A hálózati házirend-kiszolgáló (NPS) használható RADIUS-proxyként a RADIUS-ügyfelek, hozzáférési kiszolgálók és a felhasználók hitelesítését, engedélyezését és a kapcsolódási kísérlet nyilvántartását végző RADIUS-kiszolgálók közötti RADIUS-üzenetek útválasztásához. Ha RADIUS-proxyként használja, a hálózati házirend-kiszolgáló egy központi kapcsoló vagy útválasztó pont, amelyen a RADIUS hozzáférési és nyilvántartási üzenetei áthaladnak. A hálózati házirend-kiszolgáló egy nyilvántartási naplóban rögzíti a továbbított üzenetekkel kapcsolatos információkat.

A következő ábra egy hálózati házirend-kiszolgálót mutat be, amely RADIUS-proxyként működik RADIUS-ügyfelek (hozzáférési kiszolgálók) és RADIUS-kiszolgálók vagy egy másik RADIUS-proxy között.

NPS RADIUS-proxyként

Ha a hálózati házirend-kiszolgálót RADIUS-ügyfelek és egy RADIUS-kiszolgáló között használja RADIUS-proxyként, akkor az a hálózati hozzáférési kísérletek RADIUS-üzeneteit a következőképpen továbbítja:

  1. A hozzáférési kiszolgálók, például a telefonos hálózati hozzáférést biztosító kiszolgálók, a virtuális magánhálózatok (VPN) kiszolgálói és a vezeték nélküli hozzáférési pontok hozzáférési ügyfelektől fogadnak csatlakozási kérelmeket.

  2. Ha a hozzáférési kiszolgáló konfigurációja szerint a hitelesítési, engedélyezési és nyilvántartási protokoll a RADIUS, akkor a kiszolgáló létrehoz egy Access-Request (hozzáférés-kérelmi) üzenetet, és elküldi azt a RADIUS-proxyként használt hálózati házirend-kiszolgálóknak.

  3. A RADIUS-proxyként működő hálózati házirend-kiszolgáló megkapja az Access-Request üzenetet, és a helyileg konfigurált kapcsolatkérelmi házirendek alapján meghatározza, hogy hova továbbítsa az Access-Request üzenetet.

  4. A RADIUS-proxyként működő hálózati házirend-kiszolgáló továbbítja az Access-Request üzenetet a megfelelő RADIUS-kiszolgálónak.

  5. A RADIUS-kiszolgáló kiértékeli az Access-Request üzenetet.

  6. Ha szükséges, a RADIUS-kiszolgáló küld egy Access-Challenge (hozzáférés-ellenőrzés) üzenetet annak a RADIUS-proxyként működő hálózati házirend-kiszolgálónak, amely továbbítja az üzenetet a hozzáférési kiszolgálónak. A hozzáférési kiszolgáló feldolgozza a kérdést a hozzáférési ügyféllel, majd küld egy frissített Access-Request üzenetet annak a hálózati házirend-kiszolgálónak, amely továbbítja az üzenetet a RADIUS-kiszolgálónak.

  7. A RADIUS-kiszolgáló hitelesíti és engedélyezi a csatlakozási kísérletet.

  8. Ha a csatlakozási kísérlet már hitelesített és engedélyezett, a RADIUS-kiszolgáló küld egy Access-Accept (hozzáférés elfogadva) üzenetet a RADIUS-proxynak, amely továbbítja az üzenetet a hozzáférési kiszolgálónak.

    Ha a csatlakozási kísérlet még nem hitelesített vagy még nem engedélyezett, a RADIUS-kiszolgáló egy Access-Reject (hozzáférés visszautasítva) üzenetet küld a RADIUS-proxyként működő hálózati házirend-kiszolgálónak, amely továbbítja az üzenetet a hozzáférési kiszolgálónak.

  9. A hozzáférési kiszolgáló befejezi a hozzáférési ügyféllel folytatott kapcsolódási folyamatot, és küld egy Accounting-Request (nyilvántartási kérelem) üzenetet a RADIUS-proxyként működő hálózati házirend-kiszolgálónak. A RADIUS-proxy naplózza a nyilvántartási adatokat, és továbbítja az üzenetet a RADIUS-kiszolgálónak.

  10. A RADIUS-kiszolgáló küld egy Accounting-Response (nyilvántartási válasz) üzenetet a RADIUS-proxyként működő hálózati házirend-kiszolgálónak, amely továbbítja az üzenetet a hozzáférési kiszolgálónak.

A hálózati házirend-kiszolgálót a következő esetekben használhatja RADIUS-proxyként:

  • Olyan internetszolgáltatók esetén, amelyek betárcsázós, VPN- vagy vezeték nélküli hálózati hozzáférést biztosítanak több felhasználónak. A hálózati hozzáférést biztosító kiszolgálók csatlakozási kérelmeket küldenek a RADIUS-proxyként működő hálózati házirend-kiszolgálónak. A csatlakozási kérelemben szereplő felhasználónév tartományrésze alapján a RADIUS-proxy továbbítja a csatlakozási kérelmet egy, az ügyfél által üzemeltetett RADIUS-kiszolgálónak, amely hitelesíteni és engedélyezni tudja a csatlakozási kísérletet.

  • Ha olyan felhasználói fiókoknak kíván hitelesítést és engedélyezést biztosítani, amelyek nem tagjai a hálózati házirend-kiszolgáló tartományának, és nem tagjai egy másik olyan kétirányú bizalmi tartománynak sem, amelynek a hálózati házirend-kiszolgáló tagja. Ez lefedi a nem megbízható tartományokban, az egyirányú bizalmi tartományokban és a más erdőkben lévő fiókokat is. A hozzáférési kiszolgálót konfigurálhatja úgy is, hogy az a csatlakozási kérelmeket a RADIUS-kiszolgáló helyett a RADIUS-proxyként működő hálózati házirend-kiszolgálónak küldje. A RADIUS-proxyként használt hálózati házirend-kiszolgáló a felhasználónév tartománynév részét használja, és a kérelmet a megfelelő tartományban vagy erdőben lévő hálózati házirend-kiszolgálónak küldi el. Egy tartomány vagy erdő felhasználói fiókjainak kapcsolódási kérelmei hitelesíthetők más tartományban vagy erdőben lévő hálózati hozzáférést biztosító kiszolgálók esetében is.

  • Ha a hitelesítést és az engedélyezést egy olyan adatbázissal kívánja végezni, amely nem Windows-fiókadatbázis. Ebben az esetben azok a kapcsolódási kérelmek, amelyek megfelelnek a megadott tartománynévnek, továbbítódnak egy olyan RADIUS-kiszolgálóhoz, amely hozzáfér más, a felhasználói fiókokat és hitelesítési adatok tartalmazó adatbázishoz. Más felhasználói adatbázisok például a Novell Directory Services- (NDS-) és az SQL-adatbázisok.

  • Ha sok kapcsolati kérelmet kell feldolgoznia. Ebben az esetben ahelyett, hogy a RADIUS-ügyfeleket úgy konfigurálná, hogy azok próbálják elosztani kapcsolódási és nyilvántartási kérelmeiket a RADIUS-kiszolgálók között, megadhatja, hogy a kapcsolódási és nyilvántartási kérelmeiket egy RADIUS-proxyként működő hálózati házirend-kiszolgálónak küldjék. A RADIUS-proxyként működő hálózati házirend-kiszolgáló dinamikusan osztja el a kapcsolódási és nyilvántartási kérelmeket a RADIUS-kiszolgálók között és megnöveli a másodpercenként feldolgozott RADIUS-ügyfelek és -hitelesítések számát.

  • Ha RADIUS-hitelesítést és -engedélyezést kíván biztosítani kihelyezett internetszolgáltatóknak, és minimalizálni szeretné az intranetes tűzfal konfigurációját. Az intranetes tűzfal a szegélyhálózat (az intranet és az internet közötti hálózat) és az intranet között helyezkedik el. Ha egy hálózati házirend-kiszolgálót helyez el a szegélyhálózaton, a szegélyhálózat és az intranet közötti tűzfalnak engedélyeznie kell a forgalmat a hálózati házirend-kiszolgáló és több tartományvezérlő között. A hálózati házirend-kiszolgáló helyett egy hálózati házirend-kiszolgáló proxy elhelyezésével a tűzfalnak csak a RADIUS-forgalmat szabad engedélyeznie a hálózati házirend-kiszolgáló és egy vagy több, az intraneten belüli hálózati házirend-kiszolgáló között.


Tartalom