Podczas wdrażania połączeń telefonicznych lub połączeń wirtualnych sieci prywatnych (VPN, Virtual Private Network) na serwerze zasad sieciowych (NPS, Network Policy Server) pełniącym rolę serwera usługi RADIUS należy wykonać następujące czynności:

  • Zainstalowanie i skonfigurowanie serwerów dostępu do sieci (NAS) jako klientów usługi RADIUS

  • Wdrożenie składników dla metod uwierzytelniania

  • Skonfigurowanie serwera NPS jako serwera usługi RADIUS

Instalowanie i konfigurowanie serwerów dostępu do sieci (klientów usługi RADIUS)

W celu wdrożenia dostępu telefonicznego należy zainstalować i skonfigurować usługę Routing i dostęp zdalny jako serwer telefonowania. W celu wdrożenia dostępu przez sieć VPN należy zainstalować i skonfigurować usługę Routing i dostęp zdalny jako serwer VPN.

Ważne

Komputery klienckie, takie jak podłączone bezprzewodowo komputery przenośne i inne komputery, na których uruchomiony jest kliencki system operacyjny, nie są klientami usługi RADIUS. Klientami usługi RADIUS są serwery z dostępem do sieci, takie jak bezprzewodowe punkty dostępu, przełączniki uwierzytelniające 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery telefonowania, ponieważ używają one protokołu RADIUS do komunikacji z serwerami usługi RADIUS, takimi jak serwery NPS (Network Policy Server).

Usługę Routing i dostęp zdalny można zainstalować na lokalnym serwerze NPS lub na komputerze zdalnym.

Wdrażanie składników metod uwierzytelniania

W przypadku sieci VPN można użyć następujących metod uwierzytelniania:

  • protokół uwierzytelniania rozszerzonego (EAP, Extensible Authentication Protocol) z protokołem TLS (Transport Layer Security), nazywany również protokołem EAP-TLS;

  • chroniony protokół EAP (PEAP) z wersją 2 protokołu uwierzytelniania typu Challenge Handshake firmy Microsoft (MS-CHAP v2), nazywany również protokołem PEAP-MS-AP v2;

  • protokół PEAP z protokołem TLS, nazywany również protokołem PEAP-TLS.

W przypadku protokołów EAP-TLS i PEAP-TLS należy wdrożyć infrastrukturę kluczy publicznych, instalując i konfigurując usługi certyfikatów w usłudze Active Directory® (AD CS, Active Directory® Certificate Services) umożliwiające wystawianie certyfikatów komputerom klienckim należącym do domeny i serwerom NPS. Te certyfikaty będą stanowić potwierdzenie tożsamości klientów i serwerów NPS podczas procesu uwierzytelniania. Zamiast korzystania z certyfikatów komputerów klienckich można także wdrożyć karty inteligentne. W takim przypadku należy wydać karty inteligentne oraz czytniki tych kart pracownikom organizacji.

W przypadku protokołu PEAP-MS-CHAP v2 można wdrożyć własny urząd certyfikacji z usługami AD CS umożliwiający wystawianie certyfikatów serwerom NPS lub dokonać zakupu certyfikatów serwera z zaufanego publicznego głównego urzędu certyfikacji, któremu ufają klienci, takiego jak firma VeriSign.

Aby uzyskać więcej informacji, zobacz tematy Omówienie protokołu EAP i Omówienie protokołu PEAP.

Konfigurowanie serwera NPS jako serwera usługi RADIUS

Podczas konfigurowania serwera NPS jako serwera usługi RADIUS należy skonfigurować klientów usługi RADIUS, zasady sieciowe oraz ewidencjonowanie aktywności usługi RADIUS.

Konfigurowanie klientów usługi RADIUS

Proces konfigurowania klientów usługi RADIUS składa się z dwóch etapów:

  • Skonfigurowanie fizycznego klienta usługi RADIUS, takiego jak serwer VPN lub serwer telefonowania, za pomocą informacji, które umożliwiają serwerowi dostępu do sieci komunikację z serwerami NPS. Te informacje obejmują między innymi adres IP serwera NPS oraz wspólny klucz tajny w interfejsie użytkownika serwera VPN lub serwera telefonowania.

  • Dodanie nowego klienta usługi RADIUS na serwerze NPS. Na serwerze NPS należy dodać każdy serwer VPN lub serwer telefonowania jako klienta usługi RADIUS. Serwer NPS umożliwia nadanie przyjaznej nazwy każdemu klientowi usługi RADIUS, a także podanie adresu IP klienta usługi RADIUS i wspólnego hasła.

Aby uzyskać więcej informacji, zobacz temat Dodawanie nowego klienta usługi RADIUS.

Konfigurowanie zasad sieciowych

Zasady sieciowe to zestawy warunków, ograniczeń i ustawień pozwalających wyznaczać osoby uprawnione do łączenia się z siecią oraz okoliczności, w których mogą nawiązywać połączenia.

Aby uzyskać więcej informacji, zobacz temat Zasady sieciowe.

Konfigurowanie ewidencjonowania aktywności usługi RADIUS

Ewidencjonowanie aktywności usługi RADIUS umożliwia rejestrowanie żądań uwierzytelniania użytkowników i ewidencjonowania aktywności w lokalnym pliku dziennika albo w bazie danych programu Microsoft® SQL Server® znajdującej się na komputerze lokalnym lub zdalnym.

Spis treści