Network Policy Server (NPS) peut être utilisé comme serveur RADIUS (Remote Authentication Dial-In User Service) afin d’effectuer l’authentification, l’autorisation et la gestion des clients RADIUS. Un client RADIUS peut être un serveur d’accès, tel qu’un serveur d’accès à distance ou un point d’accès sans fil, ou un proxy RADIUS. Lorsque NPS est utilisé en tant que serveur RADIUS, il fournit les services suivants :

  • Un service d’authentification et d’autorisation central pour toutes les demandes de connexion envoyées par des clients RADIUS.

    NPS utilise un domaine Microsoft® Windows NT® Server 4.0, un domaine des services de domaine Active Directory® (AD DS) ou la base de données de comptes d’utilisateurs SAM (Security Accounts Manager) locale afin d’authentifier les informations d’identification des utilisateurs pour les tentatives de connexion. NPE utilise les propriétés de numérotation du compte d’utilisateur et des stratégies réseau pour autoriser une connexion.

  • Un service d’enregistrement de gestion central pour toutes les demandes de gestion envoyées par des clients RADIUS.

    Les demandes de gestion sont stockées dans un fichier journal local ou dans une base de données Microsoft® SQL Server™ à des fins d’analyse.

L’illustration suivante montre NPS en tant que serveur RADIUS pour différents clients d’accès, ainsi qu’un proxy RADIUS. NPS utilise un domaine AD DS pour l’authentification des informations d’identification utilisateur des messages de demande d’accès RADIUS entrants.

NPS en tant que serveur RADIUS

Lorsque NPS est utilisé comme serveur RADIUS, les messages RADIUS fournissent l’authentification, l’autorisation et la gestion des connexions d’accès réseau de la manière suivante :

  1. Les serveurs d’accès, tels que les serveurs d’accès réseau à distance, les serveurs VPN et les points d’accès sans fil reçoivent des demandes de connexion de la part des clients d’accès.

  2. Le serveur d’accès, configuré de façon à utiliser RADIUS comme protocole d’authentification, d’autorisation et de gestion, crée un message de demande d’accès et l’envoie au serveur NPS.

  3. Le serveur NPS évalue le message de demande d’accès.

  4. Si nécessaire, le serveur NPS envoie un message de challenge d’accès au serveur d’accès. Celui-ci traite le challenge et envoie un message de demande d’accès mis à jour au serveur NPS.

  5. Les informations d’identification utilisateur sont vérifiées et les propriétés de numérotation du compte d’utilisateur sont obtenues par le biais d’une connexion sécurisée à un contrôleur de domaine.

  6. La tentative de connexion est autorisée avec les propriétés de numérotation du compte d’utilisateur et avec les stratégies d’accès.

  7. Si la tentative de connexion est authentifiée et autorisée, le serveur NPS envoie un message d’acceptation d’accès au serveur d’accès.

    Si la tentative de connexion n’est pas authentifiée ou n’est pas autorisée, le serveur NPS envoie un message de refus d’accès au serveur d’accès.

  8. Le serveur d’accès achève le processus de connexion avec le client d’accès et envoie un message de demande de compte au serveur NPS, où le message est enregistré dans le journal.

  9. Le serveur NPS envoie une réponse de compte au serveur d’accès.

Remarques

Le serveur d’accès envoie également des messages de demande de compte durant la période où la connexion est établie, lorsque la connexion de client d’accès est fermée et lorsque le serveur d’accès est démarré et arrêté.

Vous pouvez utiliser NPS comme serveur RADIUS dans les cas suivants :

  • Vous utilisez un domaine Windows NT Server 4.0, un domaine AD DS ou la base de données de comptes d’utilisateurs SAM locale comme base de données de comptes d’utilisateurs pour les clients d’accès.

  • Vous utilisez Routage et accès à distance sur plusieurs serveurs d’accès à distance, serveurs VPN ou commutateurs d’accès à distance et vous souhaitez centraliser la configuration des stratégies réseau et la journalisation des connexions pour la gestion des comptes.

  • Vous externalisez votre accès à distance, VPN ou sans fil à un fournisseur de services. Les serveurs d’accès utilisent RADIUS pour authentifier et autoriser les connexions établies par des membres de votre organisation.

  • Vous souhaitez centraliser l’authentification, l’autorisation et la gestion pour un ensemble hétérogène de serveurs d’accès.

Remarques

Dans le service d’authentification Internet (IAS, Internet Authentication Service) dans les systèmes d’exploitation Windows Server® 2003, les stratégies réseau portent le nom de stratégies d’accès à distance.


Table des matières