RADIUS-server för trådlösa eller trådbundna 802.1X-anslutningar

Om du vill distribuera trådlös 802.1X-åtkomst måste du installera och konfigurera trådlösa åtkomstpunkter. Om du vill distribuera trådbunden 802.1X-åtkomst måste du installera och konfigurera 802.1X-autentiseringsväxlar.

	Viktigt!
	Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar, till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar och fjärranslutningsservrar, där RADIUS-protokollet används för att kommunicera med RADIUS-servrar, till exempel NPS-servrar.

I båda fallen måste nätverksåtkomstservrarna uppfylla följande krav:

• Stöd för vanlig IEEE (Institute of Electrical and Electronics Engineers) 802.1X-autentisering
  
  
• Stöd för RADIUS-autentisering och RADIUS-redovisning
  
  

Om du använder fakturerings- och redovisningsprogram som kräver sessionsmatchning krävs följande:

• Stöd för Class-attributet såsom det definieras av IETF (Internet Engineering Task Force) i RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", för att möjliggöra sessionsmatchning för RADIUS-autentiserings- och -kontohanteringsposter. För att kunna använda sessionsmatchning måste du, när du konfigurerar RADIUS-redovisning på NPS-servern eller -proxyservern, logga alla redovisningsdata som kan användas av program, t.ex. faktureringsprogram, för att skicka frågor till databasen, matcha relaterade fält och returnera en sammanhållen vy av varje session i frågeresultatet. Du måste åtminstone logga följande NPS-redovisningsdata: NAS-IP-Address, NAS-Identifier (du behöver både NAS-IP-Address och NAS-Identifier eftersom åtkomstservern kan skicka båda attributen), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port och Event-Timestamp.
  
  
• Stöd för tillfälliga redovisningsförfrågningar (som skickas regelbundet av vissa nätverksåtkomstservrar (NAS) under en användarsession) som kan loggas. Den här typen av förfrågningar kan användas om RADIUS-attributet Acct-Interim-Interval stöder regelbundna förfrågningar enligt konfigurationen av fjärråtkomstprincipen på NPS-servern. Nätverksåtkomstservern måste ha stöd för tillfälliga redovisningsförfrågningar för att de tillfälliga förfrågningarna ska kunna loggas på NPS-servern.
  
  

I VLAN-miljöer (Virtual Local Area Network) måste nätverksåtkomstservrarna ha stöd för virtuella lokala nätverk.

I WAN-miljöer (Wide Area Network) bör nätverksåtkomstservrarna:

• Ha stöd för dynamisk RTO-beräkning (Retransmission Timeout) eller exponentiell backoff för hantering av kollisioner och fördröjningar i en WAN-miljö.
  
  

Dessutom bör nätverksåtkomstservrarna ha stöd för vissa filterfunktioner för ökad säkerhet i nätverket. Exempel på dessa filteralternativ är:

• DHCP-filtrering Nätverksåtkomstservrarna måste filtrera på IP-portar för att förhindra överföringen av DHCP-broadcast-meddelanden (Dynamic Host Configuration Protocol) om klienten är en DHCP-server. Nätverksåtkomstservrarna måste hindra klienten från att skicka IP-paket från port 68 till nätverket.
  
  
• DNS-filtrering Nätverksåtkomstservrarna måste filtrera på IP-portar för att förhindra att en klientdator fungerar som en DNS-server. Nätverksåtkomstservrarna måste hindra klienten från att skicka IP-paket från port 53 till nätverket.
  
  

Om du distribuerar trådlösa åtkomstpunkter bör det finnas stöd för WPA (Wi-Fi Protected Access). WPA stöds av Windows Vista® och Windows XP med Service Pack 2. Om du distribuerar WPA använder du även trådlösa nätverkskort som stöder WPA.

För trådlös och trådbunden 802.1X kan du använda följande autentiseringsmetoder:

• EAP (Extensible Authentication Protocol) med TLS (Transport Layer Security), eller EAP-TLS som det också kallas.
  
  
• PEAP (Protected EAP) med MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), eller PEAP-MS-CHAP v2 som det också kallas.
  
  
• PEAP med EAP-TLS, eller PEAP-TLS som det också kallas.
  
  

Om du använder EAP-TLS och PEAP-TLS måste du distribuera en infrastruktur för offentliga nycklar (PKI) genom att installera och konfigurera Active Directory®-certifikattjänsterna för att utfärda certifikat till klientdatorer som är domänmedlemmar och till NPS-servrar. Certifikaten används vid autentiseringen som bevis på klienternas och NPS-servrarnas identiteter. Om du så föredrar kan du distribuera smartkort i stället för att använda klientdatorcertifikat. I så fall måste du förse organisationens anställda med smartkort och smartkortsläsare.

Om du använder PEAP-MS-CHAP v2 kan du distribuera din egen certifikatutfärdare med Active Directory-certifikattjänsterna för att utfärda certifikat till NPS-servrar. Du kan också köpa servercertifikat från en offentlig, betrodd rotcertifikatutfärdare som betraktas som betrodd av klientdatorerna, t.ex. VeriSign.

Mer information finns i Översikt över EAP och Översikt över PEAP.

Om du konfigurerar NPS som en RADIUS-server måste du konfigurera RADIUS-klienter, nätverksprinciper och RADIUS-redovisning.