ネットワーク ポリシー サーバーの概要

NPS は、インターネット技術標準化委員会 (IETF) 発行の RFC 2865 および 2866 で定められた RADIUS 標準規格の Microsoft 実装です。NPS は RADIUS サーバーとして、ワイヤレス、認証スイッチ、ダイヤルアップおよび仮想プライベート ネットワーク (VPN) リモート アクセス、ルーター間接続など、さまざまなネットワーク アクセスに対して、接続の認証、承認、およびアカウンティングを一元的に実行します。

NPS では、ワイヤレス、スイッチ、リモート アクセス、または VPN など異なる種類の機器を組み合わせて使用できます。NPS は、Microsoft Windows 2000、Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition、および Windows Server 2003, Datacenter Edition が提供するルーティングとリモート アクセス サービスと併用できます。

NPS を実行するサーバーが Active Directory® ドメイン サービス (AD DS) ドメインのメンバーである場合、NPS は Active Directory サービスをユーザー アカウント データベースとして使用し、NPS はシングル サインオン ソリューションに統合されます。ネットワーク アクセスの制御 (ネットワークへのアクセスの認証と承認) および AD DS ドメインへのログオンに、同じ資格情報のセットが使用されます。

インターネット サービス プロバイダー (ISP) やネットワーク アクセスを管理する組織にとって、使用するネットワーク アクセス機器の種類にかかわらず、あらゆる種類のネットワーク アクセスを一元的に管理するという課題はますます大きな課題となっています。RADIUS 標準は、同種環境でも異種環境でも、この機能をサポートします。RADIUS は、(RADIUS クライアントとして使用される) ネットワーク アクセス機器が、RADIUS サーバーに認証および承認要求を送信するためのクライアント/サーバー プロトコルです。

RADIUS サーバーは、ユーザー アカウント情報にアクセスでき、ネットワーク認証資格情報を確認できます。ユーザー資格情報が認証され、接続要求が承認されると、RADIUS サーバーは指定された条件を基にユーザーのアクセスを承認し、このネットワーク アクセス接続をアカウンティング ログに記録します。RADIUS を使用することで、ネットワーク アクセス ユーザーの認証、承認、およびアカウンティング データを各アクセス サーバー上ではなく、一元的に収集および管理できます。

詳細については、「RADIUS サーバー」を参照してください。

NPS は RADIUS プロキシとしては、認証およびアカウンティング メッセージを他の RADIUS サーバーに転送します。

NPS を利用すると、組織はユーザーの認証、承認、およびアカウンティングに対する制御を維持しながら、リモート アクセス インフラストラクチャをサービス プロバイダーにアウトソースできます。

次のシナリオごとに異なる NPS 構成を構築できます。

• ワイヤレス アクセス
  
  
• 組織のダイヤルアップまたは仮想プライベート ネットワーク (VPN) リモート アクセス
  
  
• アウトソースされたダイヤルアップまたはワイヤレス アクセス
  
  
• インターネット アクセス
  
  
• ビジネス パートナー向けのエクストラネット リソースへの認証されたアクセス
  
  

詳細については、「RADIUS プロキシ」を参照してください。

次の構成例は、どのように NPS を RADIUS サーバーおよび RADIUS プロキシとして構成できるかを示しています。

RADIUS サーバーとして機能する NPS。この例では、NPS を RADIUS サーバーとして構成します。既定の接続要求ポリシーが、構成されている唯一のポリシーです。すべての接続要求はローカルの NPS サーバーによって処理されます。NPS サーバーは、アカウントが NPS サーバーのドメインおよび信頼される側のドメインにあるユーザーを認証および承認できます。

RADIUS プロキシとして機能する NPS。この例では、NPS サーバーを、2 つの信頼されていないドメインにあるリモート RADIUS サーバー グループに接続要求を転送する RADIUS プロキシとして構成します。既定の接続要求ポリシーは削除され、信頼されていない 2 つの異なるドメインに要求を転送する 2 つの新しい接続要求ポリシーが作成されます。この例では、NPS はローカル サーバー上で接続要求を処理しません。

RADIUS サーバーと RADIUS プロキシの両方として機能する NPS。接続要求がローカルで処理されるように指定している既定の接続要求ポリシーに加え、NPS や信頼されていないドメインの他の RADIUS サーバーに接続要求を転送する新しい接続要求ポリシーが作成されます。この 2 番目のポリシーは、プロキシ ポリシーと呼ばれます。この例では、プロキシ ポリシーがポリシー一覧の先頭に表示されます。接続要求がプロキシ ポリシーに一致する場合、接続要求はリモート RADIUS サーバー グループの RADIUS サーバーに転送されます。接続要求がプロキシ ポリシーに一致しないものの、既定の接続要求ポリシーに一致する場合、NPS はローカル サーバー上で接続要求を処理します。接続要求がどちらのポリシーにも一致しない場合、その接続要求は破棄されます。

RADIUS サーバーとして機能する NPS とリモート アカウンティング サーバー。この例では、ローカル NPS サーバーはアカウンティングを実行するようには構成されていません。既定の接続要求ポリシーが変更されて、NPS サーバー、またはリモート RADIUS サーバー グループに属する他の RADIUS サーバーに RADIUS アカウンティング メッセージが転送されるようになります。アカウンティング メッセージは転送されますが、認証と承認のメッセージは転送されません。ローカルの NPS サーバーが、ローカル ドメインとすべての信頼されるドメインのためにこれらの機能を実行します。

[Windows ユーザー マッピングへのリモート RADIUS] 属性による NPS。この例では、個々の接続要求に対して NPS が RADIUS サーバーと RADIUS プロキシの両方として機能します。NPS は、認証要求をリモート RADIUS サーバーに転送する一方で、承認にはローカルの Windows ユーザー アカウントを使用します。この構成は、接続要求ポリシーの条件として、[Windows ユーザー マッピングへのリモート RADIUS] 属性を構成することによって実装されます。また、リモート RADIUS サーバーが認証を行う対象となるリモートユーザー アカウントと同じ名前を持つユーザー アカウントを、この RADIUS サーバーにローカルで作成する必要があります。