NPS (Network Policy Server) peut s’utiliser en tant que proxy RADIUS pour assurer le routage des messages RADIUS entre les clients RADIUS (serveurs d’accès) et les serveurs RADIUS qui effectuent l’authentification des utilisateurs, leur autorisation et la gestion de comptes pour la tentative de connexion. Quand il est utilisé en tant que proxy RADIUS, NPS est un point central d’échange ou de routage à travers lequel circulent des messages d’accès et de gestion RADIUS. NPS enregistre dans un journal de gestion des informations sur les messages qui sont transférés.

L’illustration suivante montre NPS en tant que proxy RADIUS entre des clients RADIUS (serveurs d’accès) et soit des serveurs RADIUS, soit un autre proxy RADIUS.

NPS en tant que proxy RADIUS

Lorsque NPS est utilisé en tant que proxy RADIUS entre un client RADIUS et un serveur RADIUS, les messages RADIUS échangés lors des tentatives de connexion au réseau sont transférés de la façon suivante :

  1. Des serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs VPN (Virtual Private Network) et les points d’accès sans fil, reçoivent des demandes de connexion provenant de clients d’accès.

  2. Le serveur d’accès, configuré pour utiliser RADIUS comme protocole d’authentification, d’autorisation et de gestion, crée un message de requête d’accès et l’envoie au serveur NPS qui est utilisé comme proxy RADIUS NPS.

  3. Le proxy RADIUS NPS reçoit le message de requête d’accès et, en fonction des stratégies de demande de connexion configurées localement, détermine où transférer ce message.

  4. Le proxy RADIUS NPS transfère le message de requête d’accès au serveur RADIUS approprié.

  5. Le serveur RADIUS évalue le message de requête d’accès.

  6. S’il y a lieu, le serveur RADIUS envoie un message de challenge d’accès au proxy RADIUS NPS, qui transfère ce message au serveur d’accès. Le serveur d’accès traite le challenge avec le client d’accès et envoie une requête d’accès mise à jour au proxy RADIUS NPS, qui transfère ce message au serveur RADIUS.

  7. Le serveur RADIUS authentifie et autorise la tentative de connexion.

  8. Si la tentative de connexion est authentifiée et autorisée, le serveur RADIUS envoie un message d’acceptation d’accès au proxy RADIUS NPS, qui transfère ce message au serveur d’accès.

    Si l’authentification ou l’autorisation de la tentative de connexion échoue, le serveur RADIUS envoie un message de refus d’accès au proxy RADIUS NPS, qui transfère ce message au serveur d’accès.

  9. Le serveur d’accès termine la procédure de connexion avec le client d’accès et envoie un message de requête de compte au proxy RADIUS NPS. Le proxy RADIUS NPS enregistre les données de gestion des comptes et transfère le message au serveur RADIUS.

  10. Le serveur RADIUS envoie un message de réponse de compte au proxy RADIUS NPS, qui transfère ce message au serveur d’accès.

Vous pouvez utiliser NPS en tant que proxy RADIUS dans divers scénarios :

  • Vous êtes un fournisseur de services qui offre à plusieurs clients des services externalisés d’accès réseau à distance, VPN ou sans fil. Vos serveurs d’accès réseau envoient des demandes de connexion au proxy RADIUS NPS. En se basant sur la partie domaine du nom d’utilisateur dans la demande de connexion, le proxy RADIUS NPS transfère la demande de connexion à un serveur RADIUS qui est administré par le client et peut authentifier et autoriser la tentative de connexion.

  • Vous voulez assurer l’authentification et l’autorisation pour des comptes d’utilisateurs qui ne sont membres ni du domaine du serveur NPS, ni d’un autre domaine entretenant avec lui une relation d’approbation bidirectionnelle. Ceci inclut des comptes dans des domaines non approuvés, des domaines liés par une relation d’approbation à sens unique et d’autres forêts. Au lieu de configurer vos serveurs d’accès pour envoyer leurs demandes de connexion à un serveur RADIUS NPS, vous pouvez les configurer pour les envoyer à un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie domaine du nom d’utilisateur et transfère la demande de connexion à un serveur NPS dans le domaine (ou la forêt) correct. Les tentatives de connexion employant des comptes d’utilisateurs situés dans un domaine ou une forêt peuvent être authentifiées pour des serveurs d’accès réseau qui se trouvent dans un autre domaine ou une autre forêt.

  • Vous voulez effectuer l’authentification et l’autorisation en employant une base de données qui n’est pas une base de données de comptes Windows. Dans ce cas, les demandes de connexion qui correspondent à un nom de domaine spécifié sont transférées à un serveur RADIUS qui a accès à une base de données de comptes d’utilisateurs et de données d’autorisation différente. Ces autres bases de données de comptes d’utilisateurs sont par exemple les bases de données NDS (Novell Directory Services) et SQL (Structured Query Language).

  • Vous voulez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de configurer vos clients RADIUS en essayant de répartir leurs demandes de connexion et de gestion entre plusieurs serveurs RADIUS, vous pouvez les configurer pour envoyer leurs demandes à un proxy RADIUS NPS. Le proxy RADIUS NPS équilibre dynamiquement la charge des demandes de connexion et de gestion entre les serveurs RADIUS, ce qui accélère leur traitement.

  • Vous voulez assurer l’authentification et l’autorisation RADIUS pour des fournisseurs de services externalisés et minimiser la configuration de pare-feu de l’intranet. Un pare-feu d’intranet se place entre votre intranet et votre réseau de périmètre (le réseau entre votre intranet et Internet). Si vous placez un serveur NPS sur votre réseau de périmètre, le pare-feu entre votre réseau de périmètre et votre intranet doit autoriser le trafic entre le serveur NPS et plusieurs contrôleurs de domaine. Lorsque vous remplacez le serveur NPS par un proxy NPS, le pare-feu ne doit autoriser que le trafic RADIUS entre ce proxy NPS et un ou plusieurs serveurs NPS dans votre intranet.

Table des matières