Amikor hálózati házirend-kiszolgáló (NPS) RADIUS-kiszolgálóként való használatával telepít 802.1X vezetékes vagy vezeték nélküli hozzáférést, a következő lépéseket kell végrehajtania:
-
Telepítse és konfigurálja a hálózati hozzáférést biztosító kiszolgálókat RADIUS-ügyfélként.
-
Telepítse a hitelesítési módszerek összetevőit.
-
Konfigurálja a hálózati házirend-kiszolgálót RADIUS-kiszolgálóként.
Hálózati hozzáférést biztosító kiszolgálók (RADIUS-ügyfelek) telepítése és konfigurálása
802.1X szabványú vezeték nélküli hozzáférés üzembe helyezéséhez vezeték nélküli elérési pontokat kell telepítenie és konfigurálnia. 802.1X szabványú vezetékes hozzáférés üzembe helyezéséhez 802.1X szabványú hitelesítő kapcsolókat kell telepítenie és konfigurálnia.
Fontos! | |
Az ügyfélszámítógépek, mint például a laptopok és más, ügyfél operációs rendszereket futtató egyéb számítógépek nem RADIUS ügyfelek. A RADIUS-ügyfelek hálózati hozzáférésű kiszolgálók - mint például a vezeték nélküli hozzáférési pontok, 802.1X-kompatibilis kapcsolók, virtuális magánhálózati (VPN) kiszolgálók és telefonos kapcsolatú kiszolgálók - mert a RADIUS kiszolgálókkal való kommunikációhoz RADIUS protokollt (Hálózati házirend-kiszolgálókat) alkalmaznak. |
A hálózati hozzáférést biztosító kiszolgálóknak mindkét esetben meg kell felelniük az alábbi követelményeknek:
-
A IEEE 802.1X-hitelesítési szabvány támogatása
-
A RADIUS-hitelesítés és a RADIUS-nyilvántartás támogatása
Ha olyan számlázó vagy nyilvántartó alkalmazásokat használ, amelyek munkamenet-korrelációt igényelnek, a következőkre lesz szüksége:
-
Az Az IETF RFC 2865 szabványjavaslatában („Remote Authentication Dial-in User Service (RADIUS)”) meghatározott Class attribútum támogatása a munkamenet-korreláció biztosításához a hitelesítési és nyilvántartási RADIUS-rekordokhoz. Amikor konfigurálja a RADIUS-nyilvántartást a hálózati házirend-kiszolgálón vagy proxyn, a munkamenet-korrelációhoz naplóznia kell az összes olyan számlázási adatot, amelyek lehetővé teszik a (például számlázó-) alkalmazások részére az adatbázis lekérdezését, a kapcsolódó mezők korrelációját és az egyes munkamenetek egy összefüggő nézetének megjelenítését a lekérdezés eredményében. Munkamenet-korreláció biztosításához minimálisan a következő hálózati házirend-kiszolgálói adatokat kell naplóznia: NAS-IP-Address, NAS-Identifier (a NAS IP-címére és a NAS-azonosítóra is szüksége van, mert a hozzáférési kiszolgáló bármelyik attribútumot küldheti), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port és Event-Timestamp.
-
A belső fiókkezelési kérelmek támogatása, amelyeket néhány, a hálózati hozzáférést biztosító kiszolgáló a felhasználói munkamenet ideje alatt rendszeresen küld, és amelyek naplózhatók. Ez a kérelemtípus akkor használható, ha az Acct-Interim-Interval RADIUS-attribútum konfigurálva van a periodikus kérelmek támogatására a hálózati házirend-kiszolgáló távoli hozzáférési profiljában. Ha a belső kérelmeket naplózni kívánja a hálózati házirend-kiszolgálón, akkor a hálózati hozzáférést biztosító kiszolgálónak támogatnia kell a belső fiókkezelési kérelmek használatát.
Ha virtuális helyi hálózatot (VLAN) használ, a hálózati hozzáférést biztosító kiszolgálóknak támogatniuk kell.
Nagytávolságú hálózati környezetben (WAN) a hálózati hozzáférést biztosító kiszolgálóknak a következőket kell nyújtaniuk:
-
A dinamikus újraküldési időtúllépés (RTO) becslésének vagy az exponenciális visszalépés támogatása az adattorlódás és a késleltetések kezelésére a nagykiterjedésű hálózati környezetben.
Emellett léteznek szűrési szolgáltatások, amelyeket a hálózati hozzáférést biztosító kiszolgálóknak támogatniuk kell a hálózat fokozott biztonsága érdekében. Ezek a szűrőbeállítások a következők:
-
DHCP-szűrés. A hálózati hozzáférést biztosító kiszolgálóknak szűrést kell végezniük az IP-portokon, hogy megakadályozzák a szórt DHCP-üzenetek átvitelét, ha az ügyfél egy DHCP-kiszolgáló. A hálózati hozzáférést biztosító kiszolgálóknak blokkolniuk kell az ügyfél azon IP-csomagjait, amelyeket az a 68-as portról küld a hálózatra.
-
DNS-szűrés. A hálózati hozzáférést biztosító kiszolgálóknak szűrést kell végezni az IP-portokon, hogy megakadályozzák az ügyfél DNS-kiszolgálóként való működését. A hálózati hozzáférést biztosító kiszolgálóknak blokkolniuk kell az ügyfél azon IP-csomagjait, amelyeket az a 53-as portról küld a hálózatra.
Vezeték nélküli hozzáférési pontok üzembe helyezéséhez ajánlott a Wi-Fi Protected Access (WPA) támogatása. A WPA szolgáltatást a Windows Vista® és a Windows XP (a Service Pack 2 szervizcsomaggal) rendszerek támogatják. A WPA szolgáltatás üzembe helyezéséhez olyan vezeték nélküli hálózati adaptereket használjon, amelyek támogatják a WPA-t.
A hitelesítési módszerek összetevőinek telepítése
A következő hitelesítési módszereket használhatja 802.1X szabványú vezeték nélküli és vezetékes kapcsolatok esetében:
-
Bővíthető hitelesítési protokoll (EAP) TLS protokollal, más néven EAP-TLS.
-
Védett EAP (PEAP) Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) protokollal, más néven PEAP-MS-CHAP v2.
-
PEAP az EAP-TLS protokollal, más néven PEAP-TLS.
EAP-TLS és PEAP-TLS esetén a nyilvános kulcsokra épülő infrastruktúrát (PKI) is telepítenie kell az Active Directory® tanúsítványszolgáltatások oly módon történő telepítésével és beállításával, hogy az kiállítsa a tartományi tag ügyfélszámítógépek és hálózati házirend-kiszolgálók tanúsítványait. Ezeket a tanúsítványokkal az ügyfelek és hálózati házirend-kiszolgálók a hitelesítési folyamat során végeznek identitás-ellenőrzést. Ha kívánja, intelligens kártyákat is használhat az ügyfélszámítógépek tanúsítványai helyett. Ez esetben a szervezet alkalmazottainak intelligens kártyákat és intelligenskártya-olvasókat kell kiadnia.
PEAP-MS-CHAP v2 esetén saját hitelesítésszolgáltatót (CA) telepíthet az Active Directory tanúsítványszolgáltatásokkal a hálózati házirend-kiszolgálók tanúsítványainak kiállítására, vagy nyilvános, az ügyfelek által is elfogadott, megbízható legfelső szintű hitelesítésszolgáltatóktól (például VeriSign) is vásárolhat kiszolgálói tanúsítványokat.
További információt a következő témakörökben talál: Az EAP protokoll - áttekintés és A PEAP protokoll - áttekintés.
Hálózati házirend-kiszolgáló konfigurálása RADIUS-kiszolgálóként
Ha RADIUS-kiszolgálóként konfigurálja a hálózati házirend-kiszolgálót, a RADIUS-ügyfeleket, a hálózati házirendet és a RADIUS-nyilvántartást is be kell állítania.
RADIUS-ügyfelek konfigurálása
A RADIUS-ügyfelek konfigurációja két lépésből áll:
-
A fizikai RADIUS-ügyfél, például a vezeték nélküli hozzáférési pont vagy a hitelesítő kapcsoló konfigurálása olyan információkkal, amelyek lehetővé teszik a hálózati hozzáférést biztosító kiszolgálók számára a hálózati házirend-kiszolgálókkal történő kommunikációt. Ez az információ tartalmazza a hálózati házirend-kiszolgáló IP-címbeállításait, valamint az elérési ponton vagy a kapcsoló felhasználói felületén elérhető közös titkos kulcsot.
-
A hálózati házirend-kiszolgálón adjon hozzá egy új RADIUS-ügyfelet. A hálózati házirend-kiszolgálón adja hozzá az egyes hozzáférési pontokat vagy hitelesítő kapcsolókat RADIUS-ügyfélként. A hálózati házirend-kiszolgáló lehetővé teszi, hogy minden RADIUS-ügyfél esetében megadja az ügyfél rövid nevét, IP-címét és a közös titkos kulcsot.
További információt a következő témakörben talál: Új RADIUS-ügyfél hozzáadása.
Hálózati házirendek konfigurálása
A hálózati házirendek feltételek, korlátozások és beállítások készletei, amelyek lehetővé teszik, hogy meghatározza, ki és milyen körülmények között jogosult a hálózathoz való kapcsolódásra.
További információt a következő témakörben talál: Hálózati házirendek.
RADIUS-nyilvántartás konfigurálása
A RADIUS-nyilvántartás lehetővé teszi a felhasználói hitelesítési és nyilvántartási kérések rögzítését egy helyi naplófájlba vagy egy helyi vagy távoli számítógépen található Microsoft® SQL Server®-adatbázisba.
További információt a következő témakörben talál: RADIUS-nyilvántartás.