Principer för anslutningsbegäran är villkorsuppsättningar och inställningar som tillåter nätverksadministratörer att ange de RADIUS-servrar som ska utföra autentisering och auktorisering av de anslutningsbegäranden som servern som kör NPS (Network Policy Server) tar emot från RADIUS-klienter. Principer för anslutningsbegäran kan konfigureras så att de anger vilka RADIUS-servrar som används för RADIUS-redovisning.

Viktigt!

Om du distribuerar NAP (Network Access Protection) med den tvingande VPN- eller 802.1X-metoden och PEAP-autentisering måste du konfigurera PEAP-autentisering i principen för anslutningsbegäran även om anslutningsförfrågningarna bearbetas lokalt.

Du kan skapa principer för anslutningsbegäran så att vissa RADIUS-anslutningsbegäranden som skickas från RADIUS-klienter bearbetas lokalt (NPS används som en RADIUS-server) och andra typer av meddelanden vidarebefordras till en annan RADIUS-server (NPS används som en RADIUS-proxy).

Med principer för anslutningsbegäran kan du använda NPS som en RADIUS-server eller som en RADIUS-proxy, baserat på t.ex. följande faktorer:

  • Tid på dagen och veckodag

  • Sfärnamnet i anslutningsbegäran

  • Typen av anslutning som begärs

  • RADIUS-klientens IP-adress

RADIUS-åtkomstbegäranden bearbetas eller vidarebefordras bara av NPS om det inkommande meddelandets inställningar stämmer med åtminstone en av principerna för anslutningsbegäran som konfigurerats på nätverkspolicyservern. Om principinställningarna stämmer överens och det krävs enligt principen att NPS-servern bearbetar meddelandet agerar NPS som en RADIUS-server och autentiserar och auktoriserar anslutningsbegäran. Om principinställningarna stämmer överens och det krävs enligt principen att NPS-servern vidarebefordrar meddelandet agerar NPS som en RADIUS-proxy och vidarebefordrar anslutningsbegäran till en fjärr-RADIUS-server för bearbetning.

Om inställningarna för en inkommande RADIUS-åtkomstbegäran inte stämmer överens med minst en princip för anslutningsbegäran skickas ett åtkomstnekande till RADIUS-klienten och användaren eller datorn som försöker ansluta till nätverket nekas åtkomst.

Exempel på konfigurationer

I följande exempel på konfigurationer visas hur principer för anslutningsbegäran kan användas.

  • NPS som RADIUS-server

    Standardprincipen för anslutningsbegäran är den enda konfigurerade principen. I det här exemplet är NPS konfigurerat som en RADIUS-server och alla anslutningsbegäranden bearbetas av den lokala NPS-servern. NPS-servern kan autentisera och auktorisera användare vars konton finns i samma domän som NPS-servern och i betrodda domäner.

  • NPS som RADIUS-proxy

    Standardprincipen för anslutningsbegäran tas bort och två nya principer för anslutningsbegäran skapas som vidarebefordrar begäranden till två olika domäner. I det här exemplet är NPS konfigurerat som en RADIUS-proxy. NPS bearbetar inte några anslutningsbegäranden på den lokala servern. Den vidarebefordrar i stället anslutningsbegäranden till NPS eller andra RADIUS-servrar som är konfigurerade som medlemmar i fjärr-RADIUS-servergrupper.

  • NPS som både RADIUS-server och RADIUS-proxy

    Förutom standardprincipen för anslutningsbegäran skapas en ny princip för anslutningsbegäranden som vidarebefordrar anslutningsbegäranden till en NPS-server eller annan RADIUS-server i en icke betrodd domän. I det här exemplet visas proxyprincipen först i listan över principer. Om anslutningsbegäran stämmer överens med proxyprincipen vidarebefordras anslutningsbegäran till RADIUS-servern i fjärr-RADIUS-servergruppen. Om anslutningsbegäran inte stämmer överens med proxyprincipen men stämmer med standardprincipen för anslutningsbegäran bearbetar NPS anslutningsbegäran på den lokala servern. Om anslutningsbegäran inte stämmer med någon av principerna avvisas den.

  • NPS som RADIUS-server med fjärredovisningsservrar

    I det här exemplet är den lokala NPS-servern inte konfigurerad så att den utför redovisning, och standardprincipen för anslutningsbegäran ändras så att RADIUS-redovisningsmeddelanden vidarebefordras till en NPS-server eller annan RADIUS-server i en fjärr-RADIUS-servergrupp. Även om redovisningsmeddelandena skickas, skickas inte autentiserings- och auktoriseringsmeddelandena. Den lokala NPS-servern utför funktionerna för den lokala domänen och alla betrodda domäner.

  • NPS med mappning av fjärr-RADIUS till Windows-användare

    I det här exemplet fungerar NPS som både RADIUS-server och RADIUS-proxy för varje enskild anslutningsbegäran genom att vidarebefordra autentiseringsbegäran till en fjärr-RADIUS-server samtidigt som ett lokalt Windows-användarkonto används för auktorisering. Den här konfigurationen implementeras genom att konfigurera attributet Mappning av fjärr-RADIUS till Windows-användare som ett villkor i principen för anslutningsbegäran. (Dessutom måste ett användarkonto skapas lokalt med samma namn som användarkontot som RADIUS-serverns autentisering sker mot.)

Villkor

Villkor i principen för anslutningsbegäran är ett eller flera RADIUS-attribut som jämförs med attributen i en inkommande RADIUS-åtkomstbegäran. Om det finns flera villkor måste alla villkoren i anslutningsbegäran och i principen för anslutningsbegäran stämma överens för att principen ska verkställas av NPS.

Följande är de villkorsattribut som du kan konfigurera i principer för anslutningsbegäran:

Attributgruppen Anslutningsegenskaper innehåller följande attribut:

  • Ramprotokoll. Används för att ange typ av ram för inkommande paket, t.ex. PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Frame Relay och X.25.

  • Typ av tjänst. Används för att ange vilken typ av tjänst som begärs, t.ex. med ram (bl.a. PPP-anslutningar) och inloggning (bl.a. Telnet-anslutningar). Mer information om tjänsttyper i RADIUS finns i RFC 2865 "Remote Authentication Dial-in User Service (RADIUS)."

  • Tunneltyp. Används för att ange vilken typ av tunnel som skapas av klienten som skickat begäran. Tunneltyper är t.ex. PPTP (Point-to-Point Tunneling Protocol) och L2TP (Layer Two Tunneling Protocol).

Attributgruppen Dag- och tidsbegränsningar innehåller attributet Dag- och tidsbegränsningar. Med det här attributet kan du ange veckodag och tid på dagen då anslutningsförsöket görs. Dag och tid är relativt till dag och tid för NPS-servern.

Attributgruppen Gateway innehåller följande attribut:

  • ID för uppringd server. Används för att ange telefonnumret till nätverksåtkomstservern. Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger riktnummer.

  • Nätverksåtkomstserverns identifierare. Används för att ange namnet på nätverksåtkomstservern. Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger nätverksåtkomstserverns identifierare.

  • NAS IPv4-adress. Används för att ange IPv4-adressen (Internet Protocol version 4) till nätverksåtkomstservern (RADIUS-klienten). Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger IP-nätverk.

  • NAS IPv6-adress. Används för att ange IPv6-adressen (Internet Protocol version 6) till nätverksåtkomstservern (RADIUS-klienten). Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger IP-nätverk.

  • Nätverksåtkomstserverns porttyp. Används för att ange vilken mediatyp åtkomstklienten ska använda, t.ex. analoga telefonlinjer (så kallad async), ISDN, tunnlar, virtuella privata nätverk (VPN), trådlösa nätverk enligt IEEE 802.11 eller Ethernet-växlar.

Attributgruppen Datoridentitet innehåller attributet Datoridentitet. Med det här attributet kan du ange vilken metod som används för att identifiera klienter i principen.

Attributgruppen Egenskaper för RADIUS-klient innehåller följande attribut:

  • ID för uppringande klient. Används för att ange telefonnumret som uppringaren (åtkomstklienten) ska använda. Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger riktnummer.

  • Eget namn för klient. Används för att ange namnet på den RADIUS-klientdator som begär autentisering. Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger klientnamn.

  • Klientens IPv4-adress. Används för att ange IPv4-adressen till nätverksåtkomstservern (RADIUS-klienten). Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger IP-nätverk.

  • Klientens IPv6-adress. Används för att ange IPv6-adressen till nätverksåtkomstservern (RADIUS-klienten). Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning när du anger IP-nätverk.

  • Klientleverantör. Används för att ange leverantören av den nätverksåtkomstserver som begär autentisering. En dator som kör tjänsten Routning och fjärråtkomst är Microsofts NAS-tillverkare. Du kan använda det här attributet om du vill konfigurera olika principer för olika NAS-tillverkare. Det här attributet är en teckensträng. Du kan använda syntax för mönstermatchning.

Attributgruppen Användarnamn innehåller attributet Användarnamn. Med det här attributet kan du ange ett användarnamn, eller en del av ett användarnamn, som måste stämma överens med användarnamnet som åtkomstklienten angett i RADIUS-meddelandet. Attributet är en teckensträng som oftast innehåller ett sfärnamn och ett namn på ett användarkonto. Du kan använda syntax för mönstermatchning när du anger användarnamn.

Inställningar

Inställningar för principen för anslutningsbegäran är en uppsättning egenskaper som tillämpas på inkommande RADIUS-meddelanden. Inställningarna består av följande grupper egenskaper:

  • Autentisering

  • Redovisning

  • Modifiering av attribut

  • Avancerat

Autentisering

Med den här inställningen kan du åsidosätta autentiseringsinställningarna som konfigurerats i alla nätverksprinciper och du kan bestämma vilka metoder och typer för autentisering som krävs för att ansluta till nätverket.

Viktigt!

Om du konfigurerar en autentiseringsmetod i principen för anslutningsbegäran som är mindre säker än autentiseringsmetoden du konfigurerar i nätverksprincipen åsidosätts den säkrare autentiseringsmetoden. Om du till exempel har en nätverksprincip som kräver användning av PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), som är en lösenordsbaserad autentiseringsmetod för säkra trådlösa anslutningar, och sedan också konfigurerar en princip för anslutningsbegäranden som tillåter oautentiserad åtkomst, behöver inga klienter autentisera med PEAP-MS-CHAP v2. I det här exemplet får alla klienter som ansluter till nätverket oautentiserad åtkomst.

Redovisning

Med den här inställningen kan du konfigurera principen för anslutningsbegäran så att den vidarebefordrar redovisningsinformation till en NPS- eller annan RADIUS-server i en fjärr-RADIUS-servergrupp, som därmed utför redovisning.

OBS

Om du har flera RADIUS-servrar och vill lagra redovisningsinformation för alla servrar på en central RADIUS-redovisningsdatabas kan du vidarebefordra redovisningsdata från alla servrar till en NPS-server eller en annan RADIUS-server, som är utsedd till redovisningsserver, genom att använda inställningen redovisning i principen för anslutningsbegäran i en princip på varje RADIUS-server.

Inställningarna för redovisning i principen för anslutningsbegäran fungerar oberoende av den lokala NPS-serverns konfiguration för redovisning. Om du konfigurerar den lokala NPS-servern så att den loggar RADIUS-redovisningsinformation till en lokal fil eller till en Microsoft® SQL Server™-databas, så gör den det oavsett om du konfigurerar en princip för anslutningsbegäran så att den vidarebefordrar redovisningsmeddelanden till en fjärr-RADIUS-servergrupp.

Om du vill logga redovisningsinformation på distans men inte lokalt måste du konfigurera den lokala NPS-servern så att den inte utför redovisning, och samtidigt konfigurera redovisning i en princip för anslutningsbegäran så att den vidarebefordrar redovisningsdata till en fjärr-RADIUS-servergrupp.

Modifiering av attribut

Du kan konfigurera en uppsättning regler för sök och ersätt som modifierar textsträngarna i ett av följande attribut:

  • Användarnamn

  • ID för uppringd server

  • ID för uppringande klient

Bearbetning enligt sök och ersätt-regeln sker för ett av föregående attribut innan inställningarna för autentisering och redovisning börjar gälla för RADIUS-meddelandet. Regler för modifiering av attribut gäller endast ett attribut. Du kan inte konfigurera regler för modifiering av attribut för varje attribut. Dessutom är listan över attribut som du kan modifiera statisk, och du kan alltså inte lägga till fler attribut till listan.

OBS

Om du använder autentiseringsprotokollet MS-CHAP v2 kan du inte manipulera attributet Användarnamn om principen för anslutningsbegäran används till att vidarebefordra RADIUS-meddelandet. Det enda undantaget är om du använder tecknet omvänt snedstreck (\) och modifieringen bara påverkar informationen till vänster om det. Omvänt snedstreck används oftast för att ange ett domännamn (informationen till vänster om tecknet) och ett namn på ett användarkonto inom domänen (informationen till höger om tecknet). I det här fallet tillåts bara regler för modifiering av attribut som ändrar eller byter ut domännamnet.

Vidarebefordran av begäranden

Du kan ställa in följande alternativ för vidarebefordran som används för RADIUS-åtkomstbegäranden:

Autentisera begäranden på den här servern. Med den här inställningen autentiserar NPS en anslutningsbegäran med en Windows NT 4.0-domän, Active Directory eller den lokala Security Accounts Manager-databasen över användarkonton. I den här inställningen anges också att den matchande nätverksprincipen som konfigurerats i NPS används av NPS tillsammans med användarkontots fjärranslutningsegenskaper för att auktorisera anslutningsbegäran. I det här fallet konfigureras NPS-servern så att den fungerar som en RADIUS-server.

Vidarebefordra autentiseringsbegäranden till följande fjärr-RADIUS-servergrupp. Med den här inställningen vidarebefordrar NPS anslutningsbegäranden till den fjärr-RADIUS-servergrupp som du anger. Om NPS-servern mottar ett giltigt åtkomstaccepterande som motsvarar åtkomstbegäran anses anslutningsförsöket vara autentiserat och auktoriserat. I det här fallet agerar NPS-servern som en RADIUS-proxy.

Acceptera användare utan att kontrollera autentiseringsuppgifter. Med den här inställningen verifierar inte NPS identiteten på den användare som försöker ansluta till nätverket och NPS försöker inte verifiera att användaren eller datorn har rättigheter att ansluta till nätverket. När NPS konfigureras till att tillåta oautentiserad åtkomst och det mottar en anslutningsbegäran skickar NPS omedelbart ett åtkomstaccepterande till RADIUS-klienten och användaren eller datorn får nätverksåtkomst. Den här inställningen används för vissa typer av obligatoriska tunnlar där en tunnel används för åtkomstklienten innan användarens autentiseringsuppgifter autentiseras.

OBS

Det här alternativet för autentisering kan inte användas om åtkomstklientens autentiseringsprotokoll är MS-CHAP v2 eller EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), som båda har ömsesidig autentisering. Ömsesidig autentisering innebär att åtkomstklienten bevisar att den är en giltig åtkomstklient för autentiseringsservern (NPS-servern), och autentiseringsservern bevisar att den är en giltig autentiseringsserver för åtkomstklienten. När det här autentiseringsalternativet används returneras meddelandet om åtkomstaccepterande. Autentiseringsservern verifierar dock inte tillbaka till åtkomstklienten, och den ömsesidiga autentiseringen misslyckas.

Avancerat

Du kan ställa in avancerade egenskaper som anger vilka uppsättningar RADIUS-attribut som:

  • Läggs till RADIUS-svarsmeddelandet när NPS-servern används som en autentiserings- eller redovisningsserver i RADIUS.

    När attribut anges i både en nätverksprincip och principen för anslutningsbegäran är attributen som skickas i RADIUS-svarsmeddelandet en kombination av båda uppsättningarna av attribut.

  • Läggs till RADIUS-meddelandet när NPS-servern används som en autentiserings- eller redovisningsproxy för RADIUS. Om attributet redan existerar i meddelandet som vidarebefordras ersätts det med värdet på attributet som anges i principen för anslutningsbegäran.

Vissa attribut som går att konfigurera på fliken Inställningar för principen för anslutningsbegäran, i kategorin Avancerat, har dessutom speciella funktioner. Till exempel kan du konfigurera attributet Mappning av fjärr-RADIUS till Windows-användare om du vill dela autentiseringen och auktoriseringen för en anslutningsbegäran mellan två databaser för användarkonton.

Attributet Mappning av fjärr-RADIUS till Windows-användare anger att Windows-auktorisering sker för användare som autentiseras av en fjärr-RADIUS-server. En fjärr-RADIUS-server autentiserar alltså mot ett användarkonto i en fjärrdatabas för användarkonton, men den lokala NPS-servern auktoriserar anslutningsbegäran mot ett användarkonto i en lokal databas för användarkonton. Det här är användbart om du vill ge besökare åtkomst till nätverket.

Besökare från partnerorganisationer kan t.ex. autentiseras av sin partnerorganisations RADIUS-server, och kan sedan komma åt ett gästnätverk (LAN) på ditt nätverk genom att använda ett Windows-användarkonto i din organisation.

Andra attribut med specialiserade funktioner är:

  • MS-Quarantine-IPFilter och MS-Quarantine-Session-Timeout. Attributen används när du distribuerar Network Access Quarantine Control (NAQC) med din distribution av Routning och fjärråtkomst i VPN.

  • Passport-User-Mapping-UPN-Suffix. Med det här attributet kan du autentisera anslutningsbegäranden med autentiseringsuppgifter för användarkonton för Windows Live™ ID.

  • Tunnel-Tag. Med det här attributet anges vilket VLAN ID-nummer som anslutningen ska tilldelas av nätverksåtkomstservern när du distribuerar VLAN (virtual local area networks).

Standardprincip för anslutningsbegäran

En standardprincip för anslutningbegäranden skapas när du installerar NPS. Principen har följande konfiguration:

  • Autentisering konfigureras inte.

  • Redovisning konfigureras inte till att vidarebefordra redovisningsinformation till en fjärr-RADIUS-servergrupp.

  • Attribut konfigureras inte med regler för modifiering av attribut som innebär att anslutningsbegäranden vidarebefordras till fjärr-RADIUS-servergrupper.

  • Vidarebefordrar begäran konfigureras så att anslutningsbegäranden autentiseras och auktoriseras på den lokala NPS-servern.

  • Avancerade attribut konfigureras inte.

Standardprincipen för anslutningsbegäran innebär att NPS används som en RADIUS-server. Om du vill konfigurera en server som kör NPS så att den fungerar som en RADIUS-proxy måste du också konfigurera en fjärr-RADIUS-servergrupp. Du kan skapa en ny fjärr-RADIUS-servergrupp samtidigt som du skapar en ny princip för anslutningsbegäran med guiden Ny princip för anslutningsbegäran. Du kan antingen ta bort standardprincipen för anslutningsbegäran eller verifiera att standardprincipen är den senast bearbetade principen.

OBS

Om NPS och tjänsten Routning och fjärråtkomst är installerade på samma dator och tjänsten Routning och fjärråtkomst konfigureras för Windows-autentisering och -redovisning kan autentiseringsbegäranden och redovisningsbegäranden från Routning och fjärråtkomst vidarebefordras till en RADIUS-server. Det här kan ske när autentiseringsbegäranden och redovisningsbegäranden stämmer överens med en princip för anslutningsbegäran som är konfigurerad så att den vidarebefordrar dem till en fjärr-RADIUS-servergrupp.


Innehåll