Vynucení architektury NAP (Network Access Protection) pro řízení přístupu k síti prostřednictvím portu 802.1X se nasazuje pomocí serveru NPS (Network Policy Server), a pomocí klientské součásti pro vynucení hostitele protokolu EAP (Extensible Authentication Protocol). Při použití vynucení založeného na portu 802.1X dá server NPS pokyn ověřovacímu přepínači rozhraní 802.1X nebo bezdrátovému přístupovému bodu kompatibilnímu s rozhraním 802.1X, aby umísťoval klienty nekompatibilní s rozhraním 802.1X do nápravné sítě. Server NPS použitím filtrů IP nebo identifikátoru virtuální sítě LAN u připojení omezí přístup klientů pouze na nápravnou síť. Vynucení architektury NAP pro protokol 802.1X poskytuje silné síťové omezení pro všechny počítače, které získávají přístup k síti prostřednictvím serverů pro přístup k síti s podporou protokolu 802.1X.

Požadavky pro drátová připojení pomocí protokolu 802.1X

Při nasazení architektury NAP u drátových připojení pomocí protokolu 802.1X je nutné provést následující konfiguraci:

  • Na serveru NPS nakonfigurujte zásadu vyžádání nového připojení, zásadu sítě a zásadu stavu architektury NAP. Tyto zásady lze jednotlivě nakonfigurovat pomocí konzoly serveru NPS nebo pomocí průvodce Nové zásady architektury NAP (Network Access Protection).

  • Nainstalujte a nakonfigurujte ověřovací přepínače rozhraní 802.1X.

  • U klientských počítačů s podporou architektury NAP povolte klienta vynucení architektury NAP pro protokol EAP a službu NAP.

  • Nakonfigurujte Validátor stavu zabezpečení systému Windows (WSHV) nebo v závislosti na nasazení architektury NAP nainstalujte a nakonfigurujte jiné agenty stavu systému (SHA) a validátory stavu systému (SHV).

  • Pokud používáte protokoly PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) nebo EAP-TLS s čipovými kartami nebo certifikáty, nasaďte infrastrukturu veřejných klíčů (PKI) se službou AD CS (Active Directory® Certificate Services).

  • Jestliže používáte protokol PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2), vydejte pomocí služby AD CS certifikáty serveru nebo zakupte certifikáty serveru od jiné důvěryhodné kořenové certifikační autority (CA).

Požadavky pro bezdrátová připojení pomocí protokolu 802.1X

Při nasazení architektury NAP u bezdrátových připojení pomocí protokolu 802.1X je nutné provést následující konfiguraci:

  • Na serveru NPS nakonfigurujte zásadu vyžádání nového připojení, zásadu sítě a zásadu stavu architektury NAP. Tyto zásady lze jednotlivě nakonfigurovat pomocí konzoly serveru NPS nebo pomocí průvodce Nové zásady architektury NAP (Network Access Protection).

  • Nainstalujte a nakonfigurujte bezdrátové přístupové body rozhraní 802.1X.

  • U klientských počítačů s podporou architektury NAP povolte klienta vynucení architektury NAP pro protokol EAP a službu NAP.

  • Nakonfigurujte Validátor stavu zabezpečení systému Windows (WSHV) nebo v závislosti na nasazení architektury NAP nainstalujte a nakonfigurujte jiné agenty stavu systému (SHA) a validátory stavu systému (SHV).

Obsah