Condividi tramite

Considerazioni sulla progettazione del server di stato

  • Articolo

Nota

Internet Authentication Service (IAS) è stato rinominato Server dei criteri di rete (NPS) a partire da Windows Server 2008. Il contenuto di questo argomento si applica sia a IAS che a NPS. In tutto il testo, NPS viene usato per fare riferimento a tutte le versioni del servizio, incluse le versioni originariamente definite IAS.

 

A seconda della progettazione, potrebbe essere necessario un server per tenere traccia degli utenti attualmente connessi alla rete. La sfida principale con il server di stato è mantenere sincronizzate le informazioni nel database del server di stato con chi è effettivamente connesso. Se le informazioni nel server di stato non sono sincronizzate, gli utenti potrebbero avere più sessioni quando non sono autorizzate a farlo. Inoltre, gli utenti che non hanno più sessioni potrebbero essere inavvertitamente penalizzati.

Nell'implementazione del server di stato è necessario tenere in considerazione quanto segue:

  • Il server di stato deve prendere la decisione online in pochi secondi. Per questo motivo il server di stato richiede un'infrastruttura scalabile in grado di supportare molti aggiornamenti e query al secondo. I database relazionali non sono appropriati per query di grandi dimensioni con aggiornamenti simultanei. I database relazionali vengono creati principalmente per mantenere coerenti i dati e fornire una visualizzazione coerente dei dati a tutti i consumer. Non vengono compilati per gli aggiornamenti rapidi.
  • La coerenza transazionale sugli aggiornamenti tra più oggetti non è importante. Ciò è dovuto al fatto che il server di stato può tollerare una piccola finestra di opportunità. Tuttavia, la coerenza transazionale di un singolo aggiornamento è importante per ridurre le probabilità di lasciare il server di stato in uno stato incoerente se uno dei server RADIUS viene arrestato al centro dell'aggiornamento.
  • La persistenza (il salvataggio dello stato della rete nell'archiviazione permanente) non è importante perché le informazioni persistenti non verranno sincronizzate rapidamente con lo stato effettivo della rete.
  • Se l'ISDN o altre forme di multilink sono supportati nella rete, il server di stato deve essere in grado di gestire gli scenari che usano queste funzionalità.

Una possibile progettazione consiste nell'implementare sia una DLL dell'estensione di autenticazione che una DLL dell'estensione di autorizzazione. Ognuna di queste DLL può comunicare in rete con un database. La DLL dell'estensione di autorizzazione può aggiornare il database con informazioni su chi è attualmente connesso alla rete. La DLL dell'estensione di autenticazione può eseguire una query sul database per ottenere queste informazioni per decidere se accettare o rifiutare la richiesta di autenticazione di un determinato utente; se l'utente è già connesso, la richiesta viene rifiutata.

Il vantaggio di avere la DLL dell'estensione di autorizzazione aggiornare il database del server di stato è che la DLL dell'estensione di autorizzazione ha accesso a altre informazioni sull'utente autenticato. La DLL dell'estensione di autorizzazione ha accesso a tutti gli attributi di autorizzazione dal meccanismo di autorizzazione nps. Ad esempio, alcuni utenti possono avere autorizzazioni che consentono loro di avere più sessioni. Il server di stato deve considerare gli utenti come un caso speciale.