Serwer zasad sieciowych (NPS, Network Policy Server) może być używany jako serwer proxy usługi RADIUS umożliwiający routing komunikatów usługi RADIUS między klientami usługi RADIUS (serwerami dostępu) a serwerami usługi RADIUS, które przeprowadzają uwierzytelnianie użytkowników, autoryzację i ewidencjonowanie prób połączeń. Serwer NPS używany jako serwer proxy usługi RADIUS jest centralnym punktem przełączania lub routingu, przez który przepływają komunikaty usługi RADIUS dotyczące dostępu i ewidencjonowania aktywności. Serwer NPS rejestruje informacje o przekazywanych komunikatach w dzienniku ewidencjonowania aktywności.

Na poniższej ilustracji pokazano serwer NPS jako serwer proxy usługi RADIUS między klientami usługi RADIUS (serwerami dostępu) a serwerami usługi RADIUS lub innym serwerem proxy usługi RADIUS.

NPS jako serwer proxy RADIUS

Gdy serwer NPS jest używany jako serwer proxy usługi RADIUS między klientem usługi RADIUS a serwerem usługi RADIUS, komunikaty usługi RADIUS dotyczące prób połączenia dostępu do sieci są przekazywane w następujący sposób:

  1. Serwery dostępu, na przykład serwery telefonicznego dostępu do sieci, serwery wirtualnej sieci prywatnej (VPN, virtual private network) i bezprzewodowe punkty dostępu, odbierają żądania połączenia od klientów dostępu.

  2. Serwer dostępu, skonfigurowany na potrzeby używania usługi RADIUS jako protokołu uwierzytelniania, autoryzowania i ewidencjonowania aktywności, tworzy komunikat żądania dostępu i wysyła go do serwera NPS używanego jako serwer proxy NPS usługi RADIUS.

  3. Serwer proxy NPS usługi RADIUS odbiera komunikat żądania dostępu i na podstawie skonfigurowanych lokalnie zasad żądania połączenia określa, dokąd przesłać dalej komunikat żądania dostępu.

  4. Serwer proxy NPS usługi RADIUS przesyła komunikat żądania dostępu dalej do odpowiedniego serwera usługi RADIUS.

  5. Serwer usługi RADIUS ocenia komunikat żądania dostępu.

  6. W razie potrzeby serwer usługi RADIUS wysyła komunikat sprawdzania dostępu do serwera proxy NPS usługi RADIUS, skąd jest on przesyłany dalej do serwera dostępu. Serwer dostępu przetwarza wyzwanie za pomocą klienta dostępu i wysyła zaktualizowane żądanie dostępu do serwera proxy RADIUS NPS, skąd jest ono przesyłane dalej do serwera usługi RADIUS.

  7. Serwer usługi RADIUS uwierzytelnia i autoryzuje próbę połączenia.

  8. Jeśli próba połączenia jest uwierzytelniona i autoryzowana, serwer usługi RADIUS wysyła komunikat udzielania dostępu do serwera proxy NPS usługi RADIUS, skąd jest on przesyłany do serwera dostępu.

    Jeśli próba połączenia nie jest uwierzytelniona lub nie jest autoryzowana, serwer usługi RADIUS wysyła komunikat odmowy dostępu do serwera proxy NPS usługi RADIUS, skąd jest on przesyłany dalej do serwera dostępu.

  9. Serwer dostępu kończy proces łączenia za pomocą klienta dostępu i wysyła komunikat żądania ewidencjonowania aktywności do serwera proxy NPS usługi RADIUS. Serwer proxy NPS usługi RADIUS rejestruje dane ewidencjonowania i przesyła komunikat dalej do serwera usługi RADIUS.

  10. Serwer usługi RADIUS wysyła komunikat odpowiedzi ewidencjonowania aktywności do serwera proxy NPS usługi RADIUS, skąd jest on przesyłany dalej do serwera dostępu.

Serwera NPS można używać jako serwera proxy usługi RADIUS w następujących przypadkach:

  • Użytkownik jest usługodawcą oferującym zlecone zewnętrznie usługi dostępu do sieci (telefonicznego, VPN lub bezprzewodowego) dla wielu klientów. Serwery dostępu do sieci wysyłają żądania połączeń do serwera proxy NPS usługi RADIUS. Na podstawie części nazwy użytkownika będącej nazwą obszaru w żądaniu połączenia serwer proxy NPS usługi RADIUS przesyła żądanie połączenia dalej do serwera usługi RADIUS, który jest obsługiwany przez klienta oraz może uwierzytelnić i autoryzować próbę połączenia.

  • Użytkownik chce udostępnić uwierzytelnianie i autoryzację dla kont użytkowników nienależących do domeny domeny, której elementem członkowskim jest serwer NPS, lub innej domeny mającej dwukierunkowe zaufanie z domeną, której elementem członkowskim jest serwer NPS. Należą do nich konta w domenach niezaufanych, domenach zaufanych jednokierunkowo i w innych lasach. Zamiast konfigurowania serwerów dostępu na potrzeby wysłania żądań połączeń do serwera NPS usługi RADIUS można skonfigurować je tak, aby wysyłały żądania połączeń do serwera proxy NPS usługi RADIUS. Serwer proxy NPS usługi RADIUS używa nazwy obszaru będącej częścią nazwy użytkownika i przesyła żądanie dalej do serwera NPS w prawidłowej domenie lub w prawidłowym lesie. Próby połączeń dotyczące kont użytkowników w jednej domenie lub w jednym lesie mogą być uwierzytelniane na potrzeby serwerów dostępu do sieci w innej domenie lub w innym lesie.

  • Użytkownik chce przeprowadzać uwierzytelnianie i autoryzację przy użyciu bazy danych niebędącej bazą danych kont systemu Windows. W takim przypadku żądania połączeń zgodne z określoną nazwą obszaru są przesyłane dalej do serwera usługi RADIUS, który ma dostęp do innej bazy danych kont użytkowników i danych autoryzacji. Przykładami innych baz danych użytkowników są bazy danych usług NDS (Novell Directory Services) i języka SQL (Structured Query Language).

  • Użytkownik chce przetwarzać dużą liczbę żądań połączeń. W takim przypadku zamiast konfigurowania klientów usługi RADIUS tak, aby podejmowali próby równomiernego rozkładania żądań połączeń i ewidencjonowania aktywności na wiele serwerów usługi RADIUS, można skonfigurować wysyłanie ich żądań połączeń i ewidencjonowania aktywności do serwera proxy NPS usługi RADIUS. Serwer proxy NPS usługi RADIUS dynamicznie równoważy obciążenie żądaniami połączeń i ewidencjonowania aktywności między wieloma serwerami usługi RADIUS, umożliwiając przetworzenie większej liczby klientów usługi RADIUS i zwiększając liczbę uwierzytelnień na sekundę.

  • Użytkownik chce udostępnić uwierzytelnianie i autoryzację usługi RADIUS usługodawcom zewnętrznym i zminimalizować konfigurację zapory intranetowej. Zapora intranetowa znajduje się między siecią obwodową (siecią między intranetem a Internetem) a intranetem. Po umieszczeniu serwera NPS w sieci obwodowej zapora między siecią obwodową a intranetem musi zezwalać na ruch między serwerem NPS a wieloma kontrolerami domeny. Dzięki zastąpieniu serwera NPS serwerem proxy NPS zapora musi zezwalać tylko na ruch usługi RADIUS między serwerem proxy NPS a jednym lub wieloma serwerami NPS w intranecie.


Spis treści