NPS (Network Policy Server) kan användas som en RADIUS-server (Remote Authentication Dial-In User Service) för att utföra autentisering, auktorisering och redovisning av RADIUS-klienter. En RADIUS-klient kan vara en åtkomstserver, t.ex. en uppringningsserver eller trådlös åtkomstpunkt, eller en RADIUS-proxy. När NPS används som en RADIUS-server tillhandahåller servern följande:
-
En central autentiserings- och auktoriseringstjänst för alla åtkomstförfrågningar som skickas av RADIUS-klienter.
NPS använder en Microsoft® Windows NT® Server 4.0-domän, en Active Directory® Domain Services-domän (AD DS) eller den lokala SAM-kontodatabasen (hanteraren för kontosäkerhet) för att verifiera användarnas autentiseringsuppgifter i samband med anslutningsförsök. NPS använder fjärranslutningsegenskaperna för användarkontot och nätverksprinciper för att auktorisera en anslutning.
-
En central redovisningsregistreringstjänst för alla redovisningsförfrågningar som skickas av RADIUS-klienter.
Redovisningsförfrågningar lagras i en lokal loggfil eller i en Microsoft® SQL Server™-databas för analys.
Följande bild illustrerar dels hur NPS fungerar som en RADIUS-server för olika åtkomstklienter, dels som en RADIUS-proxyserver. NPS använder en AD DSdomän för att verifiera användarautentiseringsuppgifter i inkommande RADIUS-åtkomstbegäranden.
När NPS används som en RADIUS-server används RADIUS-meddelanden för autentisering, auktorisering och redovisning av nätverksåtkomstanslutningar på följande sätt:
-
Åtkomstservrar, t.ex. fjärranslutna nätverksåtkomstservrar, VPN-servrar och trådlösa åtkomstpunkter, mottar anslutningsförfrågningar från åtkomstklienter.
-
Åtkomstservern, som konfigurerats att använda RADIUS som autentiserings-, auktoriserings- och redovisningsprotokoll, skapar en åtkomstbegäran och skickar den till NPS-servern.
-
NPS-servern utvärderar åtkomstbegäran.
-
Om det behövs skickar NPS-servern en åtkomstutmaning till åtkomstservern. Åtkomstservern behandlar utmaningen och skickar en uppdaterad åtkomstbegäran till NPS-servern.
-
Användarens autentiseringsuppgifter kontrolleras och fjärranslutningsegenskaperna för användarkontot hämtas via en säker anslutning till en domänkontrollant.
-
Anslutningsförsöket auktoriseras med både fjärranslutningsegenskaperna för användarkontot och nätverksprinciperna.
-
Om anslutningsförsöket både autentiseras och auktoriseras skickar NPS-servern ett meddelande om beviljad åtkomst till åtkomstservern.
Om anslutningsförsöket varken autentiseras eller auktoriseras skickar NPS-servern ett meddelande om nekad åtkomst till åtkomstservern.
-
Åtkomstservern slutför anslutningsprocessen med åtkomstklienten och skickar en redovisningsbegäran till NPS-servern, där redovisningsbegäran loggas.
-
NPS-servern skickar ett redovisningssvar till åtkomstservern.
OBS | |
Åtkomstservern skickar också redovisningsbegäranden när anslutningen upprättas, när anslutningen med åtkomstklienten stängs och när åtkomstservern startas och stoppas. |
Du kan använda NPS som en RADIUS-server om:
-
Du använder en Windows NT Server 4.0-domän, en AD DS-domän eller den lokala SAM-kontodatabasen (hanteraren för kontosäkerhet) som databas för användarkonton för åtkomstklienter.
-
Du använder Routning och fjärråtkomst (RAS) på flera fjärranslutningsservrar, VPN-servrar eller routrar för uppringning på begäran och du vill centralisera både konfigurationen av nätverksprinciper och anslutningsloggningen för redovisning.
-
Du outsourcar fjärråtkomsten, VPN-åtkomsten eller den trådlösa åtkomsten till en tjänstprovider. Åtkomstservrarna använder RADIUS för att autentisera och auktorisera anslutningar som upprättas av medlemmar i organisationen.
-
Du vill centralisera autentiseringen, auktoriseringen och redovisningen i en uppsättning med olika typer av åtkomstservrar.
OBS | |
I IAS (Internet Authentication Service) i Windows Server® 2003-operativsystemen kallas nätverksprinciper för fjärråtkomstprinciper. |