При развертывании беспроводного или проводного доступа по стандарту 802.1X с использованием сервера политики сети в качестве RADIUS-сервера необходимо выполнить следующие действия:
-
Установить и настроить серверы доступа к сети в качестве RADIUS-клиентов.
-
Развернуть компоненты для методов проверки подлинности.
-
Настроить сервер политики сети в качестве RADIUS-сервера.
Установка и настройка серверов доступа к сети (RADIUS-клиентов)
Чтобы развернуть беспроводной доступ на базе порта 802.1X, необходимо установить и настроить точки беспроводного доступа. Чтобы развернуть кабельный доступ на базе порта 802.1X, необходимо установить и настроить коммутаторы с проверкой подлинности на базе порта 802.1X.
Важно! | |
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
В любом случае эти серверы доступа к сети должны отвечать следующим требованиям:
-
Поддержка стандарта IEEE для проверки подлинности 802.1X.
-
Поддержка проверки подлинности RADIUS и RADIUS-учета.
При использовании приложений выставления счетов или учета, для которых требуется корреляция сеансов, должны соблюдаться следующие требования:
-
Поддержка атрибута Class в соответствии с документом IETF RFC 2865 «Протокол RADIUS» (документ может быть на английском языке) с целью разрешить корреляцию сеансов работы для записей проверки подлинности RADIUS и RADIUS-учета. Чтобы обеспечить корреляцию сеансов, при настройке RADIUS-учета на сервере политики сети, выступающем в качестве сервера или прокси, необходимо включить запись в журнал всех данных учета, которые разрешают приложениям (таким как приложения выставления счетов) запрашивать базу данных, осуществлять корреляцию связанных полей и возвращать в результатах запроса объединенное представление каждого из сеансов. Как минимум, чтобы обеспечить корреляцию сеансов работы, необходимо вести журнал по следующим данным учета на сервере политики сети: Атрибуты NAS-IP-Address, NAS-Identifier (требуется регистрировать как атрибут NAS-IP-Address, так и атрибут NAS-Identifier, поскольку сервер доступа может отправлять любой из этих атрибутов), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port и Event-Timestamp.
-
Поддержка промежуточных запросов учета, периодически отправляемых некоторыми серверами доступа к сети в ходе сеанса работы пользователя, которые могут заноситься в журнал. Этот тип запроса может использоваться в том случае, если для RADIUS-атрибута Acct-Interim-Interval в профиле удаленного доступа на сервере политики сети настроена поддержка периодических запросов. Если необходимо заносить промежуточные запросы в журнал на сервере политики сети, сервер доступа к сети должен поддерживать использование промежуточных запросов учета.
Если используются виртуальные локальные сети, серверы доступа к сети должны поддерживать виртуальные локальные сети.
Для сред глобальной сети серверы доступа к сети должны обеспечивать такие функции, как:
-
Поддержка динамической оценки времени ожидания до отключения передачи или экспоненциального отката для обработки перегрузки и задержек в среде глобальной сети.
В дополнение к этому есть возможности фильтрации, которые должны поддерживать серверы доступа к сети с целью обеспечить повышенную защиту сети. К этим возможностям фильтрации относятся следующие:
-
DHCP-фильтрация. Серверы доступа к сети должны выполнять фильтрацию по IP-портам с целью предотвратить передачу сообщений DHCP-вещания, если клиентский компьютер является DHCP-сервером. Серверы доступа к сети должны блокировать отправку клиентами в сеть IP-пакетов с порта 68.
-
DNS-фильтрация. Серверы доступа к сети должны выполнять фильтрацию по IP-портам с целью предотвратить работу клиентов в качестве DNS-сервера. Серверы доступа к сети должны блокировать отправку клиентами в сеть IP-пакетов с порта 53.
При развертывании точек беспроводного доступа рекомендуется обеспечить поддержку протокола WPA. Протокол WPA поддерживается в Windows Vista® и Windows XP; с пакетом обновлений 2. Чтобы развернуть WPA, также используются беспроводные сетевые платы с поддержкой WPA.
Развертывание компонентов для методов проверки подлинности
Для беспроводного и кабельного доступа на базе порта 802.1X можно использовать следующие методы проверки подлинности:
-
Протокол EAP в сочетании с протоколом TLS (такой метод носит название EAP-TLS).
-
Протокол PEAP в сочетании с протоколом MS-CHAP v2 (такой метод носит название PEAP-MS-CHAP v2).
-
Протокол PEAP в сочетании с протоколом EAP-TLS (такой метод носит название PEAP-TLS).
При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт-карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт.
При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign.
Дополнительные сведения см. в разделах Обзор протокола EAP и Общие сведения о протоколе PEAP.
Настройка сервера политики сети в качестве RADIUS-сервера.
При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет.
Настройка RADIUS-клиентов
Настройка RADIUS-клиентов выполняется в два этапа:
-
Настройка физического RADIUS-клиента, такого как точка беспроводного доступа или коммутатор с проверкой подлинности, путем указания сведений, которые позволят серверу доступа к сети взаимодействовать с серверами политики сети. К таким сведениям относится настройка IP-адреса сервера политики сети и общего секрета в интерфейсе пользователя точки доступа или коммутатора.
-
Добавление нового RADIUS-клиента на сервере политики сети. На сервере политики сети следует добавить в качестве RADIUS-клиента каждую точку доступа или коммутатор с проверкой подлинности. На сервере политики сети можно указать понятное имя для каждого RADIUS-клиента, а также IP-адрес этого RADIUS-клиента и общий секрет.
Дополнительные сведения см. в разделе Добавление RADIUS-клиента.
Настройка политик сети
Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться к сети.
Дополнительные сведения см. в разделе Сетевые политики.
Настройка RADIUS-учета
RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере.
Дополнительные сведения см. в разделе RADIUS-учет.