网络访问服务器 (NAS) 是提供对较大网络某些级别的访问权限的设备。使用 RADIUS 基础结构的 NAS 还是 RADIUS 客户端,它将连接请求和记帐消息发送到 RADIUS 服务器以便进行身份验证、授权和记帐。
重要 | |
客户端计算机(例如,无线便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。RADIUS 客户端是网络访问服务器,例如无线访问点、802.1X-支持交换、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如网络策略服务器 (NPS))通信。 |
若要将 NPS 部署为 RADIUS 服务器、RADIUS 代理或网络访问保护 (NAP) 策略服务器,必须在 NPS 中配置 RADIUS 客户端。
RADIUS 客户端示例
网络访问服务器的示例:
-
提供对组织网络或 Internet 的远程访问连接的网络访问服务器。例如,运行 Windows Server(R) 2008 操作系统和路由和远程访问服务,并且提供到组织的 Intranet 传统拨号或虚拟专用网络 (VPN) 远程访问服务的计算机。
-
使用基于无线的传输和接收技术,提供对组织网络的物理层访问权限的无线访问点。
-
使用传统的 LAN 技术(如 Ethernet),提供对组织网络的物理层访问权限的交换机。
-
将连接请求转发到 RADIUS 服务器的 RADIUS 代理,该 RADIUS 服务器是在 RADIUS 代理上配置的远程 RADIUS 服务器组的成员。
RADIUS 访问-请求消息
RADIUS 客户端创建 RADIUS 访问-请求消息并将其转发到 RADIUS 代理或 RADIUS 服务器,或者它们将访问-请求消息转发到从其他 RADIUS 客户端接收消息而不自己创建消息的 RADIUS 服务器。
RADIUS 客户端不通过执行身份验证、授权和记帐来处理访问-请求消息。只有 RADIUS 服务器才执行这些功能。
但是,可以将 NPS 同时配置为 RADIUS 代理和 RADIUS 服务器,以便它处理某些访问-请求消息和转发其他消息。
NPS 作为 RADIUS 客户端
在将 NPS 配置为 RADIUS 代理以便将访问-请求消息转发到其他 RADIUS 服务器进行处理时,NPS 充当 RADIUS 客户端。当将 NPS 用作 RADIUS 代理时,需要进行以下常规配置步骤:
-
使用 NPS 代理的 IP 地址将网络访问服务器(如无线访问点和 VPN 服务器)配置为指定的 RADIUS 服务器或进行身份验证的服务器。这将允许网络访问服务器(根据它们从访问客户端接收的信息创建访问-请求消息)将消息转发到 NPS 代理。
-
通过添加每个网络访问服务器作为 RADIUS 客户端来配置 NPS 代理。该配置步骤允许 NPS 代理在整个身份验证的过程中从网络访问服务器接收消息并与它们进行通信。此外,在 NPS 代理上配置连接请求策略以指定哪些访问-请求消息会转发到一个或多个 RADIUS 服务器。还可以通过远程 RADIUS 服务器组配置这些策略,可以告知 NPS 应将它从网络访问服务器接收的消息发送到哪里。
-
配置 NPS 或其他远程 RADIUS 服务器组的 RADIUS 服务器从 NPS 代理接收消息。通过将 NPS 代理配置为 RADIUS 客户端来完成该操作。
RADIUS 客户端属性
通过 NPS 管理单元或使用 NPS 的 netsh 命令向 NPS 配置添加 RADIUS 客户端时,同时也在配置 NPS 从网络访问服务器或 RADIUS 代理接收 RADIUS 访问-请求消息。
在 NPS 中配置 RADIUS 客户端时,可以指定以下属性:
-
客户端名
RADIUS 客户端的友好名称,使用 NPS 管理单元或 NPS 的 netsh 命令时,该名称使 RADIUS 客户端更容易识别。
-
IP 地址
RADIUS 客户端的 Internet 协议版本 4 (IPv4) 地址或域名系统 (DNS) 名称。
-
客户端-供应商
RADIUS 客户端的供应商。或者可以对客户端-供应商使用 RADIUS 标准值。
-
共享机密
在 RADIUS 客户端、RADIUS 服务器和 RADIUS 代理之间用作密码的文本字符串。当使用消息身份验证器属性时,共享机密还用作加密 RADIUS 消息的密钥。必须在 RADIUS 客户端上和 NPS 管理单元中配置此字符串。
-
消息身份验证器属性
在 RFC 2869“RADIUS 扩展”中整个 RADIUS 消息的 Message Digest 5 (MD5) 哈希中已进行描述。如果存在 RADIUS 消息身份验证器属性,则对其进行验证。如果验证失败,则丢弃 RADIUS 消息。如果客户端设置需要消息身份验证器属性并且该属性不存在,则丢弃 RADIUS 消息。建议使用消息身份验证器属性。
注意 当使用 EAP 身份验证时,需要消息身份验证器属性并且默认情况下该属性处于启用状态。
-
客户端支持 NAP
表示 RADIUS 客户端与网络访问保护 (NAP) 兼容并且 NPS 将 NAP 属性通过访问-接受消息发送到 RADIUS 客户端。