Сервер доступа к сети является устройством, которое предоставляет доступ определенного уровня к крупной сети. Сервер доступа к сети, в котором используется инфраструктура RADIUS, также является RADIUS-клиентом и направляет на RADIUS-сервер запросы на подключение и сообщения учета в ходе проверки подлинности, авторизации и учета.
Важно! | |
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
Чтобы развернуть сервер политики сети в качестве RADIUS-сервера, RADIUS-прокси или сервера политики защиты доступа к сети, необходимо настроить на этом сервере RADIUS-клиентов.
Примеры RADIUS-клиентов
В качестве примеров сервера доступа к сети можно назвать следующие серверы:
-
Серверы сетевого доступа, которые обеспечивают удаленный доступ к корпоративной сети или Интернету. Примером такого сервера является компьютер под управлением ОС Windows Server® 2008, на котором выполняется служба маршрутизации и удаленного доступа и который обеспечивает традиционный удаленный доступ либо виртуальную частную сеть для внутренней сети организации.
-
Точки беспроводного доступа, которые обеспечивают доступ к корпоративной сети на физическом уровне с использованием беспроводных технологий приема и передачи.
-
Коммутаторы, которые обеспечивают доступ к корпоративной сети на физическом уровне с использованием традиционных технологий локальной сети, таких как Ethernet.
-
RADIUS-прокси, которые перенаправляют запросы на подключение на RADIUS-серверы, входящие в группу удаленных RADIUS-серверов, настроенную на RADIUS-прокси.
RADIUS-сообщения запроса доступа
RADIUS-клиенты либо создают RADIUS-сообщения запроса доступа и направляют их RADIUS-прокси или RADIUS-серверу, либо направляют на RADIUS-сервер сообщения запроса доступа, полученные ими от другого RADIUS-клиента.
RADIUS-клиенты не обрабатывают сообщения запроса доступа с использованием проверки подлинности, авторизации и учета. Эти функции выполняются только RADIUS-серверами.
Тем не менее, сервер политики сети можно настроить для работы одновременно в качестве RADIUS-прокси и RADIUS-сервера, чтобы он обрабатывал некоторые сообщения запроса доступа и перенаправлял другие сообщения.
Сервер политики сети в качестве RADIUS-клиента
Сервер политики сети выступает в качестве RADIUS-клиента в том случае, если он настроен как RADIUS-прокси и перенаправляет сообщения запроса доступа на обработку другими RADIUS-серверами. При использовании сервера политики сети в качестве RADIUS-прокси требуется выполнить следующие общие действия по настройке:
-
На серверах доступа к сети, таких как точки беспроводного доступа и VPN-серверы, требуется указать IP-адрес сервера политики сети, выступающего в качестве прокси, как адрес назначенного RADIUS-сервера или сервера проверки подлинности. Это позволяет серверам доступа к сети, которые создают сообщения запроса доступа на основе сведений, полученных от клиентов доступа, перенаправлять сообщения на данный сервер политики сети.
-
Сервер политики, играющий роль прокси, настраивается путем добавления каждого из серверов доступа к сети в качестве RADIUS-клиента. Это действие позволяет серверу политики сети получать сообщения от серверов доступа к сети и взаимодействовать с ними с использованием проверки подлинности. В дополнение к этому требуется настроить на сервере политики сети политики запросов на подключение, которые будут определять, какие сообщения запроса доступа должны перенаправляться на один или несколько RADIUS-серверов. В этих политиках также указывается группа удаленных RADIUS-серверов, в которую сервер политики сети должен направлять сообщения, полученные от серверов доступа к сети.
-
На серверах политики сети или других RADIUS-серверах группы удаленных RADIUS-серверов, которая настроена на сервере политики сети, выступающем в качестве прокси, настраивается получение сообщений от этого сервера политики сети. Данное действие выполняется путем настройки сервера политики серверов, действующего как прокси, в качестве RADIUS-клиента.
Свойства RADIUS-клиента
При добавлении RADIUS-клиента в конфигурацию сервера политики сети с помощью оснастки сервера политики сети или с помощью команд netsh для сервера политики сети, на данном сервере настраивается получение RADIUS-сообщений запроса доступа от сервера доступа к сети или от RADIUS-прокси.
При настройке RADIUS-клиента на сервере политики сети можно указать значения следующих свойств:
-
Имя клиента
Понятное имя RADIUS-клиента, которое упрощает работу с ним в оснастке сервера политики сети или в командах netsh для сервера политики сети.
-
IP-адрес
IPv4-адрес DNS-имени RADIUS-клиента.
-
Клиент-поставщик
Поставщик данного RADIUS-клиента. Для свойства "Клиент-поставщик" также можно использовать стандартное значение RADIUS.
-
Общий секрет
Текстовая строка, которая используется в качестве пароля при взаимодействии RADIUS-клиентов, RADIUS-серверов и RADIUS-прокси. Если используется атрибут проверки подлинности сообщения, общий секрет также служит в качестве ключа для шифрования RADIUS-сообщений. Эта строка должна быть настроена в RADIUS-клиенте и в оснастке сервера политики сети.
-
Атрибут проверки подлинности сообщения
Этот атрибут описан в документе RFC 2869 под названием "Расширения RADIUS"», он представляет собой MD5-хэш всего RADIUS-сообщения. При наличии проверки подлинности RADIUS-сообщения оно проверяется. Если проверка этого RADIUS-сообщения завершает неудачей, сообщение отклоняется. Если в соответствии с параметрами клиента атрибут проверки подлинности сообщения должен присутствовать, однако он отсутствует, данное RADIUS-сообщение отклоняется. Рекомендуется использовать атрибут проверки подлинности сообщения.
Примечание Атрибут проверки подлинности является обязательным и включен по умолчанию при использовании проверки подлинности по протоколу EAP.
-
На клиенте поддерживается защита доступа к сети
Указание на то, что данный RADIUS-клиент поддерживает защиту доступа к сети, и сервер политики сети отправляет атрибуты защиты доступа к сети для RADIUS-клиента в сообщении разрешения доступа.