Ağ İlkesi Sunucusu (NPS), bağlantı girişimi için kullanıcı kimlik doğrulaması, yetkilendirme ve hesap oluşturma gerçekleştiren RADIUS sunucular ile RADIUS istemciler erişim sunucuları arasında RADIUS iletilerinin yönlendirilmesini sağlamak üzere bir RADIUS proxy sunucu olarak kullanılabilir. NPS bir RADIUS proxy sunucu olarak kullanıldığında, RADIUS erişim ve hesap iletilerinin gönderildiği merkezi bir anahtar veya yönlendirme noktasıdır. NPS, iletilen iletilerle ilgili bilgileri bir hesap günlüğüne kaydeder.

Aşağıdaki çizimde NPS, RADIUS istemciler (erişim sunucuları( ile RADIUS sunucular veya başka bir RADIUS proxy sunucu arasında bir RADIUS proxy sunucu olarak gösterilmektedir.

RADIUS proxy olarak NPS

NPS bir RADIUS istemci ile bir RADIUS sunucu arasında RADIUS proxy sunucu olarak kullanıldığında, ağ erişim bağlantısı için RADIUS iletileri aşağıdaki yolla iletilir:

  1. Çevirmeli ağ erişim sunucuları, sanal özel ağ (VPN) sunucuları ve kablosuz erişim noktaları gibi erişim sunucuları, bağlantı isteklerini erişim istemcilerinden alır.

  2. Kimlik doğrulama, yetkilendirme ve hesap oluşturma protokolü olarak RADIUS kullanacak biçimde yapılandırılan erişim sunucusu, bir Erişim-İstek iletisi oluşturur ve bu iletiyi NPS RADIUS proxy sunucu olarak kullanılan NPS sunucusuna gönderir.

  3. NPS RADIUS proxy sunucu Erişim-İstek iletisini alır ve yerel olarak yapılandırılmış bağlantı isteği ilkelerine bağlı olarak, Erişim-İstek iletisinin nereye iletileceğini belirler.

  4. NPS RADIUS proxy sunucu, Erişim-İstek iletisini uygun RADIUS sunucuya iletir.

  5. RADIUS sunucu Erişim-İstek iletisini değerlendirir.

  6. Gerekirse, RADIUS sunucu NPS RADIUS proxy sunucuya bir Karşılıklı Erişim iletisi gönderir ve bu ileti erişim sunucusuna iletilir. Erişim sunucusu, erişim istemcisiyle karşılıklı erişimi işler, NPS RADIUS proxy sunucuya güncelleştirilmiş bir Erişim-İstek iletisi gönderir ve bu ileti RADIUS sunucuya iletilir.

  7. RADIUS sunucu bağlantı isteğinin kimlik doğrulamasını ve yetkilendirmesini yapar.

  8. Bağlantı isteğinin hem kimlik doğrulaması hem de yetkilendirmesi yapılırsa, RADIUS sunucu NPS RADIUS proxy sunucuya bir Erişim-İstek iletisi gönderir ve bu ileti erişim sunucusuna iletilir.

    Bağlantı isteğinin kimlik doğrulaması veya yetkilendirmesi yapılmazsa, RADIUS sunucu NPS RADIUS proxy sunucuya bir Erişim-Red iletisi gönderir ve bu ileti erişim sunucusuna iletilir.

  9. Erişim sunucusu bağlantı işlemini erişim istemcisiyle tamamlar ve NPS RADIUS proxy sunucuya bir Hesap-İstek iletisi gönderir. NPS RADIUS proxy sunucu hesap verilerini günlüğe kaydeder ve iletiyi RADIUS sunucuya iletir.

  10. RADIUS sunucu NPS RADIUS proxy sunucuya bir Hesap-Yanıt iletisi gönderir ve bu ileti erişim sunucusuna iletilir.

NPS'yi şu durumlarda bir RADIUS proxy sunucu olarak kullanabilirsiniz:

  • Birden çok müşteriye devredilen çevirmeli, VPN veya kablosuz ağ erişim hizmetleri sunan bir servis sağlayıcısısınız. NAS'leriniz bağlantı isteklerini NPS RADIUS proxy sunucuya göndermektedir. Bağlantı isteğindeki kullanıcı adının bölge bölümüne bağlı olarak, NPS RADIUS proxy sunucu bağlantı isteğini müşteri tarafından sağlanan bir RADIUS sunucuya iletir ve bağlantı isteğinin kimlik doğrulamasını ve yetkilendirmesini yapabilir.

  • NPS sunucusunun üyesi olduğu etki alanının veya NPS sunucusunun üyesi olduğu etki alanıyla çift yönlü bir güven ilişkisi olan başka bir etki alanının üyesi olmayan kullanıcı hesapları için kimlik doğrulama ve yetkilendirme sağlamak isterseniz. Güvenilir olmayan etki alanlarındaki, tek yönlü güvenilen etki alanlarındaki ve diğer ormanlardaki hesaplar da buna dahildir. Erişim sunucularınızı bağlantı isteklerini bir NPS RADIUS sunucuya gönderecek biçimde yapılandırmak yerine, bir NPS RADIUS proxy sunucuya gönderecek biçimde yapılandırabilirsiniz. NPS RADIUS proxy sunucu, kullanıcı adının bölge adı bölümünü kullanır ve isteği doğru etki alanındaki veya ormandaki bir NPS sunucusuna iletir. Bir etki alanındaki veya ormandaki kullanıcı hesapları için bağlantı girişimlerinin, başka bir etki alanındaki veya ormandaki NAS'ler için kimlik doğrulaması yapılabilir.

  • Windows hesabı veritabanı olmayan bir veritabanı kullanarak kimlik doğrulama ve yetkilendirme yapmak istiyorsunuz. Bu durumda, belirtilen bölge adıyla eşleşen bağlantı istekleri, kullanıcı hesapları ve yetkilendirme verileri içeren farklı bir veritabanına erişimi olan bir RADIUS sunucuya iletilir. Diğer kullanıcı veritabanlarına örnek olarak Novell Directory Services (NDS) ve Yapılandırılmış Sorgu Dili (SQL) veritabanları gösterilebilir.

  • Çok sayıda bağlantı isteğini işlemek istiyorsunuz. Bu durumda, RADIUS istemcilerinizi bağlantı ve hesap isteklerini birden çok RADIUS sunucu arasında dengelemeye çalışacak biçimde yapılandırmak yerine, onları bir NPS RADIUS proxy sunucuya gönderecek biçimde yapılandırabilirsiniz. NPS RADIUS proxy sunucu bağlantı ve hesap oluşturma isteklerinin yükünü birden çok RADIUS sunucu arasında dinamik olarak dengeler ve saniye başına işlenen ve kimliği doğrulanan RADIUS istemci sayısını artırır.

  • Dış servis sağlayıcılar için RADIUS kimlik doğrulama ve yetkilendirme yapmak ve intranet güvenlik duvarı yapılandırmasını en aza indirmek istiyorsunuz. Çevre ağınızla (intranetiniz ile Internet arasındaki ağ) intranetiniz arasında bir intranet güvenlik duvarı bulunmaktadır. Çevre ağınıza bir NPS sunucusu yerleştirdiğinizde, çevre ağınız ile intranet arasındaki güvenlik duvarı, NPS sunucusu ile birden çok etki alanı denetleyicisi arasındaki trafiğe izin vermelidir. NPS sunucusunu bir NPS proxy sunucu ile değiştirerek, güvenlik duvarı yalnızca NPS proxy sunucu ile intranetiniz içindeki bir veya birden çok NPS sunucusu arasındaki RADIUS trafiğine izin vermelidir.


İçindekiler