網路存取伺服器 (NAS) 是提供一些較大型網路存取權層級的裝置。使用 RADIUS 基礎結構的 NAS 也是 RADIUS 用戶端,傳送連線要求及帳戶處理訊息到 RADIUS 伺服器進行驗證、授權以及帳戶處理。
重要 | |
用戶端電腦,例如無線可攜式電腦及其他執行用戶端作業系統的電腦,都不屬於 RADIUS 用戶端。 RADIUS 用戶端是使用 RADIUS 通訊協定來與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 等伺服器) 進行通訊,因此 RADIUS 用戶端是一種網路存取伺服器,例如無線存取點、802.1X-支援交換器、虛擬私人網路 (VPN) 伺服器及撥號伺服器等。 |
如果要將 NPS 部署為 RADIUS 伺服器、RADIUS Proxy 或網路存取保護 (NAP) 原則伺服器,您必須在 NPS 中設定 RADIUS 用戶端。
RADIUS 用戶端範例
網路存取伺服器的範例包括:
-
提供組織網路或網際網路的遠端存取連線能力的網路存取伺服器。例如,執行 Windows Server® 2008 作業系統及 [路由及遠端存取] 服務的電腦,提供組織內部網路所需的傳統撥號或虛擬私人網路 (VPN) 遠端存取服務。
-
提供組織網路實體層存取的無線存取點,使用以無線為基礎的傳輸與接收技術。
-
提供組織網路實體層存取的交換器,使用傳統的 LAN 技術,例如乙太網路。
-
將連線要求轉送至屬於遠端 RADIUS 伺服器群組成員的 RADIUS 伺服器的 RADIUS Proxy,此伺服器群組設定在 RADIUS Proxy 上。
RADIUS Access-Request 訊息
RADIUS 用戶端建立 RADIUS Access-Request 訊息,並將它們轉送到 RADIUS Proxy 或 RADIUS 伺服器;或者將 Access-Request 訊息轉送到已經從另一個 RADIUS 用戶端接收但本身尚未建立的 RADIUS 伺服器。
RADIUS 用戶端不會藉由執行驗證、授權以及帳戶處理來處理 Access-Request 訊息。只有 RADIUS 伺服器會執行這些功能。
不過,可以將 NPS 同時設定為 RADIUS Proxy 及 RADIUS 伺服器,使其可處理一些 Access-Request 訊息及轉送其他訊息。
NPS 做為 RADIUS 用戶端
當您將 NPS 設定為 RADIUS Proxy 以便將 Access-Request 訊息轉送到其他 RADIUS 伺服器進行處理時,NPS 將扮演 RADIUS 用戶端。當您使用 NPS 做為 RADIUS Proxy 時,需要下列一般設定步驟:
-
使用 NPS Proxy 的 IP 位址將網路存取伺服器 (例如無線存取點與 VPN 伺服器) 設定為指定的 RADIUS 伺服器或驗證伺服器。這個設定可讓網路存取伺服器 (根據它們從存取用戶端接收的資訊建立 Access-Request 訊息) 將訊息轉送到 NPS Proxy。
-
藉由新增每個網路存取伺服器做為 RADIUS 用戶端,設定 NPS Proxy。此設定步驟可讓 NPS Proxy 從網路存取伺服器接收訊息,然後在驗證期間與它們通訊。此外,設定 NPS Proxy 上的連線要求原則,指定哪些 Access-Request 訊息要轉送到一或多部 RADIUS 伺服器。您也可以使用遠端 RADIUS 伺服器群組設定這些原則,告訴 NPS 將從網路存取伺服器接收的訊息傳送到何處。
-
設定屬於 NPS Proxy 上遠端 RADIUS 伺服器群組成員的 NPS 或其他 RADIUS 伺服器,從 NPS Proxy 接收訊息。藉由設定 NPS Proxy 為 RADIUS 用戶端即可完成此動作。
RADIUS 用戶端內容
在透過 NPS 嵌入式管理單元或使用 NPS 的 netsh 命令新增 RADIUS 用戶端至 NPS 設定時,會設定 NPS 從網路存取伺服器或 RADIUS Proxy 接收 RADIUS Access-Request 訊息。
當您在 NPS 中設定 RADIUS 用戶端時,可以指定下列內容:
-
用戶端名稱
RADIUS 用戶端的好記名稱,使其在使用 NPS 嵌入式管理單元或 NPS 的 netsh 命令時易於識別。
-
IP 位址
第四版網際網路協定 (IPv4) 位址或 RADIUS 用戶端的網域名稱系統 (DNS) 名稱。
-
Client-Vendor
RADIUS 用戶端的廠商。也可以使用 Client-Vendor 的 RADIUS 標準值。
-
共用密碼
當作 RADIUS 用戶端、RADIUS 伺服器以及 RADIUS Proxy 之間密碼使用的文字字串。使用 [訊息驗證者] 屬性時,共用密碼也當作加密 RADIUS 訊息的金鑰。此字串必須在 RADIUS 用戶端及 NPS 嵌入式管理單元中設定。
-
訊息驗證者屬性
於 RFC 2869「RADIUS 延伸」中說明,這是整個 RADIUS 訊息的訊息摘要 5 (MD5) 雜湊。如果有 RADIUS [訊息驗證者] 屬性,就會加以驗證。如果驗證失敗,會捨棄 RADIUS 訊息。如果用戶端設定需要 [訊息驗證者] 屬性,但該屬性不存在,會捨棄 RADIUS 訊息。建議使用 [訊息驗證者] 屬性。
附註 根據預設值,當您使用 EAP 驗證時,需要 [訊息驗證者] 屬性並啟用此屬性。
-
用戶端可支援 NAP
指定 RADIUS 用戶端與網路存取保護 (NAP) 相容,而且 NPS 在 Access-Accept 訊息中傳送 NAP 屬性給 RADIUS 用戶端。