Hálózati házirend-kiszolgálóval (NPS) központilag állíthatja be és kezelheti a hálózati házirendeket a következő három szolgáltatással: a RADIUS-kiszolgálóval, a RADIUS-proxyval és a NAP állapotházirend-kiszolgálóval.
RADIUS-kiszolgáló és -proxy
A hálózati házirend-kiszolgáló használható RADIUS-kiszolgálóként, RADIUS-proxyként, vagy egyszerre mindkettőként.
RADIUS-kiszolgáló
A hálózati házirend-kiszolgáló (NPS) az IETF 2865-ös és 2866-os RFC-dokumentumában meghatározott RADIUS szabvány Microsoft által készített implementációja. A hálózati házirend-kiszolgáló, mint RADIUS-kiszolgáló, központi kapcsolathitelesítési, engedélyezési és nyilvántartási feladatokat végez el különböző hálózati hozzáférések, például vezeték nélküli, hitelesítő kapcsoló, telefonos és virtuális magánhálózati (VPN) távelérés, és útválasztóközi típusú kapcsolatok részére.
A hálózati házirend-kiszolgáló vezeték nélküli, kapcsoló, távelérési vagy virtuális magánhálózati eszközök heterogén csoportjának használatát teszi lehetővé. A hálózati házirend-kiszolgálót használhatja az Útválasztás és távelérés szolgáltatással, ami elérhető a Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003 Enterprise Edition és Windows Server 2003 Datacenter Edition rendszerekben.
Ha egy hálózati házirend-kiszolgáló egy Active Directory® tartományi szolgáltatásokkal működő tartomány tagja, a hálózati házirend-kiszolgáló a címtárszolgáltatást használja a felhasználói fiókok adatbázisaként, és része lesz az egyszeri bejelentkezési megoldásnak. Ugyanezekkel a hitelesítő adatokkal történik a hálózati hozzáférés-vezérlés (a hálózati hozzáférés hitelesítése és engedélyezése) és a bejelentkezés egy AD DS-tartományba.
Az internetszolgáltatóknak és hálózati hozzáférést fenntartó szervezeteknek komoly kihívást jelent a különböző típusú hálózati hozzáférések egy pontról történő adminisztrációja, függetlenül a hálózati hozzáférésre használt eszköz típusától. A RADIUS szabvány támogatja ezt a funkcionalitást homogén és heterogén környezetben is. A RADIUS egy ügyfél-kiszolgáló protokoll, ami hálózati hozzáférési eszközöknek (RADIUS-ügyfelekként használva) teszi lehetővé hitelesítési és nyilvántartási kérések küldését egy RADIUS-kiszolgálónak.
A RADIUS-kiszolgáló hozzáfér a felhasználói fiókinformációkhoz és ellenőrizheti a hálózati hozzáférést hitelesítő adatokat. Ha a felhasználó hitelesítő adatainak hitelesítése megtörtént, és engedélyezi a rendszer a csatlakozási kísérletet, a RADIUS-kiszolgáló bizonyos feltételek szerint engedélyezi a felhasználói hozzáférést, és naplózza a hálózathoz hozzáférő kapcsolatot egy nyilvántartási naplóban. A RADIUS szolgáltatással egy központi helyen gyűjthetők össze és kezelhetők a hálózati hozzáféréshez kapcsolódó felhasználói hitelesítési, engedélyezési, és számlázási adatok, ahelyett, hogy ez a különböző hozzáférési kiszolgálókon történne.
További információt a következő témakörben talál: RADIUS-kiszolgáló.
RADIUS-proxy
RADIUS-proxyként, a hálózati házirend-kiszolgáló hitelesítési és nyilvántartási üzeneteket továbbít a többi RADIUS-kiszolgálónak.
A hálózati házirend-kiszolgálóval a szervezetek kiszervezhetik a távelérési infrastruktúrát egy internetszolgáltatóhoz, miközben megmarad a felhasználói hitelesítés, engedélyezés és nyilvántartás feletti ellenőrzésük.
Különböző hálózati házirend-kiszolgálói konfigurációk hozhatók létre a következő alkalmazási helyzetekre:
-
Vezeték nélküli hozzáférés
-
Szervezeti telefonos vagy virtuális magánhálózattal (VPN) történő távelérés
-
Kiszervezett telefonos vagy vezeték nélküli hozzáférés
-
Internet-hozzáférés
-
Hitelesített hozzáférés extranet-erőforrásokhoz üzleti partnerek
További információt a következő témakörben talál: RADIUS-proxy.
RADIUS-kiszolgáló és RADIUS-proxy konfigurációs példák
A következő konfigurációs példák azt mutatják be, hogyan lehet egy hálózati házirend-kiszolgálót RADIUS-kiszolgálóként és RADIUS-proxyként konfigurálni.
NPS as a RADIUS server. Ebben a példában a hálózati házirend-kiszolgáló RADIUS-kiszolgálóként van konfigurálva, az alapértelmezett kapcsolatkérelem-házirend az egyetlen konfigurált házirend, és minden kapcsolatkérelmet a helyi hálózati házirend-kiszolgáló dolgoz fel. A hálózati házirend-kiszolgáló hitelesítheti és engedélyezheti azon felhasználókat, akiknek fiókjai a hálózati házirend-kiszolgáló tartományában és megbízható tartományokban találhatók.
NPS as a RADIUS proxy: Ebben a példában a hálózati házirend-kiszolgáló RADIUS-proxyként van konfigurálva, amely a kapcsolatkérelmeket két nem megbízható tartományban található távoli RADIUS-kiszolgálócsoportnak továbbítja. A rendszer törli az alapértelmezett kapcsolatkérelem-házirendet, és két újat hoz létre a kérések két nem megbízható tartományba való külön-külön továbbításához. Ebben a példában a hálózati házirend-kiszolgáló semmilyen kapcsolatkérelmet nem dolgoz fel a helyi kiszolgálón.
NPS as both RADIUS server and RADIUS proxy: Az alapértelmezett kapcsolatkérelem-házirenden túl, miszerint a kapcsolatkérelmek feldolgozása helyben történik, egy új kapcsolatkérelem-házirend is létrejött, amely a kapcsolatkérelmeket egy nem megbízható tartományban található hálózati házirend-kiszolgálónak vagy egyéb RADIUS-kiszolgálónak továbbítja. Ezt a második házirendet proxyházirendnek nevezik. Ebben a példában a proxyházirend első helyen található a házirendek rendezett listáján. Ha a kapcsolatkérelem megfelel a proxyházirendnek, a kapcsolatkérelem továbbításra kerül a távoli RADIUS-kiszolgálócsoportban található RADIUS-kiszolgálóhoz. Ha a kapcsolatkérelem nem felel meg a proxyházirendnek, de megfelel az alapértelmezett kapcsolatkérelem-házirendnek, a hálózati házirend-kiszolgáló a helyi kiszolgálón dolgozza fel a kapcsolatkérelmet. Ha a kapcsolatkérelem egyik házirendre sem illeszkedik, a rendszer elveti.
NPS as a RADIUS server with remote accounting servers: Ebben a példában a helyi hálózati házirend-kiszolgáló nincs beállítva a nyilvántartás elvégzésre, és az alapértelmezett kapcsolatkérelem-házirend úgy van átalakítva, hogy a RADIUS-nyilvántartási üzeneteket egy hálózati házirend-kiszolgálónak vagy más, távoli RADIUS-kiszolgálócsoportban található RADIUS-kiszolgálónak továbbítsa. Bár a nyilvántartási üzeneteket továbbítja a rendszer, a hitelesítési és engedélyezési üzeneteket nem, és a helyi és a megbízható tartományok esetében a helyi hálózati házirend-kiszolgáló végzi el ezeket a funkciókat.
NPS with remote RADIUS to Windows user mapping: Ebben a példában a hálózati házirend-kiszolgáló RADIUS-kiszolgálóként és RADIUS-proxyként is működik minden kapcsolatkérelem esetében, és a hitelesítési kérelmeket a távoli RADIUS-kiszolgálónak továbbítja, míg az engedélyezéshez a helyi Windows-felhasználói fiókot használja. A konfiguráció megvalósításához a Távoli RADIUS - Windows felhasználó-hozzárendelés attribútumot a kapcsolatkérelem-házirend feltételeként kell beállítani. (Emellett a RADIUS-kiszolgálón helyben létre kell hozni egy felhasználói fiókot, amelynek neve azon távoli felhasználói fiókéval azonos, amelyhez a távoli RADIUS-kiszolgáló a hitelesítést végzi.)
NAP állapotházirend-kiszolgáló
A Windows Vista®, a Windows® 7, a Windows Server® 2008 és a Windows Server® 2008 R2 rendszerben megtalálható a hálózatvédelem (NAP), ami gondoskodik arról, hogy az ügyfélszámítógépek konfigurálása a szervezet hálózatának állapotházirendjeit figyelembe véve történjen, mielőtt a számítógépek csatlakozhatnának a hálózat erőforrásaihoz, így védhető a saját hálózathoz történő hozzáférés. Továbbá a hálózatvédelem mindaddig figyeli, hogy az ügyfélszámítógép megfelel-e az állapotházirendnek, amíg a számítógép kapcsolatban áll a hálózattal. A hálózatvédelem automatikus szervizelés szolgáltatásával automatikusan frissíthetők a nem megfelelő számítógépek, ami után már megfelelnek az állapotházirendnek, és kapcsolódhatnak a hálózathoz.
A rendszergazdák definiálhatnak hálózati állapotházirendeket, és létrehozhatják azokat a hálózati házirend-kiszolgálók által, valamint - a hálózatvédelem telepítésétől függően - egyéb vállalatok által biztosított hálózatvédelem-összetevőkkel.
Az állapotházirendek tartalmazhatnak szoftverkövetelményeket, például biztonsági frissítési követelményeket és szükséges konfigurációs beállításokat. A hálózatvédelem az ügyfélszámítógépek állapotának ellenőrzésével és felmérésével, a nem megfelelő állapotúnak ítélt ügyfélszámítógépek hálózati hozzáférésének korlátozásával és a nem megfelelő ügyfélszámítógépeknek a teljes hálózati hozzáféréshez szükséges állapotúra történő szervizelésével kényszeríti ki az állapotházirendeket.
További információt a következő témakörben talál: Hálózatvédelem a hálózati házirend-kiszolgálón.