Serwer zasad sieciowych (NPS) może być używany jako serwer usługi RADIUS (Remote Authentication Dial-In User Service) w celu uwierzytelniania, autoryzowania i ewidencjonowania aktywności dla klientów usługi RADIUS. Klient usługi RADIUS może być serwerem dostępu, takim jak serwer telefonowania lub punkt dostępu bezprzewodowego, albo serwerem proxy usługi RADIUS. Kiedy serwer zasad sieciowych jest używany jako serwer usługi RADIUS, oferuje następujące funkcje:

  • Usługa centralnego uwierzytelniania i autoryzacji dla wszystkich żądań dostępu wysyłanych przez klientów usługi RADIUS.

    Serwer zasad sieciowych korzysta z domeny systemu Microsoft® Windows NT® Server 4.0, domeny usług domenowych w usłudze Active Directory® (AD DS) lub bazy danych kont użytkowników Menedżera kont zabezpieczeń (SAM) w celu uwierzytelniania poświadczeń użytkowników przy próbach połączenia. Serwer zasad sieciowych korzysta z właściwości telefonowania konta użytkownika oraz zasad sieciowych w celu autoryzacji połączenia.

  • Usługa centralnego rejestrowania ewidencjonowania aktywności dla wszystkich żądań dostępu wysyłanych przez klientów usługi RADIUS.

    Żądania ewidencjonowania aktywności są przechowywane w lokalnym pliku dziennika lub w bazie danych programu Microsoft® SQL Server™, aby umożliwić ich analizowanie.

Poniższa ilustracja przedstawia serwer zasad sieciowych jako serwer usługi RADIUS dla różnych klientów dostępu, a także serwer proxy usługi RADIUS. Serwer zasad sieciowych korzysta z domeny usług AD DS w celu uwierzytelnienia poświadczeń użytkowników dla przychodzących komunikatów żądania dostępu usługi RADIUS.

NPS jako serwer RADIUS

Kiedy serwer zasad sieciowych jest używany jako serwer usługi RADIUS, komunikaty usługi RADIUS służą do uwierzytelniania, autoryzacji i ewidencjonowania aktywności dla połączeń dostępu do sieci w następujący sposób:

  1. Serwery dostępu, na przykład serwery telefonicznego dostępu do sieci, serwery wirtualnej sieci prywatnej i bezprzewodowe punkty dostępu, odbierają żądania połączenia od klientów dostępu.

  2. Serwer dostępu, który jest skonfigurowany w celu używania protokołu RADIUS jako protokołu uwierzytelniania, autoryzowania i ewidencjonowania aktywności, tworzy komunikat żądania dostępu i wysyła go do serwera zasad sieciowych.

  3. Serwer zasad sieciowych sprawdza komunikat żądania dostępu.

  4. W razie konieczności serwer zasad sieciowych wysyła komunikat sprawdzania dostępu do serwera dostępu. Serwer dostępu przetwarza ten komunikat i wysyła zaktualizowane żądanie dostępu do serwera zasad sieciowych.

  5. Poświadczenia użytkownika są sprawdzane, a właściwości telefonowania konta użytkownika są uzyskiwane przy użyciu bezpiecznego połączenia z kontrolerem domeny.

  6. Próba połączenia podlega autoryzacji z użyciem właściwości telefonowania konta użytkownika i zasad sieciowych.

  7. Jeśli próba połączenia zostanie uwierzytelniona i autoryzowana, serwer zasad sieciowych wysyła komunikat udzielenia dostępu do serwera dostępu.

    Jeśli próba połączenia nie zostanie uwierzytelniona lub autoryzowana, serwer zasad sieciowych wysyła komunikat odmowy dostępu do serwera dostępu.

  8. Serwer dostępu kończy połączenie z klientem dostępu i wysyła komunikat żądania ewidencjonowania aktywności do serwera zasad sieciowych, na którym komunikat jest rejestrowany.

  9. Serwer zasad sieciowych wysyła komunikat odpowiedzi ewidencjonowania aktywności do serwera dostępu.

Uwaga

Kiedy jest ustanowione połączenie, serwer dostępu wysyła również komunikaty żądania ewidencjonowania aktywności, gdy połączenie klienta dostępu jest zamykane i gdy serwer dostępu jest uruchamiany i zatrzymywany.

Serwera zasad sieciowych można używać jako serwera usługi RADIUS w następujących przypadkach:

  • Użytkownik korzysta z domeny systemu Windows NT Server 4.0, domeny usług AD DS lub lokalnej bazy danych kont użytkowników Menedżera kont zabezpieczeń jako bazy danych kont użytkowników dla klientów dostępu.

  • Użytkownik korzysta z usługi Routing i dostęp zdalny na wielu serwerach połączenia telefonicznego, routerach wybierania numeru na żądanie i chce scentralizować zarówno konfigurowanie zasad sieciowych, jak i rejestrowanie połączeń dla ewidencjonowania aktywności.

  • Użytkownik przekazuje obsługę dostępu telefonicznego, wirtualnej sieci prywatnej lub dostępu bezprzewodowego usługodawcy zewnętrznemu. Serwery dostępu korzystają z usługi RADIUS w celu uwierzytelnienia i autoryzowania połączeń wykonywanych przez członków organizacji.

  • Użytkownik chce scentralizować uwierzytelnianie, autoryzowanie oraz ewidencjonowanie aktywności dla niejednorodnego zestawu serwerów.

Uwaga

W usłudze uwierzytelniania internetowego (IAS) w systemach operacyjnych Windows Server® 2003 zasady sieciowe są określane jako zasady dostępu zdalnego.


Spis treści