En nätverksåtkomstserver (NAS) är en enhet som ger en viss åtkomst till ett större nätverk. En NAS som har en RADIUS-infrastruktur är också en RADIUS-klient, som skickar anslutningsbegäranden och redovisningsmeddelanden till en RADIUS-server för autentisering, auktorisering och redovisning.
 | Viktigt! |
|
Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar, till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar och fjärranslutningsservrar, där RADIUS-protokollet används för att kommunicera med RADIUS-servrar, till exempel NPS-servrar. |
Om du vill distribuera NPS till en RADIUS-server, en RADIUS-proxyserver eller en NAP-principserver (Network Access Protection) måste du konfigurera RADIUS-klienter i NPS.
Exempel på RADIUS-klienter
Några exempel på nätverksåtkomstservrar är:
-
Nätverksåtkomstservrar som ger fjärråtkomstanslutning till en organisations nätverk eller Internet. Ett exempel är en dator som har operativsystemet Windows Server® 2008 och tjänsten Routing och fjärråtkomst, som ger antingen traditionell, uppringd fjärråtkomst eller VPN-fjärråtkomst till en organisations intranät.
-
Trådlösa åtkomstpunkter som ger åtkomst på fysisk nivå till en organisations nätverk med hjälp av trådlös teknik för överföring och mottagning.
-
Växlar som ger åtkomst på fysisk nivå till en organisations nätverk med hjälp av traditionell LAN-teknik, t.ex. Ethernet.
-
RADIUS-proxyservrar som vidarebefordrar en anslutningsbegäran till RADIUS-servrar som är medlemmar i en fjärr-RADIUS-servergrupp som konfigurerats på RADIUS-proxyservern.
RADIUS-åtkomstbegäranden
RADIUS-klienter skapar antingen en RADIUS-åtkomstbegäran som vidarebefordras till en RADIUS-proxyserver eller en RADIUS-server, eller vidarebefordrar en åtkomstbegäran till en RADIUS-server som de har fått från en annan RADIUS-klient men inte har skapat själva.
RADIUS-klienter behandlar inte åtkomstbegäran genom att utföra autentisering, auktorisering och redovisning. Endast RADIUS-servrar utför de funktionerna.
NPS kan däremot konfigureras för att fungera både som RADIUS-proxyserver och RADIUS-server samtidigt, så att den bearbetar vissa åtkomstbegäranden och vidarebefordrar andra.
NPS som en RADIUS-klient
NPS fungerar som en RADIUS-klient när du konfigurerar den som en RADIUS-proxyserver för att vidarebefordra åtkomstbegäranden till andra RADIUS-servrar för bearbetning. När du använder NPS som en RADIUS-proxyserver måste följande allmänna konfigurationssteg följas:
-
Nätverksåtkomstservrar, t.ex. trådlösa åtkomstpunkter och VPN-servrar, konfigureras med NPS-proxyserverns IP-adress som den tilldelade RADIUS-servern eller autentiseringsservern. Det gör att nätverksåtkomstservrarna, som skapar åtkomstbegäranden baserat på information de får från åtkomstklienter, kan vidarebefordra meddelanden till NPS-proxyservern.
-
NPS-proxyservern konfigureras genom att varje nätverksåtkomstserver läggs till som en RADIUS-klient. Det här konfigurationssteget gör att NPS-proxyservern kan ta emot meddelanden från nätverksåtkomstservrarna och kommunicera med dem under autentiseringen. Dessutom ska principer för anslutningsbegäran på NPS-proxyservern konfigureras så att de anger vilka åtkomstbegäranden som ska vidarebefordras till en eller flera RADIUS-servrar. Principerna ska också konfigureras med en fjärr-RADIUS-servergrupp, som styr vart de meddelanden NPS får från nätverksåtkomstservrarna ska skickas.
-
NPS eller andra RADIUS-servrar som är medlemmar i fjärr-RADIUS-servergrupper på NPS-proxyservern konfigureras för att ta emot meddelanden från NPS-proxyservern. Det gör du genom att konfigurera NPS-proxyservern som en RADIUS-klient.
Egenskaper för RADIUS-klient
När du lägger till en RADIUS-klient till NPS-konfigurationen med hjälp av NPS-snapin-modulen eller netsh-kommandona för NPS konfigurerar du NPS så att den kan ta emot RADIUS-åtkomstbegäranden från antingen en nätverksåtkomstserver eller en RADIUS-proxyserver.
När du konfigurerar en RADIUS-klient i NPS kan du ange följande egenskaper:
-
Klientnamn
Ett eget namn på RADIUS-klienten, som gör den lättare att identifiera när du använder NPS-snapin-modulen eller netsh-kommandona för NPS.
-
IP-adress
IPv4-adressen (Internet Protocol version 4) eller DNS-namnet (Domain Name System) på RADIUS-klienten.
-
Klienttillverkare
RADIUS-klientens tillverkare. Annars kan du använda RADIUS standardvärde för klienttillverkare.
-
Delad hemlighet
En textsträng som används som lösenord mellan RADIUS-klienter, RADIUS-servrar och RADIUS-proxyservrar. Den delade hemligheten används också som nyckel för att kryptera RADIUS-meddelanden när attributet för meddelandeautentisering används. Strängen måste konfigureras på RADIUS-klienten och i NPS-snapin-modulen.
-
Attribut för meddelandeautentisering
Beskrivs i RFC 2869, "RADIUS Extensions", en MD5-hash (Message Digest 5) för hela RADIUS-meddelandet. Om det finns ett RADIUS-attribut för meddelandeautentisering verifieras det. Om verifieringen misslyckas ignoreras RADIUS-meddelandet. Om klientinställningarna kräver ett attribut för meddelandeautentisering och det inte finns ignoreras RADIUS-meddelandet. Vi rekommenderar att du använder attributet för meddelandeautentisering.
OBS Attributet för meddelandeautentisering behövs och aktiveras automatiskt när du använder EAP-autentisering.
-
Klienten är NAP-kompatibel
En beteckning som anger att RADIUS-klienten är kompatibel med NAP (Network Access Protection) och att NPS skickar NAP-attribut till RADIUS-klienten i åtkomstbegäran.