Le serveur NPS (Network Policy Server) vous permet de centraliser la configuration et la gestion des stratégies réseau à l’aide des trois fonctionnalités suivantes : serveur RADIUS (Remote Authentication Dial-In User Service), proxy RADIUS et serveur de stratégie NAP (Network Access Protection).
Serveur et proxy RADIUS
NPS peut s’utiliser en tant que serveur RADIUS et/ou proxy RADIUS.
Serveur RADIUS
NPS est l’implémentation Microsoft de la norme RADIUS spécifiée par le groupe de travail IETF (Internet Engineering Task Force) dans les RFC 2865 et 2866. En tant que serveur RADIUS, NPS effectue de façon centralisée l’authentification des demandes de connexion, l’autorisation et la gestion des comptes pour divers types d’accès réseau, notamment l’accès sans fil, les connexions via un commutateur d’authentification, l’accès à distance et par réseau VPN (Virtual Private Network) ainsi que les connexions routeur à routeur.
NPS permet d’utiliser un ensemble hétérogène d’équipements sans fil, de commutation, d’accès à distance ou VPN. Vous pouvez utiliser NPS avec le service Routage et accès à distance, qui est disponible dans Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition et Windows Server 2003, Datacenter Edition.
Lorsqu’un serveur exécutant NPS est membre d’un domaine des services de domaine Active Directory® (AD DS), NPS utilise le service d’annuaire comme base de données de comptes d’utilisateurs et s’intègre à une solution d’authentification unique. Dans ce cas, le même ensemble d’informations d’identification est utilisé pour le contrôle d’accès réseau (authentification et autorisation de l’accès à un réseau) et l’ouverture de session dans un domaine AD DS.
Pour les fournisseurs de services Internet et les organisations administrant l’accès réseau, il devient de plus en plus difficile de gérer tous les types d’accès réseau à partir d’un seul point d’administration, quel que soit le type d’équipement d’accès réseau utilisé. La norme RADIUS offre cette fonctionnalité dans les environnements homogènes comme dans les environnements hétérogènes. RADIUS est un protocole client-serveur qui permet à un équipement d’accès réseau (utilisé comme client RADIUS) de soumettre des demandes d’authentification et de gestion à un serveur RADIUS.
Un serveur RADIUS a accès aux informations des comptes d’utilisateurs et peut vérifier les informations d’identification permettant l’authentification des accès réseau. Si les informations d’identification de l’utilisateur sont authentiques et si la tentative de connexion est autorisée, le serveur RADIUS autorise l’accès de l’utilisateur sur la base de conditions spécifiées et enregistre la connexion d’accès réseau dans un journal de gestion. L’utilisation de RADIUS permet de collecter et de gérer à un emplacement central, et non sur chaque serveur d’accès, les données d’authentification, d’autorisation et de gestion des utilisateurs qui tentent d’accéder au réseau.
Pour plus d’informations, voir Serveur RADIUS.
Proxy RADIUS
En tant que proxy RADIUS, NPS transfère les messages d’authentification et de gestion de comptes à d’autres serveurs RADIUS.
Avec NPS, les organisations peuvent également sous-traiter l’infrastructure d’accès à distance à un fournisseur de services tout en gardant le contrôle de l’authentification des utilisateurs, de l’autorisation et de la gestion des comptes.
Vous pouvez créer des configurations NPS pour les scénarios suivants :
-
Accès sans fil
-
Accès à distance ou VPN de l’organisation
-
Accès à distance ou sans fil sous-traité
-
Accès Internet
-
Accès authentifié à des ressources d’extranet pour les partenaires commerciaux
Pour plus d’informations, voir Proxy RADIUS.
Exemples de configuration de serveur RADIUS et de proxy RADIUS
Les exemples de configuration suivants montrent comment configurer NPS en tant que serveur RADIUS et en tant que proxy RADIUS.
NPS as a RADIUS server. Dans cet exemple, NPS est configuré comme serveur RADIUS, la stratégie de demande de connexion par défaut est la seule stratégie configurée et toutes les demandes de connexion sont traitées par le serveur NPS local. Le serveur NPS peut authentifier et autoriser les utilisateurs dont les comptes sont dans le domaine du serveur NPS et dans des domaines approuvés.
NPS as a RADIUS proxy. Dans cet exemple, le serveur NPS est configuré comme un proxy RADIUS qui transmet les demandes de connexion à des groupes de serveurs RADIUS distants dans deux domaines non approuvés. La stratégie de demande de connexion par défaut est supprimée et deux nouvelles stratégies de demande de connexion sont créées pour transférer les demandes aux deux domaines non approuvés. Dans cet exemple, NPS ne traite aucune demande de connexion sur le serveur local.
NPS as both RADIUS server and RADIUS proxy. En plus de la stratégie de demande de connexion par défaut, qui spécifie que les demandes de connexion sont traitées localement, une nouvelle stratégie de demande de connexion est créée pour transférer les demandes de connexion à un serveur NPS ou à un autre serveur RADIUS situé dans un domaine non approuvé. Cette seconde stratégie est appelée stratégie Proxy. Dans cet exemple, la stratégie Proxy apparaît en premier dans la liste de stratégies. Si la demande de connexion correspond à la stratégie Proxy, elle est transférée au serveur RADIUS membre du groupe de serveurs RADIUS distants. Si la demande de connexion ne correspond pas à la stratégie Proxy mais à la stratégie de demande de connexion par défaut, NPS la traite sur le serveur local. Si la demande de connexion ne correspond à aucune des deux stratégies, elle est rejetée.
NPS as a RADIUS server with remote accounting servers. Dans cet exemple, le serveur NPS local n’est pas configuré pour effectuer la gestion des comptes, et la stratégie de demande de connexion par défaut est modifiée de sorte que les messages de gestion des comptes RADIUS sont transférés à un serveur NPS ou à un autre serveur RADIUS membre d’un groupe de serveurs RADIUS distants. Contrairement aux messages de gestion des comptes, les messages d’authentification et d’autorisation ne sont pas transférés, et le serveur NPS local remplit les fonctions correspondantes pour le domaine local et tous les domaines approuvés.
NPS avec RADIUS distant vers le mappage utilisateur Windows. Dans cet exemple, NPS se comporte à la fois comme serveur et comme proxy RADIUS pour chaque demande de connexion en transférant la demande d’authentification à un serveur RADIUS distant tout en utilisant un compte d’utilisateur Windows local pour l’autorisation. Pour implémenter ce type de fonctionnement, il faut configurer l’attribut RADIUS distant vers le mappage utilisateur Windows comme condition de la stratégie de demande de connexion. (En outre, un compte d’utilisateur doit être créé localement sur le serveur RADIUS portant le même nom que le compte d’utilisateur distant qui permettra au serveur RADIUS distant d’effectuer l’authentification.)
Serveur de stratégie NAP
Incluse dans Windows Vista®, Windows® 7, Windows Server® 2008 et Windows Server® 2008 R2, la protection d’accès réseau NAP permet de protéger l’accès aux réseaux privés en vérifiant que les ordinateurs clients sont configurés conformément aux stratégies de contrôle d’intégrité réseau de l’organisation avant de les autoriser à se connecter à des ressources du réseau. De plus, la conformité de l’ordinateur client avec la stratégie de contrôle d’intégrité est surveillée par NAP pendant que l’ordinateur est connecté au réseau. À l’aide de la mise à jour automatique NAP, les ordinateurs non conformes peuvent être mis à jour automatiquement et se connecter au réseau après leur mise en conformité avec la stratégie de contrôle d’intégrité.
Les administrateurs système définissent des stratégies de contrôle d’intégrité du réseau et les créent à l’aide de composants NAP fournis dans NPS et, selon le déploiement NAP, par d’autres fournisseurs.
Les stratégies de contrôle d’intégrité peuvent définir le logiciel, les mises à jour de sécurité et la configuration qui sont requis pour se connecter au réseau. La protection NAP applique les stratégies de contrôle d’intégrité en inspectant et en évaluant l’intégrité des ordinateurs clients, en limitant leur accès au réseau lorsqu’ils sont jugés non conformes et en les mettant à jour pour leur permettre de bénéficier d’un accès réseau complet.
Pour plus d’informations, voir Protection d’accès réseau (NAP) dans NPS.