Ağ İlkesi Sunucusu (NPS), ağ ilkelerini aşağıdaki üç özellik yardımıyla merkezi olarak yapılandırmanıza ve yönetmenize olanak verir: Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) sunucusu, RADIUS proxy ve Ağ Erişim Koruması (NAP) ilke sunucusu.
RADIUS sunucu ve proxy sunucu
NPS bir RADIUS sunucu, bir RADIUS proxy sunucu veya ikisi bir arada olarak kullanılabilir.
RADIUS sunucu
NPS, Internet Engineering Task Force (IETF) tarafından RFC 2865 ve 2866'da belirtilen RADIUS standardının Microsoft tarafından gerçekleştirilen uygulamasıdır. NPS, bir RADIUS sunucu olarak, kablosuz, kimlik doğrulama anahtarı, çevirmeli ağ ve sanal özel ağ (VPN) uzaktan erişim ve yönlendiriciler arası bağlantılar için merkezi kimlik doğrulama, yetkilendirme ve hesap işlemleri yapar.
NPS kablosuz bağlantı, anahtar, uzaktan erişim veya VPN donanımlarının bir arada kullanılabilmesini sağlar. NPS'yi, Microsoft Windows 2000, Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition ve Windows Server 2003 Datacenter Edition ile birlikte gelen Yönlendirme ve Uzaktan Erişim hizmetiyle kullanabilirsiniz.
NPS çalışan sunucu bir Active Directory® Etki Alanı Hizmetleri (AD DS) etki alanının üyesi olduğunda, NPS, dizin hizmetini kendi kullanıcı hesabı veritabanı olarak kullanır ve çoklu oturum çözümünün bir parçasıdır. Ağ erişimi denetimi (kimlik doğrulama ve yetkilendirme amacıyla ağa erişim) ve bir AD DS etki alanında oturum açmak için aynı kimlik bilgileri kümesi kullanılır.
Internet servis sağlayıcılar (ISS) ve ağ erişimi sağlayan kuruluşlar, kullanılan ağ erişim donanımı türünden bağımsız olarak, tek bir yöentim noktasından tüm ağ erişim türlerini yönetmenin zorluklarını yaşamaktadır. RADIUS standardı bu işlevselliği hem homojen hem de heterojen ortamlarda destekler. RADIUS, ağ erişim donanımının (RADIUS istemciler olarak kullanılan) kimlik doğrulama ve yetkilendirme isteklerini bir RADIUS sunucuya göndermesine olanak veren bir istemci-sunucu protokolüdür.
RADIUS sunucunun kullanıcı hesabı bilgilerine erişimi vardır ve ağ erişimi kimlik doğrulama bilgilerini denetleyebilir. Kullanıcının kimlik bilgileri doğrulanırsa ve bağlantı isteğine izin verilirse, RADIUS sunucu, belirtilen koşullara uygun olarak kullanıcının erişimini yetkilendirir ve sonra ağ erişim bağlantısını bir hesap oluşturma günlüğüne kaydeder. RADIUS kullanılması, ağa erişmek isteyen kullanıcının kimlik doğrulama, yetkilendirme ve hesap oluşturma verilerinin her bir erişim sunucusu yerine, merkezi bir konumda toplanmasına ve saklanmasına olanak verir.
Daha fazla bilgi için bkz. RADIUS Sunucusu.
RADIUS proxy sunucu.
NPS bir RADIUS proxy sunucu olarak, kimlik doğrulama ve hesap oluşturma iletilerini diğer RADIUS sunuculara iletir.
NPS ile, kuruluşlar kullanıcı kimlik doğrulaması, yetkilendirme ve hesap oluşturma işlemlerini denetim altında tutarak, uzaktan erişim altyapısını bir servis sağlayıcısına devredebilir.
Aşağıdaki senaryolar için farklı NPS yapılandırmaları oluşturulabilir:
-
Kablosuz erişim
-
Kuruluş çevirmeli ağ veya sanal özel ağ (VPN) uzaktan erişimi
-
Devredilen çevirmeli ağ erişimi veya kablosuz erişim
-
Internet erişimi
-
İş ortakları için extranet kaynaklarına kimlik doğrulamalı erişim
Daha fazla bilgi için bkz. RADIUS Proxy.
RADIUS sunucu ve RADIUS proxy sunucu yapılandırma örnekleri
Aşağıdaki yapılandırma örneklerinde, NPS'yi bir RADIUS sunucu ve bir RADIUS proxy sunucu olarak nasıl yapılandırabileceğiniz gösterilmektedir.
NPS as a RADIUS server. Bu örnekte, NPS bir RADIUS sunucu olarak yapılandırılır, varsayılan bağlantı isteği ilkesi tek yapılandırılmış ilkedir ve tüm bağlantı istekleri yerel NPS sunucusu tarafından işlenir. NPS sunucusu, hesapları NPS sunucusunun etki alanında ve güvenilen etki alanlarında olan kullanıcıların kimlik doğrulamasını ve yetkilendirmesini yapabilir.
NPS as a RADIUS proxy. Bu örnekte, NPS sunucusu bağlantı isteklerini güvenilir olmayan iki etki alanındaki RADIUS sunucu gruplarına ileten bir RADIUS proxy sunucu olarak yapılandırılır. Varsayılan bağlantı isteği ilkesi reddedilir ve istekleri iki güvenilmeyen etki alanının her birine iletmek üzere iki yeni bağlantı isteği ilkesi oluşturulur. Bu örnekte, NPS yerel sunucudaki bağlantı isteklerini işlemez.
NPS as both RADIUS server and RADIUS proxy. Bağlantı isteklerinin yerel olarak işlenmesini sağlayan varsayılan bağlantı isteği ilkesine ek olarak, bağlantı isteklerini güvenilir olmayan bir etki alanındaki NPS'ye veya diğer RADIUS sunuculara ileten yeni bir bağlantı isteği ilkesi oluşturulur. Bu ikinci ilkeye Proxy ilkesi adı verilir. Bu örnekte, Proxy sunucu ilkesi sıralı ilkeler listesinde en başta görünür. Bağlantı isteği Proxy sunucu ilkesiyle eşleşirse, bağlantı isteği uzak RADIUS sunucu grubundaki RADIUS sunucuya iletilir. Bağlantı isteği Proxy sunucu ilkesiyle eşleşmezse ama varsayılan bağlantı isteği ilkesiyle eşleşirse, NPS bağlantı isteğini yerel sunucuda işler. Bağlantı isteği her iki ilkeyle de eşleşmezse yoksayılır.
NPS as a RADIUS server with remote accounting servers. Bu örnekte, yerel NPS sunucusu hesap oluşturma işlemlerini gerçekleştirecek biçimde yapılandırılmaz ve varsayılan bağlantı isteği ilkesi yeniden düzenlenerek RADIUS muhasebe iletilerinin bir NPS sunucusuna veya bir uzak RADIUS sunucu grubundaki başka bir RADIUS sunucusuna iletilmesi sağlanır. Hesap oluşturma iletileri iletilmekle birlikte, kimlik doğrulama ve yetkilendirme iletileri iletilmez ve yerel NPS sunucusu yerel etki alanı ve tüm güvenilen etki alanları için bu işlemleri gerçekleştirir.
NPS with remote RADIUS to Windows user mapping. Bu örnekte, NPS kimlik doğrulama isteğini bir uzak RADIUS sunucuya iletip yetkilendirme için bir yerel Windows kullanıcı hesabı kullanarak, her bağımsız bağlantı isteği için hem bir RADIUS sunucu hem de bir RADIUS proxy sunucu gibi davranır. Bu yapılandırma, bağlantı isteği ilkesinin bir koşulu olarak Uzak RADIUS ile Windows Kullanıcı Eşlemesi özniteliği yapılandırılarak gerçekleştirilir. (Ayrıca uzak RADIUS sunucu tarafından kimliği doğrulanan uzak kullanıcı hesabıyla aynı ada sahip bir kullanıcı hesabının RADIUS sunucusunda yerel olarak oluşturulması gerekir.)
NAP ilke sunucusu
Windows Vista®, Windows® 7, Windows Server® 2008 ve Windows Server® 2008 R2 ile birlikte gelen NAP, istemci bilgisayarların ağ kaynaklarına bağlanmalarına izin verilmeden önce kuruluş ağının sistem durumu ilkelerine uygun olarak yapılandırılmalarını sağlayarak, özel ağlara erişimin korunmasına yardımcı olur. Ayrıca, bilgisayarın ağa bağlı olduğu süre boyunca, istemci bilgisayarın sistem durumu ilkesiyle uyumluluğu izlenir. NAP otomatik düzeltme özelliği kullanılarak, uyumlu olmayan bilgisayarlar sistem durumu ilkesiyle uyumlu duruma getirilecek biçimde otomatik olarak güncelleştirilerek ağa bağlanabilmeleri sağlanır.
Sistem yöneticileri ağın sistem durumu ilkelerini tanımlar ve NPS'de sağlanan veya NAP dağıtımınıza bağlı olarak diğer şirketler tarafından sağlanan NAP bileşenlerini kullanarak bu ilkeleri oluşturabilir.
Sistem durumu ilkeleri yazılım gereksinimlerini, güvenlik güncelleştirmesi gereksinimlerini ve gerekli yapılandırma ayarlarını içerebilir. NAP, istemci bilgisayarların sistem durumunu inceleyip değerlendirerek, istemci bilgisayarlar uyumlu olmadığında ağ erişimini kısıtlayarak ve uyumlu olmayan istemci bilgisayarları tam ağ erişimi için düzelterek sistem durumu ilkelerini zorlar.
Daha fazla bilgi için bkz. NPS'de Ağ Erişim Koruması.