連線請求策略
連線請求策略您可以使用本主題來了解如何使用 NPS 連線請求原則將 NPS 設置為 RADIUS 伺服器、RADIUS 代理程式或兩者。
連接請求策略是一組條件和設置,允許網路管理員指定哪些遠端身份驗證撥入使用者服務(RADIUS) 伺服器對執行網路策略伺服器(NPS) 的伺服器從RADIUS 使用者端接收到的連接請求執行身份驗證和授權。 可以設置連線請求原則來指定使用哪些 RADIUS 伺服器進行 RADIUS 計算。
您可以建立連線請求策略,以便從 RADIUS 使用者端傳送的某些 RADIUS 請求訊息在本機處理(NPS 作為 RADIUS 伺服器),而其他類型的訊息則轉送至另一個 RADIUS 伺服器(NPS 作為 RADIUS 代理程式)。
透過連線請求策略,您可以依據下列因素使用 NPS 作為 RADIUS 伺服器或 RADIUS 代理程式:
- 一天中的時間和一週中的某一天
- 連接請求中的網域名
- 請求的連線類型
- RADIUS 使用者端的 IP 位址
只有當傳入訊息的設置至少與 NPS 上設置的連線請求策略之一相符時,NPS 才會處理或轉送 RADIUS 存取請求訊息。
如果政策設置相符且政策要求 NPS 處理訊息,則 NPS 充當 RADIUS 伺服器,對連線要求進行驗證和授權。 如果政策設置相符且政策要求 NPS 轉送訊息,則 NPS 會充當 RADIUS 代理並將連線要求轉送至遠端 RADIUS 伺服器進行處理。+
如果傳入 RADIUS 存取請求訊息的設置與至少一項連線要求政策不匹配,則會向 RADIUS 使用者端發送存取拒絕訊息,並且嘗試連線到網路的使用者或電腦將被拒絕存取。
設定範例
以下設置範例示範如何使用連線請求策略。
做為 RADIUS 伺服器的 NPS
預設連線請求策略是唯一設置的策略。 在此範例中,NPS 設置為 RADIUS 伺服器,所有連線請求均由本機 NPS 處理。 NPS可以對NPS網域內和受信任網域內的使用者進行身份驗證和授權。
做為 RADIUS Proxy 的 NPS
刪除預設的連線請求策略,並建立兩個新的連線請求策略,將請求轉送到兩個不同的網域。 在此範例中,NPS 設置為 RADIUS 代理程式。 NPS 不會處理本機伺服器上的任何連線請求。 相反,它會將連線請求轉送到 NPS 或設置為遠端 RADIUS 伺服器群組成員的其他 RADIUS 伺服器。
NPS 作為 RADIUS 伺服器和 RADIUS 代理
除了預設連線請求策略之外,還會建立一個新的連線請求策略,用於將連線請求轉送至不受信任網域中的 NPS 或其他 RADIUS 伺服器。 在此範例中,代理策略首先出現在策略的有序列表中。 如果連線請求符合代理策略,則將連線請求轉送至遠端RADIUS伺服器群組中的RADIUS伺服器。 如果連線請求與代理策略不匹配,但與預設連線請求策略匹配,NPS 將在本機伺服器上處理該連線請求。 如果連線請求與任一策略都不匹配,則該連線請求將被丟棄。
NPS 作為遠端計算伺服器的 RADIUS 伺服器
在此範例中,本機 NPS 未設置為執行計算,並且修改了預設連線要求策略,以便將 RADIUS 計算訊息轉送至 NPS 或遠端 RADIUS 伺服器群組中的其他 RADIUS 伺服器。 儘管會轉送計算訊息,但不會轉送驗證和授權訊息,且本機 NPS 會為本機網域和所有受信任的網域執行這些功能。
具有遠端 RADIUS 到 Windows 使用者映射的 NPS
在此範例中,NPS 既充當 RADIUS 伺服器又充當每個獨立連接請求的 RADIUS 代理,方法是將身份驗證請求轉送至遠端 RADIUS 伺服器,同時使用本機 Windows 使用者帳戶進行授權。 此設置是透過將遠端 RADIUS 到 Windows 使用者映射屬性設置為連接請求策略的條件來實現的。 (此外,必須在本機上建立一個與遠端 RADIUS 伺服器執行身份驗證的遠端使用者帳戶同名的使用者帳戶。)
連線請求策略條件
連線請求原則條件是與傳入 RADIUS 存取請求訊息的屬性進行比較的一個或多個 RADIUS 屬性。 如果存在多個條件,則連線請求訊息和連線請求策略中的所有條件都必須匹配,以便 NPS 強制執行該原則。
以下是您可以在連線請求策略中設置的可用條件屬性。
連接屬性屬性組
連線屬性屬性組包含下列屬性。
- 框架協議。 用於指定傳入資料包的訊框類型。 例如點對點協定 (PPP)、串列線路網際網路協定 (SLIP)、幀中繼和 X.25。
- 服務類型。 用於指定所要求的服務類型。 範例包括成幀(例如 PPP 連線)和登入(例如 Telnet 連線)。 有關 RADIUS 服務類型的詳細資訊,請參閱 RFC 2865「遠端身分驗證撥入使用者服務 (RADIUS)」。
- 通道類型。 用於指定請求使用者端建立的通道類型。 通道類型包括點對點通道協定(PPTP)和第二層通道協定(L2TP)。
日期和時間限制屬性組
日期和時間限制屬性組包含日期和時間限制屬性。 使用此屬性,您可以指定嘗試連線的星期幾和一天中的時間。 日期和時間與 NPS 的日期和時間有關。
網關屬性群組
網關屬性組包含下列屬性。
- 被呼叫站 ID。 用於指定網路存取伺服器的電話號碼。 該屬性是一個字串。 您可以使用模式比對語法來指定區號。
- NAS 標識符。 用於指定網路存取伺服器的名稱。 該屬性是一個字串。 您可以使用模式比對語法來指定 NAS 辨別碼。
- NAS IPv4 位址。 用於指定網路存取伺服器(RADIUS 使用者端)的 Internet 協定版本 4 (IPv4) 位址。 該屬性是一個字串。 您可以使用模式比對語法來指定 IP 網路。
- NAS IPv6 位址。 用於指定網路存取伺服器(RADIUS 使用者端)的 Internet 協定版本 6 (IPv6) 位址。 該屬性是一個字串。 您可以使用模式比對語法來指定 IP 網路。
- NAS 連接埠類型。 用於指定存取使用者端使用的媒體類型。 例如類比電話線(稱為非同步)、Integrated Services Digital Network (ISDN)、通道或虛擬專用網路 (VPN)、IEEE 802.11 無線和乙太網路交換器。
機器標識屬性組
機器標識屬性組包含機器標識屬性。 透過使用此屬性,您可以指定在策略中標識客戶端的方法。
RADIUS 使用者端屬性屬性組
RADIUS 使用者端屬性屬性組包含下列屬性。
- 呼叫站 ID。 用於指定呼叫者(接取使用者端)所使用的電話號碼。 該屬性是一個字串。 您可以使用模式比對語法來指定區號。 在 802.1x 驗證中,通常會填入 MAC 位址,並且可以從使用者端進行比對。 當連線請求策略設置為「接受使用者而不驗證憑證」時,此欄位通常用於 Mac 位址繞過方案。
- 客戶端友善名稱。 用於指定請求身份驗證的 RADIUS 使用者端電腦的名稱。 該屬性是一個字串。 您可以使用模式比對語法來指定客戶端名稱。
- 客戶端 IPv4 位址。 用於指定網路存取伺服器(RADIUS 使用者端)的 IPv4 位址。 該屬性是一個字串。 您可以使用模式比對語法來指定 IP 網路。
- 客戶端 IPv6 位址。 用於指定網路存取伺服器(RADIUS 使用者端)的 IPv6 位址。 該屬性是一個字串。 您可以使用模式比對語法來指定 IP 網路。
- 客戶供應商。 用於指定請求身份驗證的網路存取伺服器的供應商。 執行路由和遠端存取服務的電腦是 Microsoft NAS 製造商。 您可以使用此屬性為不同的 NAS 製造商設置獨立的策略。 該屬性是一個字串。 該屬性是一個字串。
使用者名稱屬性群組
使用者名稱屬性群組包含使用者名稱屬性。 透過使用此屬性,您可以指定使用者名稱或使用者名稱的一部分,該使用者名稱必須與存取使用者端在 RADIUS 訊息中提供的使用者名稱相符。 該屬性是一個字串,通常包含網域名稱和使用者帳戶名稱。 您可以使用模式匹配語法來指定使用者名稱。
連線請求策略設置
連線請求原則設置是一組套用於傳入 RADIUS 訊息的屬性。 設置由以下屬性組組成。
- 驗證
- 會計
- 屬性操作
- 轉送請求
- 進階
以下部分提供了有關這些設置的更多詳細資訊。
驗證
透過使用此設置,您可以覆寫所有網路原則中設置的身份驗證設置,並且可以指定連接到網路所需的身份驗證方法和類型。
重要
如果您在連線要求原則中設置的驗證方法的安全性低於您在網路原則中設置的驗證方法,則您在網路原則中設置的更安全的驗證方法將會被覆寫。 例如,如果您有一個網路原則需要使用受保護的可擴展身份驗證協定- Microsoft 質詢握手身份驗證協定版本2 (PEAP-MS-CHAP v2),這是一種基於密碼的安全無線身份驗證方法,並且您還設置連接請求策略以允許未經身份驗證的造訪,結果是使用者端不需要使用 PEAP-MS-CHAP v2 進行身份驗證。 在此範例中,所有連接到您的網路的使用者端都被授予未經身份驗證的存取權限。
會計
透過使用此設置,可以設置連接請求原則以將計算資訊轉送至 NPS 或遠端 RADIUS 伺服器群組中的其他 RADIUS 伺服器,以便遠端 RADIUS 伺服器群組執行計算。
注意
如果您有多個RADIUS 伺服器,並且希望將所有伺服器的計算資訊儲存在一個中央RADIUS 計算資料庫中,則可以使用每台RADIUS 伺服器上的策略中的連線請求策略計算設置,將計算數據從所有伺服器轉送到一個NPS或指定為計費伺服器的其他 RADIUS 伺服器。
連線請求原則計算設置功能獨立於本機 NPS 的計算設置。 換句話說,如果您將本機NPS 設置為將RADIUS 計算資訊記錄到本機檔案或Microsoft SQL Server 資料庫,則無論您是否設置連線要求原則以將計算訊息轉送至遠端RADIUS 伺服器群組,它都會執行此操作。
如果希望遠端記錄計算資訊而不是在本機記錄計算訊息,則必須將本機 NPS 設置為不執行計算,同時也在連線要求原則中設置計算以將計算資料轉送至遠端 RADIUS 伺服器群組。
屬性操作
您可以設置一組尋找和取代規則來操作下列屬性之一的文字字串。
- 使用者名稱
- 被呼叫站 ID
- 呼叫站 ID
在 RADIUS 訊息接受身份驗證和計算設置之前,會對上述屬性之一進行尋找和取代規則處理。 屬性操作規則僅適用於單一屬性。 您無法為每個屬性設置屬性操作規則。 此外,您可以操作的屬性清單是靜態清單; 您無法新增到可操作的屬性清單中。
注意
如果您使用 MS-CHAP v2 驗證協議,並且使用連線請求原則轉送 RADIUS 訊息,則無法操作使用者名稱屬性。 唯一的例外是使用反斜線 () 字符,並且操作僅影響其左側的資訊。 反斜線字元通常用於指示網域名稱(反斜線字元左側的資訊)和網域內的使用者帳號名稱(反斜線字元右側的資訊)。 在這種情況下,僅允許修改或替換網域名稱的屬性操作規則。
有關如何操作使用者名稱屬性中的領網域名稱的範例,請參閱主題在 NPS 中使用正規代表式中的操作使用者名稱屬性中的領網域名稱的範例部分。
轉送請求
您可以設置以下用於 RADIUS 存取請求訊息的轉送請求選項:
驗證此伺服器上的請求。 透過使用此設置,NPS 使用 Windows NT 4.0 網域、Active Directory 或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫來驗證連線要求。 此設置還指定 NPS 使用 NPS 中設置的符合網路原則以及使用者帳戶的撥入屬性來授權連線請求。 在這種情況下,NPS 設置為充當 RADIUS 伺服器。
將請求轉送至下列遠端 RADIUS 伺服器群組。 透過使用此設置,NPS 將連線請求轉送至您指定的遠端 RADIUS 伺服器群組。 如果 NPS 收到與存取要求訊息相對應的有效存取接受訊息,則連線嘗試被視為已透過身份驗證和授權。 在這種情況下,NPS 充當 RADIUS 代理。
接受使用者而不驗證憑證。 透過使用此設置,NPS 不會驗證嘗試連接到網路的使用者的身份,並且 NPS 不會嘗試驗證使用者或電腦是否有權連接到網路。 當 NPS 設置為允許未經身份驗證的存取且收到連線要求時,NPS 會立即向 RADIUS 使用者端發送存取接受訊息,並授予使用者或電腦網路存取權限。 此設置用於某些類型的強制通道,其中在對使用者憑證進行身份驗證之前對存取使用者端進行通道傳送。
注意
當存取使用者端的身份驗證協定為 MS-CHAP v2 或可擴展身份驗證協定-傳送層安全性 (EAP-TLS)(兩者都提供相互驗證)時,無法使用此驗證選項。 在相互身份驗證中,存取使用者端向身份驗證伺服器(NPS)證明它是有效的存取使用者端,並且身份驗證伺服器向存取使用者端證明它是有效的身份驗證伺服器。 當使用此身份驗證選項時,將傳回 Access-Accept 訊息。 然而,認證伺服器不向存取使用者端提供驗證,且相互認證失敗。
有關如何使用正規代表式建立將具有指定領網域名稱的RADIUS 訊息轉送到遠端RADIUS 伺服器群組的路由規則的範例,請參閱主題在NPS 中使用正規代表式中的代理伺服器轉送RADIUS 訊息的範例部分。
進階
您可以設置高級屬性來指定一系列 RADIUS 屬性:
- 當 NPS 作為 RADIUS 驗證或計費伺服器時,會新增至 RADIUS 回應訊息。 當網路原則和連線請求策略都指定了屬性時,RADIUS回應訊息中傳送的屬性是兩組屬性的組合。
- 當 NPS 作為 RADIUS 驗證或計算代理程式時,會新增至 RADIUS 訊息。 如果轉送的訊息中已存在該屬性,則將其替換為連線請求原則中指定的屬性值。
此外,可在進階類別中的連線請求原則設置標籤上進行設置的一些屬性提供了專門的功能。 例如,當您想要在兩個使用者帳戶資料庫之間分割連線請求的驗證和授權時,可以設置遠端 RADIUS 到 Windows 使用者對應屬性。
遠端 RADIUS 到 Windows 使用者對應屬性指定對透過遠端 RADIUS 伺服器進行驗證的使用者進行 Windows 授權。 換句話說,遠端 RADIUS 伺服器針對遠端使用者帳戶資料庫中的使用者帳戶執行身份驗證,但本機 NPS 針對本機使用者帳戶資料庫中的使用者帳戶授權連線請求。 當您希望允許訪客存取您的網路時,這非常有用。
例如,來自合作夥伴機構的訪客可以透過自己的合作夥伴機構 RADIUS 伺服器進行身份驗證,然後使用您機構中的 Windows 使用者帳戶存取您網路上的訪客區網域網路 (LAN)。
提供專門功能的其他屬性有:
- MS-Quarantine-IPFilter 和 MS-Quarantine-Session-Timeout。 當您透過路由和遠端存取 VPN 部署部署 Network Access Quarantine Control (NAQC) 時,將使用這些屬性。
- Passport-User-Mapping-UPN-Suffix。 此屬性可讓您使用 Windows Live™ ID 使用者帳戶憑證來驗證連線要求。
- 通道標籤。 此屬性指定部署虛擬區網域網路 (VLAN) 時 NAS 應將連線指派到的 VLAN ID 號碼。
預設連線請求策略
安裝 NPS 時會建立預設連線請求原則。 此策略具有以下設置。
- 未設置身份驗證。
- 計費未設置為將計費資訊轉送至遠端 RADIUS 伺服器群組。
- 屬性未設置將連線請求轉送至遠端 RADIUS 伺服器群組的屬性操作規則。
- 設置轉送請求,以便在本機 NPS 上對連線請求進行身份驗證和授權。
- 進階屬性未設置。
預設連線請求原則使用 NPS 作為 RADIUS 伺服器。 若要將執行 NPS 的伺服器設置為充當 RADIUS 代理,也必須設置遠端 RADIUS 伺服器群組。 您可以在使用 New Connection Request Policy Wizard 建立新的連線請求原則時建立新的遠端 RADIUS 伺服器群組。 您可以刪除預設連線請求策略,也可以透過將預設連線請求策略放在策略排序清單的最後來驗證它是否是 NPS 處理的最後一個策略。
注意
如果 NPS 和遠端存取服務安裝在同一台電腦上,且遠端存取服務設置為 Windows 驗證和計算,則遠端存取身分驗證和計算要求可以轉送至 RADIUS 伺服器。 當遠端存取驗證和計算請求與設置為將其轉送至遠端 RADIUS 伺服器群組的連線請求原則相符時,可能會發生這種情況。