Klienci usługi RADIUS
Serwer dostępu do sieci (NAS) to urządzenie, które zapewnia pewien poziom dostępu do większej sieci. Serwer NAS korzystający z infrastruktury USŁUGI RADIUS jest również klientem USŁUGI RADIUS, który wysyła żądania połączeń i komunikaty ewidencjonowania aktywności do serwera RADIUS na potrzeby uwierzytelniania, autoryzacji i ewidencjonowania aktywności.
Uwaga
Komputery klienckie, takie jak komputery przenośne i inne komputery z systemem operacyjnym klienta, nie są klientami usługi RADIUS. Klienci usługi RADIUS to serwery dostępu do sieci — takie jak punkty dostępu bezprzewodowego, przełączniki uwierzytelniania 802.1X, serwery wirtualnej sieci prywatnej (VPN) oraz serwery dial-up — ponieważ używają protokołu RADIUS do komunikacji z serwerami RADIUS, takimi jak serwery zasad sieciowych (NPS).
Aby wdrożyć serwer NPS jako serwer RADIUS lub serwer proxy RADIUS, należy skonfigurować klientów RADIUS w NPS.
Przykłady klientów usługi RADIUS
Przykłady serwerów dostępu do sieci to:
- Serwery dostępu do sieci, które zapewniają łączność dostępu zdalnego z siecią organizacji lub Internetem. Przykładem jest komputer z systemem operacyjnym Windows Server 2016 i usługą dostępu zdalnego, która zapewnia tradycyjne usługi dostępu zdalnego lub wirtualnej sieci prywatnej (VPN) do intranetu organizacji.
- Punkty dostępu bezprzewodowego, które zapewniają dostęp do warstwy fizycznej sieci organizacji, wykorzystując technologie transmisji i odbioru bezprzewodowego.
- Przełączniki zapewniające dostęp do warstwy fizycznej sieci organizacji przy użyciu tradycyjnych technologii LAN, takich jak Ethernet.
- Serwery proxy RADIUS, które przekazują żądania połączeń do serwerów RADIUS będących członkami zdalnej grupy serwerów RADIUS skonfigurowanej na proxy RADIUS.
Komunikaty Access-Request usługi RADIUS
Klienci usługi RADIUS tworzą komunikaty usługi RADIUS Access-Request i przesyłają je do serwera proxy usługi RADIUS lub serwera RADIUS albo przesyłają komunikaty Access-Request do serwera RADIUS, które otrzymali od innego klienta usługi RADIUS, ale których sami nie utworzyli.
Klienci usługi RADIUS nie przetwarzają wiadomości Access-Request poprzez wykonywanie uwierzytelniania, autoryzacji i rozliczania. Te funkcje wykonują tylko serwery RADIUS.
Serwer NPS można jednak skonfigurować zarówno jako serwer proxy usługi RADIUS, jak i serwer RADIUS jednocześnie, tak aby przetwarzał niektóre komunikaty Access-Request i przekazuje inne komunikaty.
Serwer NPS jako klient RADIUS
Serwer NPS działa jako klient RADIUS podczas konfigurowania go jako serwera proxy usługi RADIUS w celu przekazywania komunikatów Access-Request do innych serwerów RADIUS na potrzeby przetwarzania. W przypadku używania serwera NPS jako serwera proxy usługi RADIUS wymagane są następujące ogólne kroki konfiguracji:
Serwery dostępu do sieci, takie jak punkty dostępu bezprzewodowego i serwery VPN, są konfigurowane z użyciem adresu IP proxy NPS jako wyznaczonego serwera RADIUS lub serwera uwierzytelniającego. Umożliwia to serwerom dostępu do sieci, które tworzą komunikaty Access-Request na podstawie informacji otrzymywanych z klientów dostępu, przekazywać te komunikaty do serwera proxy NPS.
Proxy NPS jest konfigurowany przez dodanie każdego serwera dostępu do sieci jako klienta usługi RADIUS. Ten krok konfiguracji umożliwia serwerowi proxy serwera NPS odbieranie komunikatów z serwerów dostępu do sieci i komunikowanie się z nimi przez cały czas uwierzytelniania. Ponadto zasady żądań połączeń na serwerze proxy serwera NPS są skonfigurowane tak, aby określić, które komunikaty Access-Request przekazywać do co najmniej jednego serwera RADIUS. Te zasady są również konfigurowane za pomocą zdalnej grupy serwerów RADIUS, która określa NPS, gdzie wysyłać komunikaty odbierane z serwerów dostępu do sieci.
Serwery NPS lub inne serwery RADIUS, które są członkami zdalnej grupy serwerów RADIUS na serwerze proxy serwera NPS, są skonfigurowane do odbierania komunikatów z serwera proxy serwera NPS. Jest to realizowane przez skonfigurowanie proxy NPS jako klienta usługi RADIUS.
Właściwości klienta usługi RADIUS
Po dodaniu klienta USŁUGI RADIUS do konfiguracji serwera NPS za pośrednictwem konsoli serwera NPS lub za pomocą poleceń netsh dla serwerów NPS lub poleceń programu Windows PowerShell konfigurujesz serwer zasad sieciowych w celu odbierania komunikatów usługi RADIUS Access-Request z serwera dostępu do sieci lub serwera proxy usługi RADIUS.
Podczas konfigurowania klienta RADIUS w usłudze NPS można wyznaczyć następujące właściwości:
Nazwa klienta
Przyjazna nazwa klienta RADIUS, która ułatwia identyfikację podczas korzystania z przystawki NPS lub poleceń netsh dla NPS.
Adres IP
Adres protokołu internetowego w wersji 4 (IPv4) lub nazwa systemu nazw domen (DNS) klienta RADIUS.
Client-Vendor
Dostawca klienta usługi RADIUS. W przeciwnym razie można użyć standardowej wartości RADIUS dla klienta i dostawcy.
Wspólny klucz tajny
Ciąg tekstowy używany jako hasło między klientami usługi RADIUS, serwerami RADIUS i serwerami proxy usługi RADIUS. Gdy jest używany atrybut Message Authenticator, wspólny sekret jest również używany jako klucz do szyfrowania komunikatów RADIUS. Ten ciąg musi być skonfigurowany na kliencie RADIUS i w przystawce serwera NPS.
Atrybut uwierzytelniania komunikatu
Opisano w specyfikacji RFC 2869 "Rozszerzenia RADIUS", skrót MD5 (Message Digest 5) całego komunikatu RADIUS. Jeśli atrybut uwierzytelniający komunikat usługi RADIUS jest obecny, zostanie zweryfikowany. Jeśli weryfikacja zakończy się niepowodzeniem, komunikat RADIUS zostanie odrzucony. Jeśli ustawienia klienta wymagają atrybutu Message Authenticator i nie są obecne, komunikat RADIUS zostanie odrzucony. Zalecane jest użycie atrybutu Message Authenticator.
Uwaga
Atrybut Uwierzytelnienie wiadomości jest wymagany i włączony domyślnie w przypadku korzystania z uwierzytelniania protokołu EAP (Extensible Authentication Protocol).
Aby uzyskać więcej informacji na temat serwera zasad sieciowych (NPS), zobacz Network Policy Server (NPS).