RADIUS-Clients
Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das in einem bestimmten Umfang Zugriff auf ein größeres Netzwerk bietet. Ein NAS, der eine RADIUS-Infrastruktur verwendet, ist auch ein RADIUS-Client, der Verbindungsanforderungen und Ressourcenerfassungsnachrichten an einen RADIUS-Server zur Authentifizierung, Autorisierung und Ressourcenerfassung sendet.
Hinweis
Clientcomputer, z. B. drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Funkzugriffspunkte, 802.1X-Authentifizierungsswitches, VPN-Server (Virtual Private Network) und Einwählserver –, da sie für die Kommunikation mit RADIUS-Servern wie z. B. Netzwerkrichtlinienservern das RADIUS-Protokoll verwenden.
Um einen Netzwerkrichtlinienserver als RADIUS-Server oder RADIUS-Proxy bereitzustellen, müssen Sie RADIUS-Clients im Netzwerkrichtlinienserver konfigurieren.
Beispiele für RADIUS-Clients
Beispiele für Netzwerkzugriffsserver:
- Netzwerkzugriffsserver, die Konnektivität für den Remotezugriff auf ein Organisationsnetzwerk oder das Internet bereitstellen. Ein Beispiel hierfür wäre ein Computer, auf dem das Windows Server 2016-Betriebssystem und der Remotezugriffsdienst ausgeführt wird und der entweder herkömmliche Einwahldienste oder VPN-Remotezugriffsdienste für ein Organisationsintranet bereitstellt.
- Funkzugriffspunkte, die mittels funkbasierter Übertragungs- und Empfangstechnologien physischen Zugriff auf ein Organisationsnetzwerk bieten.
- Switches, die über herkömmliche LAN-Technologien wie z. B. Ethernet physischen Zugriff ein Organisationsnetzwerk bieten.
- RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten und zu einer RADIUS-Remoteservergruppe gehören, die auf dem RADIUS-Proxy konfiguriert ist.
RADIUS-Access-Request-Nachrichten
Entweder erstellen RADIUS-Clients RADIUS-Access-Request-Nachrichten und leiten diese an einen RADIUS-Proxy oder RADIUS-Server weiter, oder sie leiten Access-Request-Nachrichten an einen RADIUS-Server weiter, die sie nicht selbst erstellt, sondern von einem anderen RADIUS-Client empfangen haben.
RADIUS-Clients verarbeiten keine Access-Request-Nachrichten per Authentifizierung, Autorisierung und Ressourcenerfassung. Diese Funktionen werden nur von RADIUS-Servern ausgeführt.
Netzwerkrichtlinienserver können jedoch gleichzeitig sowohl als RADIUS-Proxy als auch als RADIUS-Server konfiguriert werden, sodass sie einige Access-Request-Nachrichten verarbeiten und andere Nachrichten weiterleiten.
Netzwerkrichtlinienserver als RADIUS-Client
Ein Netzwerkrichtlinienserver fungiert als RADIUS-Client, wenn er als RADIUS-Proxy konfiguriert ist, um Access-Request-Nachrichten zur Verarbeitung an andere RADIUS-Server weiterzuleiten. Wenn Sie einen Netzwerkrichtlinienserver als RADIUS-Proxy verwenden möchten, sind die folgenden allgemeinen Konfigurationsschritte erforderlich:
Netzwerkzugriffsserver, z. B. Funkzugriffspunkte oder VPN-Server, werden mit der IP-Adresse des NPS-Proxys als designierter RADIUS-Server oder Authentifizierungsserver konfiguriert. Auf diese Weise können die Netzwerkzugriffsserver, die Access-Request-Nachrichten basierend auf von Zugriffsclients empfangenen Informationen erstellen, Nachrichten an den NPS-Proxy weiterleiten.
Zur Konfiguration des NPS-Proxys wird jeder Netzwerkzugriffsserver als RADIUS-Client hinzugefügt. Dieser Konfigurationsschritt ermöglicht es dem NPS-Proxy, während des gesamten Authentifizierungsprozesses Nachrichten von den Netzwerkzugriffsservern zu empfangen und mit ihnen zu kommunizieren. Darüber hinaus sind Verbindungsanforderungsrichtlinien im NPS-Proxy konfiguriert, die angeben, welche Access-Request-Nachrichten an einen oder mehrere RADIUS-Server weitergeleitet werden sollen. Diese Richtlinien sind auch mit einer RADIUS-Remoteservergruppe konfiguriert, um dem Netzwerkrichtlinienserver mitzuteilen, wohin die von den Netzwerkzugriffsservern empfangenen Nachrichten gesendet werden sollen.
Der Netzwerkrichtlinienserver oder andere RADIUS-Server, die Mitglieder der RADIUS-Remoteservergruppe im NPS-Proxy sind, werden so konfiguriert, dass Nachrichten vom NPS-Proxy empfangen werden. Dafür wird der NPS-Proxy als RADIUS-Client konfiguriert.
Eigenschaften von RADIUS-Clients
Wenn Sie der NPS-Konfiguration über die NPS-Konsole oder mit netsh-Befehlen für NPS bzw. mit Windows PowerShell-Befehlen einen RADIUS-Client hinzufügen, konfigurieren Sie den Netzwerkrichtlinienserver zum Empfangen von RADIUS-Access-Request-Nachrichten von einem Netzwerkzugriffsserver oder einem RADIUS-Proxy.
Beim Konfigurieren eines RADIUS-Clients in NPS können Sie die folgenden Eigenschaften festlegen:
Clientname
Einen Anzeigenamen für den RADIUS-Client, mit dem sich der Client bei Verwendung des NPS-Snap-Ins oder der netsh-Befehle für NPS leichter identifizieren lässt.
IP-Adresse
Die IPv4-Adresse oder der DNS-Name des RADIUS-Clients.
Client-Vendor
Der Anbieter des RADIUS-Clients. Wenn dieser nicht vorhanden ist, können Sie den RADIUS-Standardwert für „Client-Vendor“ verwenden.
Gemeinsamer geheimer Schlüssel
Eine Textzeichenfolge, die als Kennwort zwischen RADIUS-Clients, RADIUS-Servern und RADIUS-Proxys verwendet wird. Wenn das Attribut „Message Authenticator“ verwendet wird, wird der gemeinsame geheime Schlüssel auch als Schlüssel zum Verschlüsseln von RADIUS-Nachrichten verwendet. Diese Zeichenfolge muss auf dem RADIUS-Client und im NPS-Snap-In konfiguriert werden.
Attribut „Message Authenticator“
Ein MD5-Hash (Message Digest 5) der gesamten RADIUS-Nachricht, wie in RFC 2869, „RADIUS Extensions“, beschrieben. Wenn das RADIUS-Attribut „Message-Authenticator“ vorhanden ist, wird es überprüft. Wenn die Überprüfung nicht erfolgreich ist, wird die RADIUS-Nachricht verworfen. Wenn die Clienteinstellungen das Attribut „Message Authenticator“, dieses aber nicht vorhanden ist, wird die RADIUS-Nachricht verworfen. Die Verwendung des Attributs „Message Authenticator“ wird empfohlen.
Hinweis
Das Attribut „Message Authenticator“ ist erforderlich und standardmäßig aktiviert, wenn Sie die EAP-Authentifizierung (Extensible Authentication Protocol) verwenden.
Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).