Server pro přístup k síti (NAS) je zařízení poskytující určitou úroveň přístupu k větším sítím. Serverem pro přístup k síti využívajícím infrastrukturu RADIUS je také klient RADIUS odesílající požadavky na připojení a zprávy monitorování účtů na server RADIUS za účelem ověření, autorizace a monitorování účtů.
Důležité informace | |
Klientské počítače, například bezdrátové přenosné počítače a jiné počítače s klientskými operačními systémy, nejsou klienty RADIUS. Klienti RADIUS jsou servery pro přístup k síti, jako jsou bezdrátové přístupové body, přepínače s podporou protokolu 802.1X, servery virtuální privátní sítě (VPN) a servery pro telefonické připojení, protože pomocí protokolu RADIUS komunikují se servery RADIUS, například se servery NPS (Network Policy Server). |
Chcete-li nasadit server NPS jako server RADIUS, proxy server RADIUS nebo jako server zásad architektury NAP (Network Access Protection), musíte konfigurovat klienty RADIUS na serveru NPS.
Příklady klientů RADIUS
Servery pro přístup k síti jsou například následující:
-
Severy pro přístup k síti poskytující připojení vzdáleného přístupu k síti organizace nebo k Internetu. Příkladem může být počítač se systémem Windows Server® 2008 a službou Směrování a vzdálený přístup, který poskytuje služby přístupu k podnikovému intranetu buď pomocí tradičního telefonického připojení nebo prostřednictvím vzdáleného přístupu virtuální privátní sítě (VPN).
-
Body bezdrátového přístupu, které poskytují přístup fyzické vrstvy k podnikové síti pomocí technologií založených na bezdrátovém přenosu a příjmu.
-
Přepínače, které poskytují přístup fyzické vrstvy k podnikové síti pomocí tradičních technologií sítě LAN, jako je například síť Ethernet.
-
Proxy servery RADIUS předávající požadavky na připojení serverům RADIUS, které jsou členy skupiny vzdálených serverů RADIUS konfigurované na proxy serveru RADIUS.
Zprávy RADIUS s požadavkem na přístup
Klienti RADIUS vytvářejí zprávy RADIUS s požadavkem na přístup a předávají je proxy serveru RADIUS nebo serveru RADIUS nebo předávají serveru RADIUS zprávy s požadavkem na přístup, které obdrželi od jiného klienta RADIUS a nevytvořili si je.
Klienti RADIUS nezpracovávají zprávy s požadavkem na přístup provedením ověření, autorizace a monitorování účtů. Tyto funkce provádějí pouze servery RADIUS.
Server NPS však může být současně konfigurován jako proxy server RADIUS a server RADIUS tak, aby mohl zpracovávat některé zprávy s požadavkem na přístup a jiné zprávy předávat.
Server NPS jako klient RADIUS
Server NPS vystupuje jako klient RADIUS, pokud jej nakonfigurujete jako proxy server RADIUS pro předávání zpráv s požadavkem na přístup ke zpracování jiným serverům RADIUS. Pokud použijete server NPS jako proxy server RADIUS, jsou požadovány následující obecné kroky konfigurace:
-
Servery pro přístup k síti, například bezdrátové přístupové body a servery VPN, jsou konfigurovány pomocí IP adresy proxy serveru NPS, který je určen jako server RADIUS nebo server pro ověřování. Servery pro přístup k síti, které vytvářejí zprávy s požadavkem na přístup založené na informacích získaných od přístupových klientů, tak mohou předávat zprávy proxy serveru NPS.
-
Proxy server NPS je konfigurován přidáním každého serveru pro přístup k síti jako klienta RADIUS. Tento krok konfigurace umožňuje proxy serveru NPS získávat zprávy od serverů pro přístup k síti a komunikovat s nimi v průběhu procesu ověřování. Zásady požadavku na připojení na proxy serveru NPS jsou dále konfigurovány tak, aby určovaly, které zprávy s požadavkem na přístup mají být předávány jednomu nebo více serverům RADIUS. Tyto zásady jsou také konfigurovány pomocí skupiny vzdálených serverů RADIUS, která určuje serveru NPS, kam má odeslat zprávy, které obdržel od serverů pro přístup k síti.
-
Server NPS nebo jiné servery RADIUS, které jsou členy skupiny vzdálených serverů RADIUS na proxy serveru NPS, jsou konfigurovány pro příjem zpráv z proxy serveru NPS. To je prováděno pomocí konfigurace proxy serveru NPS jako klienta RADIUS.
Vlastnosti klienta RADIUS
Pokud přidáte klienta RADIUS do konfigurace serveru NPS pomocí modulu snap-in NPS nebo pomocí použití příkazů prostředí Netsh pro server NPS, konfigurujete server NPS pro přijímání zpráv RADIUS s požadavkem na přístup ze serveru pro přístup k síti nebo proxy serveru RADIUS.
Při konfiguraci klienta RADIUS na serveru NPS můžete určit následující vlastnosti:
-
Název klienta
Popisný název klienta RADIUS, který usnadňuje identifikaci při použití modulu snap-in NPS nebo příkazů prostředí Netsh pro server NPS.
-
IP adresa
Adresa IPv4 (Internet Protocol version 4) nebo název DNS (Domain Name System) klienta RADIUS.
-
Klient-Dodavatel
Dodavatel klienta RADIUS. V opačném připadě můžete pro vlastnost Klient-Dodavatel použít standardní hodnotu RADIUS.
-
Sdílený tajný klíč
Textový řetězec, který je používán jako heslo mezi klienty RADIUS, servery RADIUS a proxy servery RADIUS. Pokud je používán atribut ověřovatele zpráv, je sdílený tajný klíč používán také jako klíč pro šifrování zpráv RADIUS. Tento řetězec musí být konfigurován na klientovi RADIUS a v modulu snap-in NPS.
-
Atribut ověřovatele zpráv
Je popsán v dokumentu RFC 2869 RADIUS Extensions (Rozšíření protokolu RADIUS), hodnota hash MD5 (Message Digest 5) celé zprávy RADIUS. Jestliže existuje atribut ověřovatele zpráv RADIUS, je ověřen. Je-li ověření neúspěšné, je zpráva RADIUS ignorována. Jestliže nastavení klienta vyžaduje atribut ověřovatele zpráv a zpráva RADIUS jej neobsahuje, je ignorována. Doporučujeme použití atributu ověřovatele zpráv.
Poznámka Při použití ověřování EAP je atribut ověřovatele zpráv povinný a je ve výchozím nastavení povolen.
-
Klient podporuje architekturu NAP
Určení, zda je klient RADIUS kompatibilní s architekturou NAP (Network Access Protection), server NPS odešle atributy NAP klientovi RADIUS ve zprávě s požadavkem na přístup.