在部署将网络策略服务器 (NPS) 用作远程身份验证拨入用户服务 (RADIUS) 服务器的 802.1X 有线或无线访问时,必须采取以下步骤:
-
安装网络访问服务器 (NAS) 并将其配置为 RADIUS 客户端。
-
部署用于身份验证方法的组件。
-
将 NPS 配置为 RADIUS 服务器。
安装和配置网络访问服务器(RADIUS 客户端)
若要部署 802.1X 无线访问,必须安装和配置无线访问点。若要部署 802.1X 有线访问,必须安装和配置 802.1X 身份验证交换机。
重要 | |
客户端计算机(例如,无线便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。RADIUS 客户端是网络访问服务器,例如无线访问点、802.1X-支持交换、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如网络策略服务器 (NPS))通信。 |
在上述两种情况下,这些网络访问服务器必须满足以下要求:
-
支持电气与电子工程师协会 (IEEE) 标准 802.1X 身份验证
-
支持 RADIUS 身份验证和 RADIUS 记帐
如果使用需要会话相关性的帐单或记帐应用程序,需要具备以下条件:
-
支持 Internet 工程任务组 (IETF) 在 RFC 2865“远程身份验证拨入用户服务 (RADIUS)”中定义的类属性,以允许 RADIUS 身份验证和记帐记录的会话相关性。对于会话相关性,在 NPS 服务器或代理上配置 RADIUS 记帐时,必须记录全部记帐数据,以允许应用程序(如帐单应用程序)查询数据库、关联相关字段,并在查询结果中返回每个会话的紧凑视图。必须至少记录以下 NPS 记帐数据才能提供会话相关性:NAS-IP-Address;NAS-Identifier(同时需要 NAS-IP-Address 和 NAS-Identifier,因为访问服务器可能发送二者中的任一属性);Class;Acct-Session-Id;Acct-Multi-Session-Id;Packet-Type;Acct-Status-Type;Acct-Interim-Interval;NAS-Port;和 Event-Timestamp。
-
支持记帐过渡请求,该请求由某些网络访问服务器 (NAS) 在用户会话期间定期发送,可以被记录。将 Acct-Interim-Interval RADIUS 属性配置为支持 NPS 服务器上远程访问配置文件中的定期请求时,可使用此类请求。如果需要在 NPS 服务器上记录过渡请求,NAS 必须支持使用记帐过渡请求。
如果使用虚拟局域网 (VLAN),NAS 必须支持 VLAN。
对于广域网 (WAN) 环境,网络访问服务器应提供以下支持:
-
支持动态重新传输超时 (RTO) 估算或指数退避算法以处理 WAN 环境中的拥塞和延迟。
此外,网络访问服务器还应支持某些筛选功能,以便为网络提供增强的安全性。这些筛选选项包括:
-
DHCP 筛选。如果客户端为动态主机配置协议 (DHCP) 服务器,则 NAS 必须筛选 IP 端口,以防止传输 DHCP 广播消息。网络访问服务器必须阻止客户端将 IP 数据包从端口 68 发送到网络。
-
DNS 筛选。NAS 必须筛选 IP 端口,以防止客户端执行 DNS 服务器功能。NAS 必须阻止客户端将 IP 数据包从端口 53 发送到网络。
如果要部署无线访问点,将首选支持 Wi-Fi 安全访问 (WPA)。Windows Vista(R) 和带 Service Pack 2 的 Windows XP 支持 WPA。若要部署 WPA,需同时使用支持 WPA 的无线网络适配器。
部署用于身份验证方法的组件
对于 802.1X 无线和有线,可以使用以下身份验证方法:
-
带传输层安全性 (TLS) 的可扩展的身份验证协议 (EAP),也称为 EAP-TLS。
-
带 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 的受保护 EAP (PEAP),也称为 PEAP-MS-CHAP v2。
-
带 EAP-TLS 的 PEAP,也称为 PEAP-TLS。
对于 EAP-TLS 和 PEAP-TLS,必须通过安装和配置 Active Directory(R) 证书服务 (AD CS) 来部署公钥基础结构 (PKI),以便将证书颁发到域成员客户端计算机和 NPS 服务器。在身份验证过程中,客户端和 NPS 服务器将这些证书用作身份证明。如果需要,可以部署智能卡,而不使用客户端计算机证书。在此情况下,必须向组织员工颁发智能卡和智能卡读卡器。
对于 PEAP-MS-CHAP v2,可以使用 AD CS 部署自己的证书颁发机构 (CA) 以将证书颁发到 NPS 服务器,还可以从客户端信任的受信任公用根 CA(如 VeriSign)购买服务器证书。
将 NPS 配置为 RADIUS 服务器
将 NPS 配置为 RADIUS 服务器时,必须配置 RADIUS 客户端、网络策略和 RADIUS 记帐。
配置 RADIUS 客户端
配置 RADIUS 客户端分为两个阶段:
-
使用允许网络访问服务器与 NPS 服务器通信的信息配置物理 RADIUS 客户端,如无线访问点或身份验证交换机。此信息包括配置 NPS 服务器的 IP 地址和在访问点或切换用户界面中的共享机密。
-
在 NPS 中,添加新的 RADIUS 客户端。在 NPS 服务器上,添加每个访问点或身份验证交换机作为 RADIUS 客户端。NPS 允许您为每个 RADIUS 客户端提供一个友好名称,以及 RADIUS 客户端的 IP 地址和共享机密。
有关详细信息,请参阅添加新的 RADIUS 客户端。
配置网络策略
网络策略是一组条件、约束和设置,允许您指定授权谁连接到网络以及其可以连接的环境。
有关详细信息,请参阅网络策略。
配置 RADIUS 记帐
使用 RADIUS 记帐可以在本地日志文件或本地计算机或远程计算机上的 Microsoft(R) SQL Server(R) 数据库中记录用户身份验证和记帐请求。
有关详细信息,请参阅 RADIUS 记帐。