Przy wdrażaniu dostępu przewodowego lub bezprzewodowego 802.1X z użyciem serwera NPS (Network Policy Server) jako serwera usługi RADIUS (Remote Authentication Dial-In User Service) należy wykonać poniższe kroki:

  • Zainstalowanie i skonfigurowanie serwerów dostępu do sieci (NAS) jako klientów usługi RADIUS

  • Wdrożenie składników dla metod uwierzytelniania.

  • Skonfigurowanie serwera NPS jako serwera usługi RADIUS.

Instalowanie i konfigurowanie serwerów dostępu do sieci (klientów usługi RADIUS)

Aby wdrożyć dostęp bezprzewodowy 802.1X, należy zainstalować i skonfigurować bezprzewodowe punkty dostępu. Aby wdrożyć dostęp przewodowy 802.1X, należy zainstalować i skonfigurować przełączniki uwierzytelniające 802.1X.

Ważne

Komputery klienckie, takie jak podłączone bezprzewodowo komputery przenośne i inne komputery, na których uruchomiony jest kliencki system operacyjny, nie są klientami usługi RADIUS. Klientami usługi RADIUS są serwery z dostępem do sieci, takie jak bezprzewodowe punkty dostępu, przełączniki uwierzytelniające 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery telefonowania, ponieważ używają one protokołu RADIUS do komunikacji z serwerami usługi RADIUS, takimi jak serwery NPS (Network Policy Server).

W obu przypadkach serwery dostępu do sieci muszą spełniać następujące wymagania:

  • Obsługa uwierzytelniania w standardzie IEEE (Institute of Electrical and Electronics Engineers) 802.1X

  • Obsługa uwierzytelniania usługi RADIUS i ewidencjonowania aktywności usługi RADIUS

Jeśli są używane aplikacje finansowe i księgowe wymagające korelacji sesji, wymagania są następujące:

  • Obsługa atrybutu Class (klasa) zdefiniowana przez organizację IETF (Internet Engineering Task Force) w dokumencie RFC 2865 dotyczącym usługi RADIUS (Remote Authentication Dial-in User Service) w celu zezwolenia na korelację sesji dla rekordów uwierzytelniania i ewidencjonowania aktywności usługi RADIUS. W przypadku korelacji sesji podczas konfigurowania ewidencjonowania aktywności usługi RADIUS na serwerze NPS lub proxy należy rejestrować wszystkie dane ewidencjonowania aktywności, na które zezwalają aplikacje (takie jak aplikacje finansowe), aby wysłać zapytanie do bazy danych, skorelować pola pokrewne i uzyskać spójny widok każdej sesji w wynikach zapytania. Aby zapewnić korelację sesji, należy rejestrować przynajmniej następujące dane ewidencjonowania aktywności serwera NPS: NAS-IP-Address, NAS-Identifier (wymagane są oba atrybuty NAS-IP-Address i NAS-Identifier ponieważ serwer dostępu może wysyłać oba atrybuty), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port oraz Event-Timestamp.

  • Obsługa tymczasowych żądań ewidencjonowania aktywności okresowo wysyłanych przez niektóre serwery dostępu do sieci (NAS) podczas sesji użytkownika, które mogą być rejestrowane. Ten typ żądania może być używany, gdy atrybut Acct-Interim-Interval usługi RADIUS zostanie skonfigurowany do obsługi żądań okresowych w profilu dostępu zdalnego na serwerze NPS. Jeśli żądania tymczasowe mają być rejestrowane na serwerze NPS, serwer NAS musi obsługiwać korzystanie z tymczasowych żądań ewidencjonowania aktywności.

W przypadku korzystania z wirtualnych sieci lokalnych (VLAN) serwery NAS muszą obsługiwać wirtualne sieci lokalne.

W środowiskach sieci rozległej (WAN) serwery dostępu do sieci powinny zapewniać następujące funkcje:

  • Obsługa szacowania limitu czasu ponownej transmisji dynamicznej (RTO) lub wykładniczego wycofywania się w celu obsługiwania przeciążeń i opóźnień w środowisku sieci rozległej.

Ponadto istnieją funkcje filtrowania, które powinny być obsługiwane przez serwery dostępu do sieci, aby zapewniać zwiększone zabezpieczenia dla tej sieci. Te funkcje filtrowania to:

  • Filtrowanie DHCP. Serwery NAS muszą filtrować porty IP, aby zapobiec transmisji komunikatów emisji protokołu DHCP (Dynamic Host Configuration Protocol) w przypadku, gdy klient jest serwerem DHCP. Serwery dostępu do sieci muszą blokować wysyłanie przez klienta pakietów IP z portu 68 do sieci.

  • Filtrowanie DNS. Serwery NAS muszą filtrować porty IP, aby nie dopuścić do działania klienta jako serwera DNS. Serwery NAS muszą blokować wysyłanie przez klienta pakietów IP do sieci z portu 53.

W przypadku wdrażania bezprzewodowych punktów dostępu jest preferowana obsługa protokołu WPA. Protokół WPA jest obsługiwany w systemach Windows Vista® i Windows XP z dodatkiem Service Pack 2. Aby wdrożyć protokół WPA, można także użyć kart sieci bezprzewodowej, które obsługują protokół WPA.

Wdrażanie składników metod uwierzytelniania

W przypadku bezprzewodowych i przewodowych połączeń 802.1X można użyć następujących metod uwierzytelniania:

  • Protokół uwierzytelniania rozszerzonego (EAP) z protokołem TLS (Transport Layer Security), zwany również protokołem EAP-TLS.

  • Chroniony protokół EAP (PEAP) z wersją 2 protokołu uwierzytelniania typu Challenge Handshake firmy Microsoft (MS-CHAP v2), zwany również protokołem PEAP-MS-CHAP v2.

  • Protokół PEAP z protokołem EAP-TLS, zwany również protokołem PEAP-TLS.

W przypadku protokołów EAP-TLS i PEAP-TLS należy wdrożyć infrastrukturę kluczy publicznych, instalując i konfigurując usługi certyfikatów w usłudze Active Directory® (AD CS, Active Directory® Certificate Services) umożliwiające wystawianie certyfikatów komputerom klienckim należącym do domeny i serwerom NPS. Te certyfikaty będą stanowić potwierdzenie tożsamości klientów i serwerów NPS podczas procesu uwierzytelniania. Zamiast korzystania z certyfikatów komputerów klienckich można także wdrożyć karty inteligentne. W takim przypadku należy wydać karty inteligentne oraz czytniki tych kart pracownikom organizacji.

W przypadku protokołu PEAP-MS-CHAP v2 można wdrożyć własny urząd certyfikacji z usługami AD CS umożliwiający wystawianie certyfikatów serwerom NPS lub dokonać zakupu certyfikatów serwera z zaufanego publicznego głównego urzędu certyfikacji, któremu ufają klienci, takiego jak firma VeriSign.

Aby uzyskać więcej informacji, zobacz tematy Omówienie protokołu EAP i Omówienie protokołu PEAP.

Konfigurowanie serwera NPS jako serwera usługi RADIUS

Konfigurując serwer NPS jako serwer usługi RADIUS, należy skonfigurować klientów usługi RADIUS, zasady sieciowe oraz ewidencjonowanie aktywności usługi RADIUS.

Konfigurowanie klientów usługi RADIUS

Proces konfigurowania klientów usługi RADIUS składa się z dwóch etapów:

  • Skonfigurowanie fizycznego klienta usługi RADIUS, takiego jak punkt dostępu bezprzewodowego lub przełącznik uwierzytelniający, za pomocą informacji, które umożliwiają serwerowi dostępu do sieci komunikację z serwerami NPS. Do tych informacji należy konfigurowanie adresu IP serwera NPS oraz wspólnego hasła w interfejsie użytkownika punktu dostępu lub przełącznika.

  • Dodanie nowego klienta usługi RADIUS na serwerze NPS. Na serwerze NPS należy dodać każdy punkt dostępu lub przełącznik uwierzytelniający jako klienta usługi RADIUS. Serwer NPS umożliwia nadanie przyjaznej nazwy każdemu klientowi usługi RADIUS, a także podanie adresu IP klienta usługi RADIUS i wspólnego hasła.

Aby uzyskać więcej informacji, zobacz temat Dodawanie nowego klienta usługi RADIUS.

Konfigurowanie zasad sieciowych

Zasady sieciowe to zestawy warunków, ograniczeń i ustawień pozwalających wyznaczać osoby uprawnione do nawiązywania połączenia z siecią oraz okoliczności, w których mogą być nawiązywane te połączenia.

Aby uzyskać więcej informacji, zobacz temat Zasady sieciowe.

Konfigurowanie ewidencjonowania aktywności usługi RADIUS

Ewidencjonowanie aktywności usługi RADIUS umożliwia rejestrowanie żądań uwierzytelniania użytkowników i ewidencjonowania aktywności w lokalnym pliku dziennika albo w bazie danych programu Microsoft® SQL Server® znajdującej się na komputerze lokalnym lub zdalnym.

Aby uzyskać więcej informacji, zobacz temat Ewidencjonowanie aktywności usługi RADIUS.

Zobacz też


Spis treści