NPS (Network Policy Server) kan användas som en RADIUS-proxy för att tillhandahålla routning av RADIUS-meddelanden mellan RADIUS-klientåtkomstservrar och RADIUS-servrar som utför autentisering, auktorisering och redovisning för anslutningsförsök. När NPS används som en RADIUS-proxy är den en central växlings- eller routningspunkt som RADIUS-åtkomst och redovisningsmeddelanden går via. NPS registrerar information om meddelanden som vidarebefordras i en redovisningslogg.

Följande illustration visar NPS som en RADIUS-proxy mellan RADIUS-klienter (åtkomstservrar) och antingen RADIUS-servrar eller en annan RADIUS-proxy.

NPS som en RADIUS-proxy

När NPS används som en RADIUS-proxy mellan en RADIUS-klient och en RADIUS-server vidarebefordras RADIUS-meddelanden om försök att ansluta och få nätverksåtkomst på följande sätt:

  1. Åtkomstservrar, t.ex. fjärråtkomstservrar, VPN-servrar (Virtual Private Network) och trådlösa åtkomstpunkter tar emot anslutningsbegäranden från åtkomstklienter.

  2. Åtkomstservern som är konfigurerad att använda RADIUS som autentiserings-, auktoriserings- och redovisningsprotokoll skapar ett meddelande med en åtkomstbegäran och skickar det till NPS-servern som används som NPS RADIUS-proxy.

  3. NPS RADIUS-proxyn tar emot meddelandet med åtkomstbegäran och bestämmer vart det ska vidarebefordras, baserat på de lokalt konfigurerade principerna för anslutningsbegäranden.

  4. NPS RADIUS-proxyn vidarebefordrar meddelandet med åtkomstbegäran till rätt RADIUS-server.

  5. RADIUS-servern utvärderar meddelandet med åtkomstbegäran.

  6. Om det krävs skickar RADIUS-servern ett meddelande om åtkomstutmaning till NPS RADIUS-proxyn där det vidarebefordras till åtkomstservern. Åtkomstservern behandlar utmaningen med åtkomstklienten och skickar en uppdaterad åtkomstbegäran till NPS RADIUS-proxyn, där den vidarebefordras till RADIUS-servern.

  7. RADIUS-servern autentiserar och auktoriserar anslutningsförsöket.

  8. Om anslutningsförsöket är både autentiserat och auktoriserat skickar RADIUS-servern ett meddelande om åtkomstaccepterande till NPS RADIUS-proxyn där det vidarebefordras till åtkomstservern.

    Om anslutningsförsöket antingen inte är autentiserat eller auktoriserat skickar RADIUS-servern ett meddelande om åtkomstnekande till NPS RADIUS-proxyn där det vidarebefordras till åtkomstservern.

  9. Åtkomstservern slutför anslutningsprocessen med åtkomstklienten och skickar ett meddelande med ett redovisningsbegärande till NPS RADIUS-proxyn. NPS RADIUS-proxyn loggar redovisningsinformationen och vidarebefordrar meddelandet till RADIUS-servern.

  10. RADIUS-servern skickar ett redovisningssvar till NPS RADIUS-proxyn där det vidarebefordras till åtkomstservern.

Du kan använda NPS som en RADIUS-proxy om:

  • Du är en tjänstleverantör som erbjuder flera kunder utkontrakterade uppringda, VPN- eller trådlösa nätverksåtkomsttjänster. Dina nätverksåtkomstservrar skickar anslutningsbegäranden till NPS RADIUS-proxyn. Baserat på sfärdelen i användarnamnet i anslutningsbegäran vidarebefordrar NPS RADIUS-proxyn anslutningsbegäran till en RADIUS-server som underhålls av kunden och som kan autentisera och auktorisera anslutningsförsöket.

  • Du vill tillhandahålla autentisering och auktorisering för användarkonton som inte är medlemmar i antingen domänen som NPS-servern är medlem i eller en annan domän som har ett dubbelriktat förtroende med domänen som NPS-servern är medlem i. I det ingår konton i domäner som inte är betrodda, domäner med enkelriktat förtroende och andra skogar. Istället för att du konfigurerar dina åtkomstservrar att skicka sina anslutningsbegäranden till en NPS RADIUS-server kan du konfigurera dem att skicka dessa till en NPS RADIUS-proxy. NPS RADIUS-proxyn använder sfärnamnsdelen i användarnamnet och vidarebefordrar begäran till en NPS-server i rätt domän eller skog. Anslutningsförsök för användarkonton i en domän eller skog kan autentiseras för nätverksåtkomstservrar i en annan domän eller skog.

  • Du vill utföra autentisering och auktorisering med en databas som inte är en databas med Windows-konton. Här vidarebefordras anslutningsförsök som matchar ett angivet sfärnamn till en RADIUS-server som har åtkomst till en annan databas med användarkonton och auktoriseringsinformation. Andra exempel på användardatabaser är NDS- (Novell Directory Services) och SQL-databaser (Structured Query Language).

  • Du vill behandla en stor mängd anslutningsbegäranden. Här kan du konfigurera dina RADIUS-klienter att skicka sina anslutnings- och redovisningsbegäranden till en NPS RADIUS-proxy istället för att konfigurera dem att försöka utjämna sina anslutnings- och redovisningsbegäranden över flera RADIUS-servrar. NPS RADIUS-proxyn utjämnar dynamiskt anslutnings- och redovisningsbegäranden över flera RADIUS-servrar och ökar antalet bearbetningar av stora mängder RADIUS-klienter och autentiseringar per sekund.

  • Du vill tillhandahålla utkontrakterade tjänstleverantörer autentisering och auktorisering med RADIUS och minimera konfigurationen i intranätets brandvägg. En intranätsbrandvägg är en brandvägg mellan ditt perimeternätverk (nätverket mellan ditt intranät och Internet) och intranätet. Om du installerar en NPS-server i ditt perimeternätverk måste brandväggen mellan ditt perimeternätverk och intranätet tillåta trafik mellan NPS-servern och flera domänkontrollanter. Genom att ersätta NPS-servern med en NPS-proxy får brandväggen endast tillåta RADIUS-trafik mellan NPS-proxyn och en eller flera NPS-servrar i ditt intranät.


Innehåll