Эта процедура предназначена для добавления сервера доступа к сети в качестве RADIUS-клиента в оснастке сервера политики сети консоли управления (MMC).

При настройке сервера доступа к сети в качестве RADIUS-клиента в оснастке сервера политики сети консоли управления (MMC) этот RADIUS-клиент перенаправляет запросы на подключение от клиентов доступа на сервер политики сети для выполнения проверки подлинности, авторизации и учета.

Важно!

Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети.

Помимо настройки нового RADIUS-клиента необходимо также настроить сервер доступа к сети таким образом, чтобы он мог взаимодействовать с сервером политики сети. Дополнительные сведения см. в документации производителя сервера доступа к сети.

Чтобы настроить нового RADIUS-клиента на сервере политики сети, необходимо выполнить мастер создания RADIUS-клиентов. Ниже указаны действия, которые требуется выполнить в мастере создания RADIUS-клиентов:

  • Если сервер доступа к сети поддерживает использование атрибута Message-Authenticator (также называемого атрибутом подписи), в окне мастера создания RADIUS-клиентов выберите параметр Запрос должен содержать атрибут проверки подлинности сообщения. Если сервер доступа к сети не поддерживает атрибут Message-Authenticator, не следует выбирать этот параметр. Включение атрибута Message-Authenticator обеспечивает более высокую безопасность, если в сетевых политиках в качестве методов проверки подлинности указаны методы PAP, CHAP, MS-CHAP и MS-CHAP v2. Протокол EAP предусматривает использование атрибута Message-Authenticator по умолчанию; при использовании этого метода нет необходимости включать данный атрибут.

  • Если используются политики сети для конкретных серверов доступа к сети (например, политика сети содержит атрибуты поставщика), выберите параметр Клиент-вендор, а затем выберите название производителя сервера доступа к сети. Если название производителя сервера доступа к сети неизвестно или отсутствует в списке, выберите параметр RADIUS Standard.

Примечание

Если сервер политики сети получает запрос на подключение от RADIUS-прокси, он не может определить производителя сервера доступа к сети, инициировавшего данный запрос. Это может привести к проблемам, если планируется использовать условия политики доступа к сети, основанные на специфике поставщика клиентского компьютера в сети, где по меньшей мере один RADIUS-клиент выступает в качестве RADIUS-прокси. В данном случае запросы на подключение, перенаправляемые RADIUS-прокси на сервер политики сети, могут не соответствовать ни одной из политик сети, что приведет к отказу в доступе для всех запросов на подключение. По этой причине при использовании RADIUS-прокси необходимо настроить как минимум одну политику сети, не основанную на атрибутах конкретных серверов доступа к сети, например, на атрибуте поставщика.

Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав.

Добавление нового RADIUS-клиента
  1. Откройте оснастку сервера политики сети в консоли управления (MMC) и дважды щелкните элемент Клиенты и серверы RADIUS.

  2. Щелкните правой кнопкой мыши значение RADIUS-клиенты и выберите команду Новый RADIUS-клиент.

  3. Выполните нужные действия в мастере создания RADIUS-клиентов


Содержание