server, een RADIUS-proxy of een NAP-beleidsserver (Network Access Protection).
Voorbeelden van RADIUS-clients
Voorbeelden van netwerktoegangsservers zijn:
-
Netwerktoegangsservers die RAS-verbindingen bieden met een organisatienetwerk of internet. Een voorbeeld hiervan is een computer met het Windows Server® 2008-besturingssysteem en de Routering en RAS-service, waarmee u beschikt over RAS-services via een inbelnetwerk of VPN (Virtual Private Network) voor het intranet van de organisatie.
-
Draadloze toegangspunten die fysieke laagtoegang bieden tot een organisatienetwerk via draadloze verzend- en ontvangsttechnologieën.
-
Switches die fysieke laagtoegang bieden tot het netwerk van een organisatie met traditionele LAN-technologieën, zoals Ethernet.
-
RADIUS-proxy's waarmee verbindingsaanvragen worden doorgestuurd naar RADIUS-servers die lid zijn van een externe RADIUS-servergroep die is geconfigureerd op de RADIUS-proxy.
RADIUS Access-Request-berichten
Via RADIUS-clients worden RADIUS Access-Request-berichten gemaakt die worden doorgestuurd naar een RADIUS-proxy of RADIUS-server of er worden Access-Request-berichten naar een RADIUS-server verzonden die zijn ontvangen van een andere RADIUS-client en die niet op de desbetreffende client zijn gemaakt.
Op RADIUS-clients worden Access-Request-berichten niet verwerkt via verificatie, autorisatie en accounting. Deze functies kunnen alleen worden uitgevoerd op RADIUS-servers.
U kunt NPS echter tegelijk configureren als RADIUS-proxy en RADIUS-server, zodat bepaalde Access-Request-berichten worden verwerkt en andere berichten worden doorgestuurd.
NPS als een RADIUS-client
NPS fungeert als een RADIUS-client wanneer u deze configureert als een RADIUS-proxy waarmee Access-Request-berichten voor verwerking worden doorgestuurd naar andere RADIUS-servers. Wanneer u NPS gebruikt als RADIUS-proxy, moet u de volgende algemene configuratiestappen uitvoeren:
-
Netwerktoegangspunten, zoals draadloze toegangspunten en VPN-servers, worden geconfigureerd met het IP-adres van de NPS-proxy als de toegewezen RADIUS-server of verificatieserver. Hierdoor kunnen op de netwerktoegangsservers, waarop Access-Request-berichten worden gemaakt op basis van de informatie die wordt ontvangen van toegangsclients, berichten worden doorgestuurd naar de NPS-proxy.
-
U configureert de NPS-proxy door elke netwerktoegangsserver toe te voegen als RADIUS-client. Door deze configuratiestap kan de NPS-proxy berichten ontvangen van de netwerktoegangsservers en hiermee communiceren gedurende de verificatie. Daarnaast wordt op de NPS-proxy via de beleidsregels voor verbindingsaanvragen opgegeven welke Access-Request-berichten moeten worden doorgestuurd naar een of meer RADIUS-servers. Deze beleidsregels worden ook geconfigureerd met een externe RADIUS-servergroep, waarmee voor NPS wordt aangegeven waarnaar de berichten moeten worden verzonden die worden ontvangen van de netwerktoegangsservers.
-
De NPS of andere RADIUS-servers die lid zijn van de externe RADIUS-servergroep op de NPS-proxy worden zo geconfigureerd dat berichten worden ontvangen van de NPS-proxy. U kunt dit doen door de NPS-proxy te configureren als RADIUS-client.
Eigenschappen van RADIUS-client
Wanneer u een RADIUS-client toevoegt aan de NPS-configuratie via de NPS-module of via de netsh-opdrachten voor NPS, configureert u NPS voor het ontvangen van RADIUS Access-Request-berichten van een netwerktoegangsserver of een RADIUS-proxy.
Wanneer u een RADIUS-client configureert in NPS, kunt u de volgende eigenschappen opgeven:
-
Clientnaam
Een beschrijvende naam voor de RADIUS-client, waarmee deze eenvoudig kan worden herkend bij gebruik van de NPS-module of netsh-opdrachten voor NPS.
-
IP-adres
Het IPv4-adres (Internet Protocol versie 4) of de DNS-naam (Domain Name System) van de RADIUS-client.
-
Clientleverancier
De leverancier van de RADIUS-client. U kunt ook de standaardwaarde van RADIUS voor Clientleverancier gebruiken.
-
Gedeeld geheim
Een tekstreeks die wordt gebruikt als wachtwoord tussen RADIUS-clients, RADIUS-servers en RADIUS-proxy's. Wanneer u het kenmerk Berichtverificatie gebruikt, wordt het gedeelde geheim ook gebruikt als sleutel voor het versleutelen van RADIUS-berichten. Deze tekenreeks moet worden geconfigureerd op de RADIUS-client en in de NPS-module.
-
Kenmerk Berichtverificatie
Dit wordt beschreven in RFC 2869, 'RADIUS-uitbreidingen', en is een MD5-hash (Message Digest 5) van het gehele RADIUS-bericht. Als het RADIUS-kenmerk Berichtverificatie is ingesteld, wordt dit gecontroleerd. Als de verificatie mislukt, wordt het RADIUS-bericht verwijderd. Als het kenmerk Berichtverificatie is vereist door de clientinstellingen en niet is ingesteld, wordt het RADIUS-bericht verwijderd. U wordt aangeraden het kenmerk Berichtverificatie te gebruiken.
Opmerking Wanneer u EAP-verificatie gebruikt, is het kenmerk Berichtverificatie vereist en is dit standaard ingeschakeld.
-
Client heeft NAP-functies
Hiermee wordt aangegeven dat de RADIUS-client compatibel is met NAP (Network Access Protection) en dat NAP-kenmerken via NPS naar de RADIUS-client worden verzonden in het Access-Accept-bericht.