När du distribuerar trådlös eller trådbunden 802.1X-åtkomst med NPS (Network Policy Server) som en RADIUS-server (Remote Authentication Dial-In User Service) måste du göra följande:

  • Installera och konfigurera nätverksåtkomstservrar (NAS) som RADIUS-klienter.

  • Distribuera komponenter för autentiseringsmetoder.

  • Konfigurera NPS som en RADIUS-server.

Installera och konfigurera nätverksåtkomstservrar (RADIUS-klienter)

Om du vill distribuera trådlös 802.1X-åtkomst måste du installera och konfigurera trådlösa åtkomstpunkter. Om du vill distribuera trådbunden 802.1X-åtkomst måste du installera och konfigurera 802.1X-autentiseringsväxlar.

Viktigt!

Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar, till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar och fjärranslutningsservrar, där RADIUS-protokollet används för att kommunicera med RADIUS-servrar, till exempel NPS-servrar.

I båda fallen måste nätverksåtkomstservrarna uppfylla följande krav:

  • Stöd för vanlig IEEE (Institute of Electrical and Electronics Engineers) 802.1X-autentisering

  • Stöd för RADIUS-autentisering och RADIUS-redovisning

Om du använder fakturerings- och redovisningsprogram som kräver sessionsmatchning krävs följande:

  • Stöd för Class-attributet såsom det definieras av IETF (Internet Engineering Task Force) i RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", för att möjliggöra sessionsmatchning för RADIUS-autentiserings- och -kontohanteringsposter. För att kunna använda sessionsmatchning måste du, när du konfigurerar RADIUS-redovisning på NPS-servern eller -proxyservern, logga alla redovisningsdata som kan användas av program, t.ex. faktureringsprogram, för att skicka frågor till databasen, matcha relaterade fält och returnera en sammanhållen vy av varje session i frågeresultatet. Du måste åtminstone logga följande NPS-redovisningsdata: NAS-IP-Address, NAS-Identifier (du behöver både NAS-IP-Address och NAS-Identifier eftersom åtkomstservern kan skicka båda attributen), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port och Event-Timestamp.

  • Stöd för tillfälliga redovisningsförfrågningar (som skickas regelbundet av vissa nätverksåtkomstservrar (NAS) under en användarsession) som kan loggas. Den här typen av förfrågningar kan användas om RADIUS-attributet Acct-Interim-Interval stöder regelbundna förfrågningar enligt konfigurationen av fjärråtkomstprincipen på NPS-servern. Nätverksåtkomstservern måste ha stöd för tillfälliga redovisningsförfrågningar för att de tillfälliga förfrågningarna ska kunna loggas på NPS-servern.

I VLAN-miljöer (Virtual Local Area Network) måste nätverksåtkomstservrarna ha stöd för virtuella lokala nätverk.

I WAN-miljöer (Wide Area Network) bör nätverksåtkomstservrarna:

  • Ha stöd för dynamisk RTO-beräkning (Retransmission Timeout) eller exponentiell backoff för hantering av kollisioner och fördröjningar i en WAN-miljö.

Dessutom bör nätverksåtkomstservrarna ha stöd för vissa filterfunktioner för ökad säkerhet i nätverket. Exempel på dessa filteralternativ är:

  • DHCP-filtrering Nätverksåtkomstservrarna måste filtrera på IP-portar för att förhindra överföringen av DHCP-broadcast-meddelanden (Dynamic Host Configuration Protocol) om klienten är en DHCP-server. Nätverksåtkomstservrarna måste hindra klienten från att skicka IP-paket från port 68 till nätverket.

  • DNS-filtrering Nätverksåtkomstservrarna måste filtrera på IP-portar för att förhindra att en klientdator fungerar som en DNS-server. Nätverksåtkomstservrarna måste hindra klienten från att skicka IP-paket från port 53 till nätverket.

Om du distribuerar trådlösa åtkomstpunkter bör det finnas stöd för WPA (Wi-Fi Protected Access). WPA stöds av Windows Vista® och Windows XP med Service Pack 2. Om du distribuerar WPA använder du även trådlösa nätverkskort som stöder WPA.

Distribuera komponenter för autentiseringsmetoder

För trådlös och trådbunden 802.1X kan du använda följande autentiseringsmetoder:

  • EAP (Extensible Authentication Protocol) med TLS (Transport Layer Security), eller EAP-TLS som det också kallas.

  • PEAP (Protected EAP) med MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), eller PEAP-MS-CHAP v2 som det också kallas.

  • PEAP med EAP-TLS, eller PEAP-TLS som det också kallas.

Om du använder EAP-TLS och PEAP-TLS måste du distribuera en infrastruktur för offentliga nycklar (PKI) genom att installera och konfigurera Active Directory®-certifikattjänsterna för att utfärda certifikat till klientdatorer som är domänmedlemmar och till NPS-servrar. Certifikaten används vid autentiseringen som bevis på klienternas och NPS-servrarnas identiteter. Om du så föredrar kan du distribuera smartkort i stället för att använda klientdatorcertifikat. I så fall måste du förse organisationens anställda med smartkort och smartkortsläsare.

Om du använder PEAP-MS-CHAP v2 kan du distribuera din egen certifikatutfärdare med Active Directory-certifikattjänsterna för att utfärda certifikat till NPS-servrar. Du kan också köpa servercertifikat från en offentlig, betrodd rotcertifikatutfärdare som betraktas som betrodd av klientdatorerna, t.ex. VeriSign.

Mer information finns i Översikt över EAP och Översikt över PEAP.

Konfigurera NPS som en RADIUS-server

Om du konfigurerar NPS som en RADIUS-server måste du konfigurera RADIUS-klienter, nätverksprinciper och RADIUS-redovisning.

Konfigurera RADIUS-klienter

Konfigurationen av RADIUS-klienter omfattar två faser:

  • Konfigurera den fysiska RADIUS-klienten, t.ex. den trådlösa åtkomstpunkten eller autentiseringsväxeln, med information som gör att nätverksåtkomstservern kan kommunicera med NPS-servrar. Du måste bland annat konfigurera NPS-serverns IP-adress och den delade hemligheten i användargränssnittet för åtkomstpunkten eller växeln.

  • Lägg till en ny RADIUS-klient i NPS. Lägg till varje åtkomstpunkt eller autentiseringsväxel som en RADIUS-klient på NPS-servern. Du kan ange ett eget namn för RADIUS-klienterna i NPS, liksom RADIUS-klientens IP-adress och den delade hemligheten.

Mer information finns i avsnittet Lägga till en ny RADIUS-klient.

Konfigurera nätverksprinciper

Nätverksprinciper är uppsättningar med villkor, begränsningar och inställningar som du kan definiera för att ange vem som har behörighet att ansluta till nätverket, och när.

Mer information finns i avsnittet Nätverksprinciper.

Konfigurera RADIUS-redovisning

Genom att använda RADIUS-redovisning kan du registrera användarautentiserings- och redovisningsförfrågningar i en lokal loggfil eller i en Microsoft® SQL Server®-databas på den lokala datorn eller på en fjärrdator.

Mer information finns i avsnittet RADIUS-redovisning.

Se även


Innehåll