Partager via

Considérations relatives à la conception du serveur d’état

  • Article

Notes

Le service d’authentification Internet (IAS) a été renommé serveur NPS (Network Policy Server) à compter de Windows Server 2008. Le contenu de cette rubrique s’applique à la fois à IAS et à NPS. Tout au long du texte, NPS est utilisé pour faire référence à toutes les versions du service, y compris les versions initialement appelées IAS.

 

Selon votre conception, vous pouvez avoir besoin d’un serveur pour suivre les utilisateurs actuellement connectés au réseau. Le main défi avec le serveur d’état consiste à maintenir les informations dans la base de données du serveur d’état synchronisées avec qui est réellement connecté. Si les informations du serveur d’état ne sont pas synchronisées, les utilisateurs peuvent réussir à avoir plusieurs sessions lorsqu’ils ne sont pas autorisés à le faire. En outre, les utilisateurs qui n’ont pas plusieurs sessions peuvent être pénalisés par inadvertance.

Les éléments suivants doivent être pris en compte lors de l’implémentation du serveur d’état :

  • Le serveur d’état doit prendre la décision en ligne en quelques secondes. Pour cette raison, le serveur d’état nécessite une infrastructure pouvant être mise à l’échelle qui peut prendre en charge de nombreuses mises à jour et requêtes par seconde. Les bases de données relationnelles ne sont pas appropriées pour des requêtes aussi volumineuses avec des mises à jour simultanées. Les bases de données relationnelles sont principalement conçues pour maintenir la cohérence des données et fournir une vue cohérente des données à tous les consommateurs. Ils ne sont pas conçus pour les mises à jour rapides.
  • La cohérence transactionnelle des mises à jour entre plusieurs objets n’est pas importante. Cela est dû au fait que le serveur d’état peut tolérer une petite fenêtre d’opportunité. Toutefois, la cohérence transactionnelle d’une seule mise à jour est importante pour réduire les risques de laisser le serveur d’état dans un état incohérent si l’un des serveurs RADIUS est arrêté au milieu de la mise à jour.
  • La persistance (enregistrement de l’état du réseau dans le stockage persistant) n’est pas importante, car les informations persistantes tombent rapidement hors de synchronisation avec l’état réel du réseau.
  • Si le réseau ISDN ou d’autres formes de liaison multiple sont pris en charge sur le réseau, le serveur d’état doit être en mesure de gérer les scénarios qui utilisent ces fonctionnalités.

Une conception possible consiste à implémenter à la fois une DLL d’extension d’authentification et une DLL d’extension d’autorisation. Chacune de ces DLL peut communiquer sur le réseau avec une base de données. La DLL d’extension d’autorisation peut mettre à jour la base de données avec des informations sur les personnes actuellement connectées au réseau. La DLL d’extension d’authentification peut interroger la base de données pour obtenir ces informations afin de décider d’accepter ou de rejeter la demande d’authentification d’un utilisateur particulier . si l’utilisateur est déjà connecté, la demande est rejetée.

L’avantage d’avoir la DLL d’extension d’autorisation mettre à jour la base de données state-server est que la DLL d’extension d’autorisation a accès à plus d’informations sur l’utilisateur authentifié. La DLL d’extension d’autorisation a accès à tous les attributs d’autorisation du mécanisme d’autorisation NPS. Par exemple, certains utilisateurs peuvent avoir des autorisations qui leur permettent d’avoir plusieurs sessions. Le serveur d’état doit traiter ces utilisateurs comme un cas spécial.