Serwer usługi RADIUS dla bezprzewodowych i przewodowych połączeń 802.1X

Aby wdrożyć dostęp bezprzewodowy 802.1X, należy zainstalować i skonfigurować bezprzewodowe punkty dostępu. Aby wdrożyć dostęp przewodowy 802.1X, należy zainstalować i skonfigurować przełączniki uwierzytelniające 802.1X.

Ważne

Komputery klienckie, takie jak podłączone bezprzewodowo komputery przenośne i inne komputery, na których uruchomiony jest kliencki system operacyjny, nie są klientami usługi RADIUS. Klientami usługi RADIUS są serwery z dostępem do sieci, takie jak bezprzewodowe punkty dostępu, przełączniki uwierzytelniające 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery telefonowania, ponieważ używają one protokołu RADIUS do komunikacji z serwerami usługi RADIUS, takimi jak serwery NPS (Network Policy Server).

W obu przypadkach serwery dostępu do sieci muszą spełniać następujące wymagania:

• Obsługa uwierzytelniania w standardzie IEEE (Institute of Electrical and Electronics Engineers) 802.1X
  
  
• Obsługa uwierzytelniania usługi RADIUS i ewidencjonowania aktywności usługi RADIUS
  
  

Jeśli są używane aplikacje finansowe i księgowe wymagające korelacji sesji, wymagania są następujące:

• Obsługa atrybutu Class (klasa) zdefiniowana przez organizację IETF (Internet Engineering Task Force) w dokumencie RFC 2865 dotyczącym usługi RADIUS (Remote Authentication Dial-in User Service) w celu zezwolenia na korelację sesji dla rekordów uwierzytelniania i ewidencjonowania aktywności usługi RADIUS. W przypadku korelacji sesji podczas konfigurowania ewidencjonowania aktywności usługi RADIUS na serwerze NPS lub proxy należy rejestrować wszystkie dane ewidencjonowania aktywności, na które zezwalają aplikacje (takie jak aplikacje finansowe), aby wysłać zapytanie do bazy danych, skorelować pola pokrewne i uzyskać spójny widok każdej sesji w wynikach zapytania. Aby zapewnić korelację sesji, należy rejestrować przynajmniej następujące dane ewidencjonowania aktywności serwera NPS: NAS-IP-Address, NAS-Identifier (wymagane są oba atrybuty NAS-IP-Address i NAS-Identifier ponieważ serwer dostępu może wysyłać oba atrybuty), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port oraz Event-Timestamp.
  
  
• Obsługa tymczasowych żądań ewidencjonowania aktywności okresowo wysyłanych przez niektóre serwery dostępu do sieci (NAS) podczas sesji użytkownika, które mogą być rejestrowane. Ten typ żądania może być używany, gdy atrybut Acct-Interim-Interval usługi RADIUS zostanie skonfigurowany do obsługi żądań okresowych w profilu dostępu zdalnego na serwerze NPS. Jeśli żądania tymczasowe mają być rejestrowane na serwerze NPS, serwer NAS musi obsługiwać korzystanie z tymczasowych żądań ewidencjonowania aktywności.
  
  

W przypadku korzystania z wirtualnych sieci lokalnych (VLAN) serwery NAS muszą obsługiwać wirtualne sieci lokalne.

W środowiskach sieci rozległej (WAN) serwery dostępu do sieci powinny zapewniać następujące funkcje:

• Obsługa szacowania limitu czasu ponownej transmisji dynamicznej (RTO) lub wykładniczego wycofywania się w celu obsługiwania przeciążeń i opóźnień w środowisku sieci rozległej.
  
  

Ponadto istnieją funkcje filtrowania, które powinny być obsługiwane przez serwery dostępu do sieci, aby zapewniać zwiększone zabezpieczenia dla tej sieci. Te funkcje filtrowania to:

• Filtrowanie DHCP. Serwery NAS muszą filtrować porty IP, aby zapobiec transmisji komunikatów emisji protokołu DHCP (Dynamic Host Configuration Protocol) w przypadku, gdy klient jest serwerem DHCP. Serwery dostępu do sieci muszą blokować wysyłanie przez klienta pakietów IP z portu 68 do sieci.
  
  
• Filtrowanie DNS. Serwery NAS muszą filtrować porty IP, aby nie dopuścić do działania klienta jako serwera DNS. Serwery NAS muszą blokować wysyłanie przez klienta pakietów IP do sieci z portu 53.
  
  

W przypadku wdrażania bezprzewodowych punktów dostępu jest preferowana obsługa protokołu WPA. Protokół WPA jest obsługiwany w systemach Windows Vista® i Windows XP z dodatkiem Service Pack 2. Aby wdrożyć protokół WPA, można także użyć kart sieci bezprzewodowej, które obsługują protokół WPA.

W przypadku bezprzewodowych i przewodowych połączeń 802.1X można użyć następujących metod uwierzytelniania:

• Protokół uwierzytelniania rozszerzonego (EAP) z protokołem TLS (Transport Layer Security), zwany również protokołem EAP-TLS.
  
  
• Chroniony protokół EAP (PEAP) z wersją 2 protokołu uwierzytelniania typu Challenge Handshake firmy Microsoft (MS-CHAP v2), zwany również protokołem PEAP-MS-CHAP v2.
  
  
• Protokół PEAP z protokołem EAP-TLS, zwany również protokołem PEAP-TLS.
  
  

W przypadku protokołów EAP-TLS i PEAP-TLS należy wdrożyć infrastrukturę kluczy publicznych, instalując i konfigurując usługi certyfikatów w usłudze Active Directory® (AD CS, Active Directory® Certificate Services) umożliwiające wystawianie certyfikatów komputerom klienckim należącym do domeny i serwerom NPS. Te certyfikaty będą stanowić potwierdzenie tożsamości klientów i serwerów NPS podczas procesu uwierzytelniania. Zamiast korzystania z certyfikatów komputerów klienckich można także wdrożyć karty inteligentne. W takim przypadku należy wydać karty inteligentne oraz czytniki tych kart pracownikom organizacji.

W przypadku protokołu PEAP-MS-CHAP v2 można wdrożyć własny urząd certyfikacji z usługami AD CS umożliwiający wystawianie certyfikatów serwerom NPS lub dokonać zakupu certyfikatów serwera z zaufanego publicznego głównego urzędu certyfikacji, któremu ufają klienci, takiego jak firma VeriSign.

Aby uzyskać więcej informacji, zobacz tematy Omówienie protokołu EAP i Omówienie protokołu PEAP.

Konfigurując serwer NPS jako serwer usługi RADIUS, należy skonfigurować klientów usługi RADIUS, zasady sieciowe oraz ewidencjonowanie aktywności usługi RADIUS.