RADIUS 身份验证、授权和记帐
注意
从 Windows Server 2008 开始, (IAS) 的 Internet 身份验证服务 (NPS) 重命名为网络策略服务器。 本主题的内容适用于 IAS 和 NPS。 在整个文本中,NPS 用于引用服务的所有版本,包括最初称为 IAS 的版本。
NPS 完全支持远程身份验证拨入用户服务 (RADIUS) 协议。 RADIUS 协议是远程用户身份验证的事实标准, RFC 2865 和 RFC 2866 中记录了该协议。
RADIUS 身份验证和授权
下图显示了使用点到点协议 (PPP) 通过拨号连接连接到网络访问服务器 (NAS) 的客户端 (“User ) ”进行身份验证。 为了对用户进行身份验证,NAS 会联系运行 NPS 的远程服务器。 NAS 和 NPS 服务器使用 RADIUS 协议进行通信。
NAS 作为一个或多个支持 RADIUS 协议的服务器客户端运行。 支持 RADIUS 协议的服务器通常称为 RADIUS 服务器。 RADIUS 客户端(即 NAS)将有关用户的信息传递给指定的 RADIUS 服务器,然后对服务器返回的响应执行操作。 NAS 发送到 RADIUS 服务器以对用户进行身份验证的请求通常称为“身份验证请求”。
如果 RADIUS 服务器成功对用户进行身份验证,RADIUS 服务器会将配置信息返回到 NAS,以便它可以向用户提供网络服务。 此配置信息由“授权”组成,并且包含 NAS 可能提供给用户 (的服务类型,例如 PPP 或 telnet) 。
当 RADIUS 服务器处理身份验证请求时,它可以执行授权功能,例如验证用户的电话号码和检查用户是否已有正在进行的会话。 RADIUS 服务器可以通过联系状态服务器来确定用户是否已具有正在进行的会话。
有关 RADIUS 身份验证和授权的详细信息,请参阅 RFC 2865。
RADIUS 记帐
RADIUS 服务器还收集 NAS 发送的各种信息,这些信息可用于记帐和报告网络活动。 当用户登录和注销时,RADIUS 客户端会将信息发送到指定的 RADIUS 服务器。 当会话正在进行时,RADIUS 客户端可能会定期发送其他使用情况信息。 客户端发送到服务器以记录登录/注销和使用信息的请求通常称为“记帐请求”。
有关 RADIUS 记帐的详细信息,请参阅 RFC 2866。
RADIUS 代理
RADIUS 服务器可以充当其他 RADIUS 服务器的代理客户端。 在这些情况下,NAS 联系的 RADIUS 服务器会将身份验证或记帐请求传递给实际执行身份验证或记帐任务的另一个 RADIUS 服务器。
相关主题