Een verbindingsaanvraagbeleid is een set voorwaarden en instellingen waarmee netwerkbeheerders kunnen bepalen door welke RADIUS-servers (Remote Authentication Dial-In User Service) verbindingsaanvragen kunnen worden geverifieerd en geautoriseerd die de NPS-server (Network Policy Server) van RADIUS-clients ontvangt. Via verbindingsaanvraagbeleidsregels kan worden bepaald welke RADIUS-servers voor RADIUS-accounting worden gebruikt.

Belangrijk

Als u NAP (Network Access Protection) implementeert via de VPN- (Virtual Private Network) of 802.1x-afdwingmethoden met PEAP-verificatie (Protected Extensible Authentication Protocol), moet u PEAP-verificatie in het verbindingsaanvraagbeleid configureren, zelfs wanneer verbindingsaanvragen lokaal worden verwerkt.

U kunt beleidsregels voor verbindingsaanvragen zo maken dat bepaalde RADIUS-aanvraagberichten die zijn verzonden vanaf RADIUS-clients, lokaal worden verwerkt (NPS wordt gebruikt als RADIUS-server) en dat andere typen berichten worden doorgestuurd naar een andere RADIUS-server (NPS wordt gebruikt als RADIUS-proxy).

Voor het verbindingsaanvraagbeleid kunt u NPS gebruiken als RADIUS-server of als RADIUS-proxy, afhankelijk van de volgende factoren:

  • Het tijdstip van de dag en de dag van de week

  • De realm-naam in de verbindingsaanvraag

  • Het type verbinding dat wordt aangevraagd

  • Het IP-adres van de RADIUS-client

RADIUS Access-Request-berichten worden alleen verwerkt of doorgestuurd door NPS als de instellingen van het binnenkomende bericht minimaal overeenkomen met een van de beleidsregels voor de verbindingsaanvraag die zijn geconfigureerd op de NPS-server. Als de beleidsinstellingen overeenkomen en in het beleid is aangegeven dat het bericht moet worden verwerkt op de NPS-server, fungeert NPS als RADIUS-server en wordt hiermee de verbindingsaanvraag geverifieerd en geautoriseerd. Als de beleidsinstellingen overeenkomen en in het beleid is aangegeven dat het bericht moet worden doorgestuurd door de NPS-server, fungeert NPS als RADIUS-proxy en wordt de verbindingsaanvraag hiermee doorgestuurd naar een externe RADIUS-server voor verwerking.

Als de instellingen van een binnenkomend RADIUS Access-Request-bericht niet overeenkomen met minimaal een van de beleidsregels voor de verbindingsaanvraag, wordt een Access-Reject-bericht verzonden naar de RADIUS-client en wordt de toegang geweigerd voor de gebruiker of computer die verbinding wil maken.

Configuratievoorbeelden

In de volgende configuratievoorbeelden wordt aangegeven hoe u beleidsregels voor verbindingsaanvragen kunt gebruiken.

  • NPS als RADIUS-server

    Het standaardbeleid voor de verbindingsaanvraag is het enige geconfigureerde beleid. In dit voorbeeld is NPS geconfigureerd als RADIUS-server en worden alle verbindingsaanvragen verwerkt door de lokale NPS-server. Op de NPS-server kunnen de gebruikers worden geverifieerd en geautoriseerd die een gebruikersaccount hebben in het domein van de NPS-server en vertrouwde domeinen.

  • NPS als RADIUS-proxy

    Het standaardbeleid voor verbindingsaanvragen is verwijderd en er worden twee nieuwe beleidsregels voor verbindingsaanvragen gemaakt waarmee aanvragen naar twee verschillende domeinen kunnen worden doorgestuurd. In dit voorbeeld is NPS geconfigureerd als RADIUS-proxy. Via NPS worden geen verbindingsaanvragen verwerkt op de lokale server. In plaats hiervan worden verbindingsaanvragen doorgestuurd naar NPS of andere RADIUS-servers die zijn geconfigureerd als lid van externe RADIUS-servergroepen.

  • NPS als RADIUS-server en RADIUS-proxy

    Naast het standaardbeleid voor verbindingsaanvragen wordt een nieuw verbindingsaanvraagbeleid gemaakt waarmee verbindingsaanvragen worden doorgestuurd naar een NPS of andere RADIUS-server in een niet-vertrouwd domein. In dit voorbeeld wordt het proxybeleid bovenaan weergegeven in de geordende beleidslijst. Als de verbindingsaanvraag voldoet aan het proxybeleid, wordt deze doorgestuurd naar de RADIUS-server in de externe RADIUS-servergroep. Als de verbindingsaanvraag niet aan het proxybeleid voldoet, maar wel aan het standaardbeleid voor verbindingsaanvragen, wordt deze op de lokale server verwerkt. De verbindingsaanvraag wordt genegeerd als deze aan geen van beide beleidsregels voldoet.

  • NPS als RADIUS-server met externe accountingservers

    In dit voorbeeld wordt geen accounting uitgevoerd op de lokale NPS-server en is het standaardbeleid voor verbindingsaanvragen aangepast, zodat RADIUS-accountingberichten worden doorgestuurd naar een NPS-server of andere RADIUS-server in een externe RADIUS-servergroep. Verificatie- en autorisatieberichten worden in tegenstelling tot accountingberichten niet doorgestuurd. Deze functies worden door de lokale NPS-server uitgevoerd voor het lokale domein en alle vertrouwde domeinen.

  • NPS met Gebruikerskoppeling tussen externe RADIUS-server en Windows.

    In dit voorbeeld heeft NPS de rol van RADIUS-server en RADIUS-proxy voor elke afzonderlijke verbindingsaanvraag. Dit gebeurt door de verificatieaanvraag naar een externe RADIUS-server te verzenden en de autorisatie uit te voeren op basis van een lokaal Windows-gebruikersaccount. In deze configuratie moet het kenmerk Gebruikerskoppeling tussen externe RADIUS-server en Windows worden ingesteld als voorwaarde voor het beleid voor verbindingsaanvragen. (Er moet bovendien een lokaal gebruikersaccount worden gemaakt met dezelfde naam als het externe gebruikersaccount waarmee de verificatie op de externe RADIUS-server wordt uitgevoerd.)

Voorwaarden

Beleidsvoorwaarden voor verbindingsaanvragen bestaan uit een of meer RADIUS-kenmerken die worden vergeleken met de kenmerken van het binnenkomende RADIUS Access-Request-bericht. Als er meerdere voorwaarden zijn, moeten alle voorwaarden in het verbindingsaanvraagbericht en in het verbindingsaanvraagbeleid overeenkomen voordat het beleid wordt afgedwongen via NPS.

Hierna volgen de beschikbare voorwaardekenmerken die u kunt configureren in beleidsregels voor verbindingsaanvragen.

De kenmerkgroep Verbindingseigenschappen bevat de volgende kenmerken.

  • Framed Protocol. Hiermee wordt het type framing voor binnenkomende pakketten aangegeven. Voorbeelden zijn PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Frame Relay en X.25.

  • Servicetype. Hiermee wordt het type service aangegeven dat wordt aangevraagd. Voorbeelden zijn framed (bijvoorbeeld PPP-verbindingen) en login (bijvoorbeeld Telnet-verbindingen). Zie RFC 2865, 'Remote Authentication Dial-in User Service (RADIUS)' voor meer informatie over RADIUS-servicetypen.

  • Tunnel Type. Hiermee wordt het type tunnel aangegeven dat wordt gemaakt door de aanvragende client. Tunneltypen zijn onder andere PPTP (Point-to-Point Tunneling Protocol) en L2TP (Layer Two Tunneling Protocol).

De kenmerkgroep Dag- en tijdsbeperkingen bevat het kenmerk Dag- en tijdsbeperkingen. Met dit kenmerk kunt u de dag van de week en het tijdstip van de dag aangegeven van de verbindingspoging. De dag en het tijdstip hebben betrekking op de dag en het tijdstip op de NPS-server.

De kenmerkgroep Gateway bevat de volgende kenmerken.

  • Id van aangeroepen station. Hiermee wordt het telefoonnummer van de netwerktoegangsserver aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om netnummers op te geven.

  • NAS-id. Hiermee wordt de naam van de netwerktoegangsserver aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om NAS-id's op te geven.

  • NAS IPv4-adres. Hiermee wordt het IPv4-adres (Internet Protocol versie 4) van de netwerktoegangsserver (de RADIUS-client) aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om IP-netwerken op te geven.

  • NAS IPv6-adres. Hiermee wordt het IPv6-adres (Internet Protocol versie 6) van de netwerktoegangsserver (de RADIUS-client) aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om IP-netwerken op te geven.

  • NAS-poorttype. Hiermee wordt het type media aangegeven dat voor de toegangsclient wordt gebruikt. Voorbeelden zijn analoge telefoonlijnen (ook wel asynchroon genoemd), ISDN (Integrated Services Digital Network), tunnels of VPN-netwerken (Virtual Private Network), draadloos IEEE 802.11 en Ethernet-switches.

De kenmerkgroep Computeridentiteit bevat het kenmerk Computeridentiteit. Met dit kenmerk kunt u de methode opgeven waarmee clients worden aangegeven in het beleid.

De kenmerkgroep Eigenschappen van RADIUS-client bevat de volgende kenmerken.

  • Id van aanroepend station. Hiermee wordt het telefoonnummer aangegeven dat wordt gebruikt door de beller (de toegangsclient). Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om netnummers op te geven.

  • Beschrijvende naam van client. Hiermee wordt de naam aangegeven van de RADIUS-clientcomputer waarmee verificatie wordt aangevraagd. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om namen van clients op te geven.

  • IPv4-adres van client. Hiermee wordt het IPv4-adres van de netwerktoegangsserver (de RADIUS-client) aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om IP-netwerken op te geven.

  • IPv6-adres van client. Hiermee wordt het IPv6-adres van de netwerktoegangsserver (de RADIUS-client) aangegeven. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken om IP-netwerken op te geven.

  • Clientleverancier. Hiermee wordt de leverancier aangegeven van de netwerktoegangsserver waarmee verificatie wordt aangevraagd. Een computer waarop de Routing and Remote Access-service wordt uitgevoerd, is de Microsoft NAS-fabrikant. Met dit kenmerk kunt u afzonderlijke beleidsregels configureren voor verschillende NAS-fabrikanten. Dit kenmerk bestaat uit een tekenreeks. U kunt jokertekens gebruiken.

De kenmerkgroep Gebruikersnaam bevat het kenmerk Gebruikersnaam. Met dit kenmerk kunt u de gebruikersnaam, of een gedeelte van de gebruikersnaam, aangeven die moet overeenkomen met de gebruikersnaam die door de toegangsclient is opgegeven in het RADIUS-bericht. Dit kenmerk is een tekenreeks die normaal gesproken bestaat uit een realm-naam en een gebruikersaccountnaam. U kunt jokertekens gebruiken om gebruikersnamen op te geven.

Instellingen

Beleidsinstellingen voor verbindingsaanvragen bestaan uit een set eigenschappen die wordt toegepast op een binnenkomend RADIUS-bericht. De instellingen bestaan uit de volgende eigenschapsgroepen:

  • Verificatie

  • Accounting

  • Bewerken van kenmerken

  • Geavanceerd

Verificatie

Met deze instelling kunt u de verificatie-instellingen vervangen die zijn geconfigureerd in alle netwerkbeleidsregels. Daarnaast kunt u de verificatiemethoden en -typen aangeven die zijn vereist voor het maken van verbinding met het netwerk.

Belangrijk

Als u een verificatiemethode configureert in een verbindingsaanvraagbeleid die minder veilig is dan de verificatiemethode die u configureert in het netwerkbeleid, wordt de veiligere verificatiemethode die u in het netwerkbeleid configureert, vervangen. Als u bijvoorbeeld een netwerkbeleid hebt waarvoor het gebruik van PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), een wachtwoordverificatiemethode voor veilige draadloze verbindingen, is vereist en u ook een verbindingsaanvraagbeleid configureert waarmee niet-geverifieerde toegang wordt toegestaan, hoeven clients niet te worden geverifieerd met PEAP-MS-CHAP v2. In dit voorbeeld wordt aan alle clients die verbinding maken met het netwerk, niet-geverifieerde toegang verleend.

Accounting

Met deze instelling kunt u in het verbindingsaanvraagbeleid configureren dat accountinggegevens worden doorgestuurd naar een NPS-server of een andere RADIUS-server in een externe RADIUS-servergroep, zodat de accounting wordt uitgevoerd door de externe RADIUS-servergroep.

Opmerking

Als u over meerdere RADIUS-servers beschikt en u de accountinggegevens van alle servers wilt opslaan in een centrale RADIUS-accountingdatabase, kunt u de accountinginstelling van het verbindingsaanvraagbeleid gebruiken in een beleid op elke RADIUS-server om de accountinggegevens van alle servers door te sturen naar één NPS of andere RADIUS-server die is toegewezen als accountingserver.

Accountinginstellingen van het verbindingsaanvraagbeleid werken onafhankelijk van de accountingconfiguratie van de lokale NPS-server. Met andere woorden, als u de lokale NPS-server configureert voor de registratie van RADIUS-accountinggegevens in een lokaal bestand of op een Microsoft® SQL Server™-database, wordt dit uitgevoerd, ongeacht of u een verbindingsaanvraagbeleid configureert voor het doorsturen van accountingberichten naar een externe RADIUS-servergroep.

Als u accountinggegevens extern, maar niet lokaal wilt registreren, moet u de lokale NPS-server zo configureren dat er geen accounting wordt uitgevoerd. Daarnaast moet u accounting configureren in een verbindingsaanvraagbeleid waarmee accountinggegevens worden doorgestuurd naar een externe RADIUS-servergroep.

Bewerken van kenmerken

U kunt een set regels voor zoeken-en-vervangen configureren waarmee de tekstreeksen van een van de volgende kenmerken worden bewerkt:

  • Gebruikersnaam

  • Id van aangeroepen station

  • Id van aanroepend station

Regels voor zoeken-en-vervangen worden verwerkt voor een van de voorafgaande kenmerken, voordat verificatie- en accountingsinstellingen worden toegepast op het RADIUS-bericht. Bewerkingsregels voor kenmerken zijn van toepassing op slechts één kenmerk. U kunt geen bewerkingsregels voor kenmerken maken voor alle kenmerken. Daarnaast is de lijst met kenmerken die u kunt bewerken een statische lijst. U kunt niets toevoegen aan de lijst met kenmerken die kunnen worden bewerkt.

Opmerking

Als u het MS-CHAP v2-verificatieprotocol gebruikt, kunt u het kenmerk Gebruikersnaam niet bewerken als het verbindingsaanvraagbeleid wordt gebruikt om het RADIUS-bericht door te sturen. De enige uitzondering hierop treedt op wanneer een backslash (\) wordt gebruikt en de bewerking alleen van invloed is op de informatie links van dit teken. Met een backslash wordt meestal een domeinnaam (de gegevens links van de backslash) en een gebruikersaccountnaam binnen het domein (de informatie rechts van de backslash) aangegeven. In dit geval zijn alleen bewerkingsregels voor kenmerken toegestaan waarmee de domeinnaam wordt gewijzigd of vervangen.

Aanvragen doorsturen

U kunt de volgende opties voor het doorsturen van aanvragen instellen die worden gebruikt voor RADIUS Access-Request-berichten:

Aanvragen op deze server verifiëren. Met deze instelling wordt voor NPS een Windows NT 4.0-domein, Active Directory of de lokale SAM-gebruikersaccountdatabase (Security Accounts Manager) gebruikt voor de verificatie van de verbindingsaanvraag. Met deze instelling wordt ook opgegeven dat het overeenkomende netwerkbeleid dat is geconfigureerd in NPS en de inbeleigenschappen van het gebruikersaccount worden gebruikt voor NPS om de verbindingsaanvraag te autoriseren. In dit geval is de NPS-server geconfigureerd als RADIUS-server.

Aanvragen naar deze externe RADIUS-servergroep doorsturen. Met deze instelling worden verbindingsaanvragen via NPS doorgestuurd naar de opgegeven externe RADIUS-servergroep. Als op de NPS-server een geldig Access-Accept-bericht wordt ontvangen dat overeenkomt met het Access-Request-bericht, wordt de verbinding geverifieerd en geautoriseerd. In dit geval fungeert de NPS-server als RADIUS-proxy.

Gebruikers accepteren zonder hun referenties te verifiëren. Met deze instelling wordt via NPS niet de identiteit geverifieerd van de gebruiker die verbinding maakt met het netwerk en wordt niet geverifieerd of de gebruiker of computer beschikt over machtigingen voor het maken van verbinding met het netwerk. Wanneer NPS is geconfigureerd voor het toestaan van niet-geverifieerde toegang en er een verbindingsaanvraag wordt ontvangen, wordt via NPS direct een Access-Accept-bericht verzonden naar de RADIUS-client en wordt aan de gebruiker of computer netwerktoegang verleend. Deze instelling wordt gebruikt voor bepaalde typen verplichte tunneling, waarbij de toegangsclient via een tunnel verbinding maakt voordat de referenties van de gebruiker zijn geverifieerd.

Opmerking

Deze verificatieoptie kan niet worden gebruikt wanneer het verificatieprotocol van de toegangsclient MS-CHAP v2 of EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) is, omdat bij deze protocollen wederzijdse verificatie wordt uitgevoerd. Bij wederzijdse verificatie moet de toegangsclient aan de verificatieserver (de NPS-server) bewijzen dat deze een geldige toegangsclient is en moet de verificatieserver aan de toegangsclient bewijzen dat deze geldig is. Wanneer u deze verificatieoptie gebruikt, wordt het Access-Accept-bericht geretourneerd. De verificatieserver biedt echt geen validatie aan de toegangsclient en de wederzijdse verificatie mislukt.

Geavanceerd

U kunt geavanceerde eigenschappen instellen om de reeks RADIUS-kenmerken op te geven die:

  • Worden toegevoegd aan het RADIUS-reactiebericht wanneer de NPS-server wordt gebruikt als RADIUS-verificatieserver of -accountingserver.

    Wanneer er kenmerken zijn opgegeven in een netwerkbeleid en in het verbindingsaanvraagbeleid, vormen de kenmerken die worden verzonden in het RADIUS-reactiebericht de combinatie van de twee sets kenmerken.

  • Worden toegevoegd aan het RADIUS-bericht wanneer de NPS-server wordt gebruikt als RADIUS-verificatieproxy of -accountingproxy. Als het kenmerk al bestaat in het bericht dat wordt doorgestuurd, wordt dit vervangen door de waarde van het kenmerk dat is opgegeven in het verbindingsaanvraagbeleid.

Daarnaast beschikt u met bepaalde kenmerken die kunnen worden geconfigureerd voor het verbindingsaanvraagbeleid op het tabblad Instellingen in de categorie Geavanceerd, over gespecialiseerde functionaliteit. U kunt bijvoorbeeld het kenmerk Gebruikerskoppeling tussen externe RADIUS-server en Windows configureren wanneer u de verificatie en autorisatie van een verbindingsaanvraag wilt verdelen over twee gebruikersaccountdatabases.

Met het kenmerk Gebruikerskoppeling tussen externe RADIUS-server en Windows wordt opgegeven dat Windows-autorisatie plaatsvindt voor gebruikers die worden geverifieerd door een externe RADIUS-server. Dit houdt in dat de verificatie wordt uitgevoerd op een externe RADIUS-server op basis van een gebruikersaccount in een externe gebruikersaccountdatabase, maar dat de verbindingsaanvraag wordt geautoriseerd op de lokale NPS-server op basis van een gebruikersaccount in een lokale gebruikersaccountdatabase. Dit is handig wanneer u bezoekers toegang wilt geven tot uw netwerk.

Bezoekers van partnerorganisaties kunnen bijvoorbeeld worden geverifieerd via de RADIUS-server van hun eigen organisatie en kunnen een Windows-gebruikersaccount in uw organisatie gebruiken om toegang te krijgen tot een gast-LAN (Local Area Network) in uw netwerk.

De volgende kenmerken bevatten ook gespecialiseerde functionaliteit:

  • MS-Quarantine-IPFilter en MS-Quarantine-Session-Timeout. Deze kenmerken worden gebruikt wanneer u NAQC (Network Access Quarantine Control) implementeert met de VPN-implementatie voor Routering en RAS.

  • Passport-User-Mapping-UPN-Suffix. Met dit kenmerk kunt u verbindingsaanvragen verifiëren met id-gebruikersaccountreferenties van Windows Live™.

  • Tunnel-Tag. Met dit kenmerk wordt het id-nummer voor VLAN aangegeven waaraan de verbinding moet worden toegewezen via de netwerktoegangsserver wanneer u VLAN's (Virtual Local Area Networks) implementeert.

Standaardbeleid voor verbindingsaanvragen

Er wordt een standaardbeleid voor verbindingsaanvragen gemaakt wanneer u NPS installeert. Dit beleid heeft de volgende configuratie:

  • Verificatie is niet geconfigureerd.

  • Accounting is niet geconfigureerd voor het doorsturen van accountinggegevens naar een externe RADIUS-servergroep.

  • Kenmerk is niet geconfigureerd met bewerkingsregels voor kenmerken waarmee verbindingsaanvragen worden doorgestuurd naar externe RADIUS-servergroepen.

  • Aanvraag wordt doorgestuurd is zo geconfigureerd dat verbindingsaanvragen worden geverifieerd en geautoriseerd op de lokale NPS-server.

  • Geavanceerde kenmerken worden niet geconfigureerd.

Bij het standaardbeleid voor verbindingsaanvragen wordt NPS gebruikt als RADIUS-server. Als u een server wilt configureren waarop NPS fungeert als een RADIUS-proxy, moet u ook een externe RADIUS-servergroep configureren. U kunt een nieuwe externe RADIUS-servergroep maken wanneer u een nieuw verbindingsaanvraagbeleid maakt met de wizard Beleid voor nieuwe verbindingsaanvragen. U kunt het standaardbeleid voor verbindingsaanvragen verwijderen of controleren of dit standaardbeleid het laatst verwerkte beleid is.

Opmerking

Als NPS en de Routing and Remote Access-service op dezelfde computer zijn geïnstalleerd en de Routing and Remote Access-service is geconfigureerd voor Windows-verificatie en -accounting, worden verificatie- en accountingaanvragen van Routering en RAS mogelijk doorgestuurd naar een RADIUS-server. Dit kan gebeuren wanneer verificatie- en accountingaanvragen van Routering en RAS overeenkomen met een verbindingsaanvraagbeleid dat is geconfigureerd voor het doorsturen van aanvragen naar een externe RADIUS-servergroep.

Inhoudsopgave