En nätverksåtkomstserver (NAS) är en enhet som ger en viss åtkomst till ett större nätverk. En NAS som har en RADIUS-infrastruktur är också en RADIUS-klient, som skickar anslutningsbegäranden och redovisningsmeddelanden till en RADIUS-server för autentisering, auktorisering och redovisning.

Viktigt!

Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar, till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar och fjärranslutningsservrar, där RADIUS-protokollet används för att kommunicera med RADIUS-servrar, till exempel NPS-servrar.

Om du vill distribuera NPS till en RADIUS-server, en RADIUS-proxyserver eller en NAP-principserver (Network Access Protection) måste du konfigurera RADIUS-klienter i NPS.

Exempel på RADIUS-klienter

Några exempel på nätverksåtkomstservrar är:

  • Nätverksåtkomstservrar som ger fjärråtkomstanslutning till en organisations nätverk eller Internet. Ett exempel är en dator som har operativsystemet Windows Server® 2008 och tjänsten Routing och fjärråtkomst, som ger antingen traditionell, uppringd fjärråtkomst eller VPN-fjärråtkomst till en organisations intranät.

  • Trådlösa åtkomstpunkter som ger åtkomst på fysisk nivå till en organisations nätverk med hjälp av trådlös teknik för överföring och mottagning.

  • Växlar som ger åtkomst på fysisk nivå till en organisations nätverk med hjälp av traditionell LAN-teknik, t.ex. Ethernet.

  • RADIUS-proxyservrar som vidarebefordrar en anslutningsbegäran till RADIUS-servrar som är medlemmar i en fjärr-RADIUS-servergrupp som konfigurerats på RADIUS-proxyservern.

RADIUS-åtkomstbegäranden

RADIUS-klienter skapar antingen en RADIUS-åtkomstbegäran som vidarebefordras till en RADIUS-proxyserver eller en RADIUS-server, eller vidarebefordrar en åtkomstbegäran till en RADIUS-server som de har fått från en annan RADIUS-klient men inte har skapat själva.

RADIUS-klienter behandlar inte åtkomstbegäran genom att utföra autentisering, auktorisering och redovisning. Endast RADIUS-servrar utför de funktionerna.

NPS kan däremot konfigureras för att fungera både som RADIUS-proxyserver och RADIUS-server samtidigt, så att den bearbetar vissa åtkomstbegäranden och vidarebefordrar andra.

NPS som en RADIUS-klient

NPS fungerar som en RADIUS-klient när du konfigurerar den som en RADIUS-proxyserver för att vidarebefordra åtkomstbegäranden till andra RADIUS-servrar för bearbetning. När du använder NPS som en RADIUS-proxyserver måste följande allmänna konfigurationssteg följas:

  1. Nätverksåtkomstservrar, t.ex. trådlösa åtkomstpunkter och VPN-servrar, konfigureras med NPS-proxyserverns IP-adress som den tilldelade RADIUS-servern eller autentiseringsservern. Det gör att nätverksåtkomstservrarna, som skapar åtkomstbegäranden baserat på information de får från åtkomstklienter, kan vidarebefordra meddelanden till NPS-proxyservern.

  2. NPS-proxyservern konfigureras genom att varje nätverksåtkomstserver läggs till som en RADIUS-klient. Det här konfigurationssteget gör att NPS-proxyservern kan ta emot meddelanden från nätverksåtkomstservrarna och kommunicera med dem under autentiseringen. Dessutom ska principer för anslutningsbegäran på NPS-proxyservern konfigureras så att de anger vilka åtkomstbegäranden som ska vidarebefordras till en eller flera RADIUS-servrar. Principerna ska också konfigureras med en fjärr-RADIUS-servergrupp, som styr vart de meddelanden NPS får från nätverksåtkomstservrarna ska skickas.

  3. NPS eller andra RADIUS-servrar som är medlemmar i fjärr-RADIUS-servergrupper på NPS-proxyservern konfigureras för att ta emot meddelanden från NPS-proxyservern. Det gör du genom att konfigurera NPS-proxyservern som en RADIUS-klient.

Egenskaper för RADIUS-klient

När du lägger till en RADIUS-klient till NPS-konfigurationen med hjälp av NPS-snapin-modulen eller netsh-kommandona för NPS konfigurerar du NPS så att den kan ta emot RADIUS-åtkomstbegäranden från antingen en nätverksåtkomstserver eller en RADIUS-proxyserver.

När du konfigurerar en RADIUS-klient i NPS kan du ange följande egenskaper:

  • Klientnamn

    Ett eget namn på RADIUS-klienten, som gör den lättare att identifiera när du använder NPS-snapin-modulen eller netsh-kommandona för NPS.

  • IP-adress

    IPv4-adressen (Internet Protocol version 4) eller DNS-namnet (Domain Name System) på RADIUS-klienten.

  • Klienttillverkare

    RADIUS-klientens tillverkare. Annars kan du använda RADIUS standardvärde för klienttillverkare.

  • Delad hemlighet

    En textsträng som används som lösenord mellan RADIUS-klienter, RADIUS-servrar och RADIUS-proxyservrar. Den delade hemligheten används också som nyckel för att kryptera RADIUS-meddelanden när attributet för meddelandeautentisering används. Strängen måste konfigureras på RADIUS-klienten och i NPS-snapin-modulen.

  • Attribut för meddelandeautentisering

    Beskrivs i RFC 2869, "RADIUS Extensions", en MD5-hash (Message Digest 5) för hela RADIUS-meddelandet. Om det finns ett RADIUS-attribut för meddelandeautentisering verifieras det. Om verifieringen misslyckas ignoreras RADIUS-meddelandet. Om klientinställningarna kräver ett attribut för meddelandeautentisering och det inte finns ignoreras RADIUS-meddelandet. Vi rekommenderar att du använder attributet för meddelandeautentisering.

    OBS

    Attributet för meddelandeautentisering behövs och aktiveras automatiskt när du använder EAP-autentisering.

  • Klienten är NAP-kompatibel

    En beteckning som anger att RADIUS-klienten är kompatibel med NAP (Network Access Protection) och att NPS skickar NAP-attribut till RADIUS-klienten i åtkomstbegäran.


Innehåll