NPS (Network Policy Server) kan användas som en RADIUS-server (Remote Authentication Dial-In User Service) för att utföra autentisering, auktorisering och redovisning av RADIUS-klienter. En RADIUS-klient kan vara en åtkomstserver, t.ex. en uppringningsserver eller trådlös åtkomstpunkt, eller en RADIUS-proxy. När NPS används som en RADIUS-server tillhandahåller servern följande:

  • En central autentiserings- och auktoriseringstjänst för alla åtkomstförfrågningar som skickas av RADIUS-klienter.

    NPS använder en Microsoft® Windows NT® Server 4.0-domän, en Active Directory® Domain Services-domän (AD DS) eller den lokala SAM-kontodatabasen (hanteraren för kontosäkerhet) för att verifiera användarnas autentiseringsuppgifter i samband med anslutningsförsök. NPS använder fjärranslutningsegenskaperna för användarkontot och nätverksprinciper för att auktorisera en anslutning.

  • En central redovisningsregistreringstjänst för alla redovisningsförfrågningar som skickas av RADIUS-klienter.

    Redovisningsförfrågningar lagras i en lokal loggfil eller i en Microsoft® SQL Server™-databas för analys.

Följande bild illustrerar dels hur NPS fungerar som en RADIUS-server för olika åtkomstklienter, dels som en RADIUS-proxyserver. NPS använder en AD DSdomän för att verifiera användarautentiseringsuppgifter i inkommande RADIUS-åtkomstbegäranden.

NPS som en RADIUS-server

När NPS används som en RADIUS-server används RADIUS-meddelanden för autentisering, auktorisering och redovisning av nätverksåtkomstanslutningar på följande sätt:

  1. Åtkomstservrar, t.ex. fjärranslutna nätverksåtkomstservrar, VPN-servrar och trådlösa åtkomstpunkter, mottar anslutningsförfrågningar från åtkomstklienter.

  2. Åtkomstservern, som konfigurerats att använda RADIUS som autentiserings-, auktoriserings- och redovisningsprotokoll, skapar en åtkomstbegäran och skickar den till NPS-servern.

  3. NPS-servern utvärderar åtkomstbegäran.

  4. Om det behövs skickar NPS-servern en åtkomstutmaning till åtkomstservern. Åtkomstservern behandlar utmaningen och skickar en uppdaterad åtkomstbegäran till NPS-servern.

  5. Användarens autentiseringsuppgifter kontrolleras och fjärranslutningsegenskaperna för användarkontot hämtas via en säker anslutning till en domänkontrollant.

  6. Anslutningsförsöket auktoriseras med både fjärranslutningsegenskaperna för användarkontot och nätverksprinciperna.

  7. Om anslutningsförsöket både autentiseras och auktoriseras skickar NPS-servern ett meddelande om beviljad åtkomst till åtkomstservern.

    Om anslutningsförsöket varken autentiseras eller auktoriseras skickar NPS-servern ett meddelande om nekad åtkomst till åtkomstservern.

  8. Åtkomstservern slutför anslutningsprocessen med åtkomstklienten och skickar en redovisningsbegäran till NPS-servern, där redovisningsbegäran loggas.

  9. NPS-servern skickar ett redovisningssvar till åtkomstservern.

OBS

Åtkomstservern skickar också redovisningsbegäranden när anslutningen upprättas, när anslutningen med åtkomstklienten stängs och när åtkomstservern startas och stoppas.

Du kan använda NPS som en RADIUS-server om:

  • Du använder en Windows NT Server 4.0-domän, en AD DS-domän eller den lokala SAM-kontodatabasen (hanteraren för kontosäkerhet) som databas för användarkonton för åtkomstklienter.

  • Du använder Routning och fjärråtkomst (RAS) på flera fjärranslutningsservrar, VPN-servrar eller routrar för uppringning på begäran och du vill centralisera både konfigurationen av nätverksprinciper och anslutningsloggningen för redovisning.

  • Du outsourcar fjärråtkomsten, VPN-åtkomsten eller den trådlösa åtkomsten till en tjänstprovider. Åtkomstservrarna använder RADIUS för att autentisera och auktorisera anslutningar som upprättas av medlemmar i organisationen.

  • Du vill centralisera autentiseringen, auktoriseringen och redovisningen i en uppsättning med olika typer av åtkomstservrar.

OBS

I IAS (Internet Authentication Service) i Windows Server® 2003-operativsystemen kallas nätverksprinciper för fjärråtkomstprinciper.

Innehåll