Serwer zasad sieciowych (NPS) umożliwia scentralizowane konfigurowanie zasad sieciowych i zarządzanie nimi przy użyciu trzech funkcji: serwera usługi RADIUS (Remote Authentication Dial-In User Service), serwera proxy RADIUS oraz serwera zasad ochrony dostępu do sieci (NAP).

Serwer usługi RADIUS i serwer proxy usługi RADIUS

Serwer NPS może być używany jako serwer usługi RADIUS, serwer proxy usługi RADIUS lub do pełnienia obu tych funkcji.

Serwer usługi RADIUS

Serwer NPS to opracowana przez firmę Microsoft implementacja standardu RADIUS opisanego przez organizację IETF (Internet Engineering Task Force) w dokumentach RFC 2865 oraz 2866. Jako serwer usługi RADIUS serwer NPS zajmuje się scentralizowanym uwierzytelnianiem połączeń, autoryzacją oraz ewidencjonowaniem aktywności dla wielu typów dostępu do sieci, w tym dla bezprzewodowych przełączników uwierzytelniających, zdalnego dostępu telefonicznego i połączeń wirtualnych sieci prywatnych (VPN) oraz połączeń typu router-router.

Serwer NPS umożliwia używanie niejednorodnego zestawu sprzętu bezprzewodowego i przełączającego oraz urządzeń do obsługi dostępu zdalnego i wirtualnych sieci prywatnych. Serwera NPS można używać razem z usługą Routing i dostęp zdalny, która jest dostępna w systemach Microsoft Windows 2000, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition oraz Windows Server 2003 Datacenter Edition.

Jeśli serwer zasad sieciowych należy do domeny usług domenowych w usłudze Active Directory® (AD DS, Active Directory Domain Services), to używa usługi katalogowej jako bazy danych kont użytkowników i stanowi część rozwiązania rejestracji jednokrotnej. Na potrzeby kontroli dostępu do sieci (uwierzytelniania i autoryzacji dostępu do sieci) oraz logowania do domeny usług AD DS jest używany ten sam zestaw poświadczeń.

Dostawcy usług internetowych (ISP) oraz organizacje oferujące dostęp do sieci stają przed coraz większymi wyzwaniami związanymi z zarządzaniem wszystkimi typami dostępu do sieci z poziomu jednego punktu administracji - bez względu na typ używanego sprzętu dostępu do sieci. Standard RADIUS zapewnia takie możliwości w środowiskach zarówno jednorodnych, jak i niejednorodnych. RADIUS to protokół typu klient-serwer, który umożliwia sprzętowi dostępu do sieci (czyli klientom usługi RADIUS) wysyłanie żądań uwierzytelnień i ewidencjonowania aktywności do serwera usługi RADIUS.

Serwer usługi RADIUS ma dostęp do informacji o kontach użytkowników i może sprawdzać poświadczenia uwierzytelniania dostępu do sieci. Jeśli poświadczenia użytkownika są uwierzytelnione i próba nawiązania połączenia zostanie autoryzowana, serwer usługi RADIUS autoryzuje dostęp tego użytkownika na podstawie określonych warunków i zarejestruje odpowiednie połączenie dostępu do sieci w dzienniku ewidencjonowania aktywności. Usługa RADIUS umożliwia zbieranie danych dostępu do sieci dotyczących ewidencjonowania aktywności, autoryzacji i uwierzytelniania użytkowników oraz przechowywanie tych danych w centralnej lokalizacji - zamiast na poszczególnych serwerach dostępu.

Aby uzyskać więcej informacji, zobacz temat Serwer usługi RADIUS.

Serwer proxy usługi RADIUS

Jako serwer proxy usługi RADIUS serwer NPS przekazuje do innych serwerów usługi RADIUS komunikaty ewidencjonowania aktywności i uwierzytelniania.

Dzięki zastosowaniu serwera NPS organizacje mogą też przekazywać obsługę infrastruktury dostępu zdalnego dostawcom usług, zachowując kontrolę nad autoryzacją, ewidencjonowaniem aktywności i uwierzytelnianiem użytkowników.

Konfiguracje serwera NPS mogą być tworzone dla następujących scenariuszy:

  • Dostęp bezprzewodowy

  • Dostęp zdalny za pośrednictwem wirtualnej sieci prywatnej (VPN) lub połączenia telefonicznego w organizacji

  • Dostęp bezprzewodowy lub telefoniczny, którego obsługę przekazano innej firmie

  • Dostęp do Internetu

  • Uwierzytelniany dostęp do zasobów ekstranetowych dla partnerów biznesowych

Aby uzyskać więcej informacji, zobacz temat Serwer proxy usługi RADIUS.

Przykłady konfiguracji serwera usługi RADIUS i serwera proxy usługi RADIUS

W poniższych przykładach przedstawiono sposoby konfigurowania serwera NPS jako serwera usługi RADIUS i serwera proxy usługi RADIUS.

NPS as a RADIUS server. W tym przykładzie serwer NPS jest skonfigurowany jako serwer usługi RADIUS - domyślne zasady żądań połączeń są jedynymi skonfigurowanymi zasadami i wszystkie żądania połączeń są przetwarzane przez lokalny serwer NPS. Serwer NPS może uwierzytelniać i autoryzować użytkowników, którzy mają konta w domenie serwera NPS i w domenach zaufanych.

NPS as a RADIUS proxy. W tym przykładzie serwer NPS jest skonfigurowany jako serwer proxy usługi RADIUS przesyłający dalej żądania połączeń do grup zdalnych serwerów usługi RADIUS znajdujących się w dwóch domenach niezaufanych. Domyślna zasada żądań połączeń została usunięta i utworzono dwie nowe zasady w celu przesyłania żądań dalej do każdej z tych dwóch niezaufanych domen. W tym przykładzie serwer NPS nie przetwarza żadnych żądań połączeń na serwerze lokalnym.

NPS as both RADIUS server and RADIUS proxy. Oprócz domyślnej zasady żądań połączeń, która wskazuje, że żądania połączeń mają być przetwarzane lokalnie, utworzono nową zasadę żądań połączeń, która powoduje przesyłanie dalej żądań połączeń do serwera NPS lub do innego serwera usługi RADIUS w niezaufanej domenie. Tę drugą zasadę nazwano zasadą serwera proxy. W tym przykładzie zasada serwera proxy występuje jako pierwsza na uporządkowanej liście zasad. Jeśli żądanie połączenia jest zgodne z tą zasadą serwera proxy, jest przesyłane dalej do serwera usługi RADIUS z grupy zdalnych serwerów usługi RADIUS. Jeśli żądanie połączenia nie jest zgodne z zasadą serwera proxy, ale jest zgodne z domyślną zasadą żądań połączeń, serwer NPS przetwarza to żądanie na serwerze lokalnym. Jeśli żądanie połączenia nie jest zgodne z żadną zasadą, zostaje odrzucone.

NPS as a RADIUS server with remote accounting servers. W tym przykładzie lokalny serwer NPS nie został skonfigurowany tak, aby przeprowadzać ewidencjonowanie aktywności, a domyślna zasada żądań połączeń została skorygowana tak, aby komunikaty ewidencjonowania aktywności usługi RADIUS były przesyłane dalej do serwera NPS lub do innego serwera usługi RADIUS z grupy zdalnych serwerów usługi RADIUS. Chociaż komunikaty ewidencjonowania aktywności są przesyłane dalej, komunikaty uwierzytelniania i autoryzacji nie są przesyłane dalej i lokalny serwer NPS przeprowadza te operacje dla lokalnej domeny i wszystkich zaufanych domen.

NPS with remote RADIUS to Windows user mapping. W tym przykładzie serwer NPS działa jednocześnie jako serwer RADIUS oraz jako serwer proxy RADIUS dla poszczególnych żądań połączeń, przesyłając dalej żądanie uwierzytelnienia do zdalnego serwera RADIUS oraz używając lokalnego konta użytkownika systemu Windows do autoryzacji. Ta konfiguracja jest zaimplementowana przez skonfigurowanie atrybutu Zdalna usługa RADIUS do mapowania użytkowników systemu Windows jako warunku zasady żądania połączeń. Ponadto na serwerze usługi RADIUS musi zostać utworzone lokalnie konto użytkownika o takiej samej nazwie jak konto zdalnego użytkownika, którego uwierzytelnienie ma przeprowadzić zdalny serwer usługi RADIUS.

Serwer zasad ochrony dostępu do sieci (NAP)

Usługa ochrony dostępu do sieci jest dołączana do systemów Windows Vista®, Windows® 7, Windows Server® 2008 oraz Windows Server® 2008 R2 i pozwala chronić dostęp do sieci prywatnych przez zapewnienie, że komputery klienckie będą skonfigurowane zgodnie z zasadami kondycji obowiązującymi w sieci organizacji, zanim będą mogły połączyć się z zasobami sieciowymi. Ponadto zgodność komputera klienckiego z zasadami kondycji jest monitorowana przez usługę ochrony dostępu do sieci w trakcie trwania połączenia tego komputera z siecią. Dzięki automatycznemu korygowaniu w usłudze ochrony dostępu do sieci komputery uznane za niezgodne z zasadami mogą zostać automatycznie zaktualizowane, aby osiągnąć stan zgodności z zasadami kondycji i móc uzyskać dostęp do sieci.

Administratorzy systemu tworzą i definiują sieciowe zasady kondycji za pomocą składników usługi ochrony dostępu do sieci udostępnianych przez serwer NPS, a także - w zależności od używanego wdrożenia usługi ochrony dostępu do sieci - przez inne firmy.

Zasady kondycji mogą zawierać takie elementy, jak wymagania dotyczące oprogramowania, aktualizacji zabezpieczeń oraz ustawień konfiguracji. Ta usługa wymusza zasady kondycji, sprawdzając i oceniając kondycję komputerów klienckich, ograniczając dostęp do sieci, gdy komputery klienckie zostaną uznane za niezgodne z zasadami kondycji, oraz korygując niezgodne komputery klienckie w celu umożliwienia udzielenia im pełnego dostępu do sieci.

Aby uzyskać więcej informacji, zobacz temat Ochrona dostępu do sieci na serwerze zasad sieciowych (NPS).

Zobacz też


Spis treści