Serwer dostępu do sieci (NAS) to urządzenie, które zapewnia określony poziom dostępu do większej sieci. Serwer dostępu do sieci używający infrastruktury usługi RADIUS to także klient usługi RADIUS, który wysyła żądania połączeń i komunikaty ewidencjonowania aktywności do serwera usługi RADIUS w celu uwierzytelniania, autoryzacji i ewidencjonowania aktywności.
 | Ważne |
|
Komputery klienckie, takie jak podłączone bezprzewodowo komputery przenośne i inne komputery, na których uruchomiony jest kliencki system operacyjny, nie są klientami usługi RADIUS. Klientami usługi RADIUS są serwery z dostępem do sieci, takie jak bezprzewodowe punkty dostępu, przełączniki uwierzytelniające 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery telefonowania, ponieważ używają one protokołu RADIUS do komunikacji z serwerami usługi RADIUS, takimi jak serwery NPS (Network Policy Server). |
Aby wdrożyć serwer zasad sieciowych (NPS) jako serwer usługi RADIUS, serwer proxy usługi RADIUS lub serwer zasad ochrony dostępu do sieci (NAP), należy skonfigurować klientów usługi RADIUS na serwerze zasad sieciowych.
Przykładowi klienci usługi RADIUS
Przykładowe serwery dostępu do sieci to:
-
Serwery dostępu do sieci zapewniające połączenia dostępu zdalnego z siecią w organizacji lub z Internetem. Takim serwerem jest na przykład komputer z systemem operacyjnym Windows Server® 2008 oraz usługą Routing i dostęp zdalny, który oferuje tradycyjne usługi telefoniczne lub usługi dostępu zdalnego do intranetu organizacji za pośrednictwem wirtualnej sieci prywatnej (VPN).
-
Punkty dostępu bezprzewodowego oferujące dostęp do sieci firmowej na poziomie warstwy fizycznej za pomocą metod transmisji i odbioru bezprzewodowego.
-
Przełączniki oferujące dostęp do sieci firmowej na poziomie warstwy fizycznej za pomocą tradycyjnych technologii sieci LAN, takich jak sieci Ethernet.
-
Serwery proxy usługi RADIUS przesyłające dalej żądania połączeń do serwerów usługi RADIUS, które należą do grupy zdalnych serwerów usługi RADIUS skonfigurowanej na serwerze proxy usługi RADIUS.
Komunikaty żądania dostępu usługi RADIUS
Klienci usługi RADIUS tworzą komunikaty żądania dostępu usługi RADIUS i przesyłają je dalej do serwera proxy usługi RADIUS lub do serwera usługi RADIUS albo przesyłają dalej do serwera usługi RADIUS komunikaty żądania dostępu, których nie utworzyli, lecz odebrali od innych klientów usługi RADIUS.
Klienci usługi RADIUS nie przetwarzają komunikatów żądania dostępu przez wykonywanie operacji uwierzytelniania, autoryzacji oraz ewidencjonowania aktywności. Tylko serwery usługi RADIUS pełnią te funkcje.
Serwer zasad sieciowych może jednak zostać skonfigurowany jednocześnie jako serwer proxy usługi RADIUS i serwer usługi RADIUS, tak aby przetwarzał niektóre komunikaty żądania dostępu i przesyłał dalej pozostałe komunikaty.
Serwer NPS jako klient usługi RADIUS
Serwer NPS pełni funkcję klienta usługi RADIUS, gdy jest skonfigurowany jako serwer proxy usługi RADIUS przesyłający komunikaty żądania dostępu do innych serwerów usługi RADIUS w celu przetworzenia. Podczas używania serwera NPS jako serwera proxy usługi RADIUS wymagane jest wykonanie następujących ogólnych czynności konfiguracyjnych:
-
Serwery dostępu do sieci (takie jak punkty dostępu bezprzewodowego i serwery sieci VPN) są konfigurowane za pomocą adresu IP serwera proxy zasad sieciowych jako wyznaczony serwer usługi RADIUS lub serwer uwierzytelniający. Dzięki temu serwery dostępu do sieci, które tworzą komunikaty żądania dostępu na podstawie informacji otrzymywanych od klientów dostępu, mogą przesyłać dalej komunikaty do serwera proxy zasad sieciowych.
-
Serwer proxy zasad sieciowych jest konfigurowany przez dodawanie każdego serwera dostępu do sieci jako klienta usługi RADIUS. Ta czynność konfiguracyjna umożliwia serwerowi proxy zasad sieciowych otrzymywanie komunikatów od serwerów dostępu do sieci i komunikowanie się z nimi za pomocą uwierzytelniania. Ponadto zasady żądań połączeń na serwerze proxy zasad sieciowych są konfigurowane tak, aby określały, które komunikaty żądania dostępu mają być przesłane dalej do jednego lub większej liczby serwerów usługi RADIUS. Te zasady są także konfigurowane za pomocą grupy zdalnych serwerów usługi RADIUS, która wskazuje serwerowi NPS, dokąd należy wysyłać komunikaty odebrane od serwerów dostępu do sieci.
-
Serwer NPS lub inne serwery usługi RADIUS należące do grupy zdalnych serwerów usługi RADIUS na serwerze proxy zasad sieciowych są konfigurowane tak, aby odbierały komunikaty od serwera proxy zasad sieciowych. Ta czynność jest wykonywana przez skonfigurowanie serwera proxy zasad sieciowych jako klienta usługi RADIUS.
Właściwości klienta usługi RADIUS
Serwer NPS jest konfigurowany do odbierania komunikatów żądania dostępu usługi RADIUS od serwera dostępu do sieci lub serwera proxy usługi RADIUS podczas dodawania klienta usługi RADIUS do konfiguracji serwera NPS za pomocą przystawki Serwer zasad sieciowych lub poleceń netsh dotyczących serwera NPS.
Podczas konfigurowania klienta usługi RADIUS na serwerze NPS można określić następujące właściwości:
-
Nazwa klienta
Przyjazna nazwa klienta usługi RADIUS, która ułatwia jego identyfikację podczas używania przystawki Serwer zasad sieciowych lub poleceń netsh dotyczących serwera NPS.
-
Adres IP
Adres protokołu IP w wersji 4 (IPv4) lub nazwa DNS klienta usługi RADIUS.
-
Dostawca-klient
Dostawca klienta usługi RADIUS. W innym wypadku można użyć standardowej wartości usługi RADIUS dla tej właściwości.
-
Wspólne hasło
Ciąg tekstowy używany jako hasło podczas komunikacji między klientami usługi RADIUS, serwerami usługi RADIUS i serwerami proxy usługi RADIUS. Jeśli jest używany atrybut Wystawca uwierzytelnienia wiadomości, wspólne hasło jest także używane jako klucz do szyfrowania komunikatów usługi RADIUS. Ten ciąg należy skonfigurować na kliencie usługi RADIUS i w przystawce Serwer zasad sieciowych.
-
Atrybut Wystawca uwierzytelnienia wiadomości
Pozycja opisana w specyfikacji RFC 2869 dotyczącej rozszerzeń usługi RADIUS - wartość skrótu MD5 (Message Digest 5) całego komunikatu usługi RADIUS. Jeśli jest obecny atrybut Wystawca uwierzytelnienia wiadomości usługi RADIUS, jest on weryfikowany. Jeśli weryfikacja nie powiedzie się, komunikat usługi RADIUS zostanie odrzucony. Jeśli ustawienia klienta wymagają atrybutu Wystawca uwierzytelnienia wiadomości, komunikat usługi RADIUS zostanie odrzucony, gdy ten atrybut nie będzie obecny. Używanie atrybutu Wystawca uwierzytelnienia wiadomości jest zalecane.
Uwaga Atrybut Wystawca uwierzytelnienia wiadomości jest wymagany i domyślnie włączony, jeśli jest używane uwierzytelnianie za pomocą protokołu EAP.
-
Klient z obsługą ochrony dostępu do sieci
Oznaczenie informujące, że klient usługi RADIUS jest zgodny z funkcją ochrony dostępu do sieci (NAP) oraz że serwer NPS wysyła atrybuty funkcji NAP do klienta usługi RADIUS w komunikacie udzielenia dostępu.