Poniżej przedstawiono procedurę dodawania serwera dostępu do sieci jako klienta usługi RADIUS (Remote Authentication Dial-In User Service) w przystawce Serwer zasad sieciowych (NPS) programu Microsoft Management Console (MMC).
Po skonfigurowaniu serwera dostępu do sieci (NAS, network access server) jako klienta usługi RADIUS w przystawce Serwer zasad sieciowych klient usługi RADIUS przekazuje dalej żądania połączeń od klientów dostępu do serwera NPS w celu uwierzytelnienia, autoryzacji i ewidencjonowania aktywności.
Ważne | |
Komputery klienckie, takie jak podłączone bezprzewodowo komputery przenośne i inne komputery, na których uruchomiony jest kliencki system operacyjny, nie są klientami usługi RADIUS. Klientami usługi RADIUS są serwery z dostępem do sieci, takie jak bezprzewodowe punkty dostępu, przełączniki uwierzytelniające 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery telefonowania, ponieważ używają one protokołu RADIUS do komunikacji z serwerami usługi RADIUS, takimi jak serwery NPS (Network Policy Server). |
Oprócz skonfigurowania nowego klienta usługi RADIUS należy też skonfigurować serwer dostępu do sieci, aby umożliwić komunikację z serwerem NPS. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją producenta serwera dostępu do sieci.
Aby skonfigurować nowego klienta usługi RADIUS na serwerze NPS, należy uruchomić Kreatora nowego klienta usługi RADIUS. Postępując zgodnie z instrukcjami Kreatora nowego klienta usługi RADIUS, należy wykonać następujące czynności:
-
Jeśli serwer dostępu do sieci obsługuje stosowanie atrybutu wystawcy uwierzytelnienia wiadomości (nazywanego też atrybutem podpisu), w kreatorze Nowy klient usługi RADIUS kliknij pole wyboru Żądanie musi zawierać atrybut wystawcy uwierzytelnienia wiadomości. Nie wybieraj tego ustawienia, jeśli serwer NAS nie obsługuje atrybutu wystawcy uwierzytelnienia wiadomości. Włączenie atrybutu wystawcy uwierzytelnienia wiadomości zapewnia dodatkową ochronę, gdy jako metody uwierzytelniania w zasadach sieciowych są skonfigurowane protokoły PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) i MS-CHAP w wersji 2. Protokół EAP (Extensible Authentication Protocol) używa atrybutu wystawcy uwierzytelnienia wiadomości domyślnie i nie wymaga jego włączania.
-
W przypadku używania zasad sieciowych specyficznych dla serwera NAS (na przykład zasady sieciowej zawierającej atrybuty specyficzne dla dostawcy) kliknij opcję Dostawca-klient, a następnie wybierz nazwę producenta serwera NAS. Jeśli nie znasz nazwy producenta serwera NAS lub jeśli nazwa tego producenta nie znajduje się na liście, wybierz opcję Standardowy atrybut usługi RADIUS.
Uwaga | |
Serwer NPS, który odbiera żądanie dostępu od serwera proxy usługi RADIUS, nie może wykryć producenta serwera NAS, od którego pochodzi żądanie. Może to powodować problemy, jeśli mają być używane warunki zasad sieciowych oparte na dostawcy klienta oraz jeśli istnieje co najmniej jeden klient usługi RADIUS pełniący rolę serwera proxy usługi RADIUS. W takim przypadku żądania połączeń przekazywane z serwera proxy usługi RADIUS do serwera NPS mogą nie być zgodne z żadną z zasad sieciowych, co może powodować odrzucanie wszystkich żądań połączeń. Dlatego, używając serwerów proxy usługi RADIUS, należy skonfigurować co najmniej jedną zasadę sieciową, która nie jest oparta na atrybutach specyficznych dla serwera NAS, taką jak atrybut specyficzny dla dostawcy. |
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej.
Aby dodać nowego klienta usługi RADIUS |
Otwórz przystawkę Serwer zasad sieciowych programu MMC, a następnie kliknij dwukrotnie pozycję Klienci i serwery usługi RADIUS.
Kliknij prawym przyciskiem myszy pozycję Klienci usługi RADIUS, a następnie kliknij polecenie Nowy klient usługi RADIUS.
Postępuj zgodnie z instrukcjami Kreatora nowego klienta usługi RADIUS.