Network Policy Server - overzicht

NPS is de Microsoft-implementaties van de RADIUS-standaard die door de IEFT (Internet Engineering Task Force) is ontwikkeld in de RFC's 2865 en 2866. Als RADIUS-server voert NPS verificatie, autorisatie en accounting uit voor allerlei soorten netwerktoegang, zoals draadloze verificatieswitches, inbelverbindingen, VPN-netwerken (Virtual Private Network) voor externe toegang en verbindingen tussen routers.

NPS faciliteert het gebruik van een heterogene set apparatuur voor draadloze toegang, switchtoegang, externe toegang of VPN-toegang. U kunt NPS gebruiken in combinatie met de Routering en RAS-service, die beschikbaar is in Microsoft Windows 2000, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; en Windows Server 2003, Datacenter Edition.

Wanneer een server met NPS lid is van een AD DS-domein (Active Directory® Domain Services), wordt de directoryservice gebruikt als database met gebruikersaccounts en ontstaat een oplossing op basis van eenmalige aanmelding. Daarbij wordt dezelfde set referenties gebruikt voor de netwerktoegang (verificatie en autorisatie van de toegang tot het netwerk) en de aanmelding bij het AD DS-domein.

Internetproviders en organisaties die zorgdragen voor de netwerktoegang, zien zich geconfronteerd met een toenemend aantal soorten netwerktoegang die vanuit één punt moeten worden beheerd. Welk soort apparaten wordt gebruikt voor de netwerktoegang, is daarbij niet van belang. Met de RADIUS-standaard is een dergelijk beheer mogelijk in zowel homogene als heterogene omgevingen. RADIUS is een client/serverprotocol waarmee apparatuur voor netwerktoegang (de RADIUS-clients) verificatie- en accountingaanvragen kunnen versturen naar een RADIUS-server.

Een RADIUS-server heeft toegang tot de gebruikersaccountgegevens en kan de verificatiereferenties voor de netwerktoegang controleren. Als de referenties van de gebruiker zijn geverifieerd en de verbindingspoging wordt geautoriseerd, wordt de gebruiker geautoriseerd op basis van de opgegeven voorwaarden en wordt de netwerktoegang in een logboek vastgelegd. Door het gebruik van RADIUS kunnen gegevens over de verificatie, autorisatie en accounting van de netwerktoegang van gebruikers centraal worden verzameld en beheerd in plaats van op elke toegangsserver.

Zie RADIUS-server voor meer informatie.

Als RADIUS-proxy zorgt NPS dat verificatie- en accountingberichten worden doorgestuurd naar andere RADIUS-servers.

Organisaties die met NPS werken, kunnen een RAS-infrastructuur ook uitbesteden aan een provider zonder dat ze de controle over de verificatie, autorisatie en accounting uit handen hoeven te geven.

Voor de volgende scenario's kunnen NPS-configuraties worden aangemaakt:

• Draadloze toegang
  
  
• Externe bedrijfstoegang via inbelverbinding of VPN-verbinding (virtueel particulier netwerk)
  
  
• Uitbestede inbelverbinding of draadloze toegang
  
  
• Internettoegang
  
  
• Geverifieerde toegang tot extranetbronnen van zakenpartners
  
  

Zie RADIUS-proxy voor meer informatie.

De volgende configuratievoorbeelden laten zien hoe u NPS kunt configureren als een RADIUS-server en een RADIUS-proxy.

NPS as a RADIUS server. In dit voorbeeld van NPS als RADIUS-server is als enige beleid het standaardbeleid voor verbindingsaanvragen ingesteld, en worden alle verbindingsaanvragen verwerkt door de lokale NPS-server. De NPS-server kan gebruikers verifiëren en autoriseren die een gebruikersaccount hebben in het domein van de NPS-server en vertrouwde domeinen.

NPS as a RADIUS proxy. In dit voorbeeld is de NPS-server geconfigureerd als een RADIUS-proxy die verbindingsaanvragen doorstuurt naar externe RADIUS-servergroepen in twee niet-vertrouwde domeinen. Het standaardbeleid voor verbindingsaanvragen is verwijderd en er worden twee nieuwe beleidsregels voor verbindingsaanvragen gemaakt waarmee aanvragen naar de twee niet-vertrouwde domeinen kunnen worden doorgestuurd. In dit voorbeeld worden via NPS geen verbindingsaanvragen verwerkt op de lokale server.

NPS as both RADIUS server and RADIUS proxy. Het standaardbeleid voor verbindingsaanvragen, waarmee verbindingsaanvragen lokaal worden verwerkt, is hier uitgebreid met een nieuw beleid waarmee verbindingsaanvragen worden doorgestuurd naar een NPS-server of andere RADIUS-server in een niet-vertrouwd domein. Dit tweede beleid wordt het proxybeleid genoemd. In dit voorbeeld wordt het proxybeleid bovenaan weergegeven in de geordende beleidslijst. Als de verbindingsaanvraag voldoet aan het proxybeleid, wordt deze doorgestuurd naar de RADIUS-server in de externe RADIUS-servergroep. Als de verbindingsaanvraag niet aan het proxybeleid voldoet, maar wel aan het standaardbeleid voor verbindingsaanvragen, wordt deze op de lokale server verwerkt. De verbindingsaanvraag wordt genegeerd als deze aan geen van beide beleidsinstellingen voldoet.

NPS as a RADIUS server with remote accounting servers. In dit voorbeeld wordt geen accounting uitgevoerd op de lokale NPS-server en is het standaardbeleid voor verbindingsaanvragen aangepast, zodat RADIUS-accountingberichten worden doorgestuurd naar een NPS-server of andere RADIUS-server in een externe RADIUS-servergroep. Verificatie- en autorisatieberichten worden in tegenstelling tot accountingberichten niet doorgestuurd. Deze functies worden door de lokale NPS-server uitgevoerd voor het lokale domein en alle vertrouwde domeinen.

NPS with remote RADIUS to Windows user mapping. In dit voorbeeld heeft NPS de rol van RADIUS-server en RADIUS-proxy voor elke afzonderlijke verbindingsaanvraag. Dit gebeurt door de verificatieaanvraag naar een externe RADIUS-server te verzenden en de autorisatie uit te voeren op basis van een lokaal Windows-gebruikersaccount. In deze configuratie moet het kenmerk Gebruikerskoppeling tussen externe RADIUS-server en Windows worden ingesteld als voorwaarde voor het beleid voor verbindingsaanvragen. (Er moet bovendien op de RADIUS-server een lokaal gebruikersaccount worden gemaakt met dezelfde naam als het externe gebruikersaccount waarmee de verificatie op de externe RADIUS-server wordt uitgevoerd.)