Использование NPS для создания и применения политик доступа к сети

  • 10 мин

Чтобы упростить управление пользователями удаленного доступа, такие организации, как Contoso, развертывают и настраивают роль сервера NPS. NPS позволяет Contoso создавать и применять политики доступа всей организации для проверки подлинности и авторизации запросов на подключение. Они могут использовать NPS для реализации проверки подлинности, авторизации и учета сетевых ресурсов с использованием любой комбинации следующих функций:

  • сервер RADIUS;
  • RADIUS-прокси
  • Учет RADIUS

СЕРВЕР RADIUS

RADIUS — это стандартный отраслевый протокол проверки подлинности, который поставщики используют для поддержки обмена информацией о проверке подлинности между элементами решения удаленного доступа. NPS — это реализация сервера RADIUS майкрософт. NPS позволяет использовать разнородный набор беспроводных устройств, коммутаторов, оборудования для удаленного доступа или VPN. С помощью службы маршрутизации и удаленного доступа можно использовать NPS, которая доступна в операционной системе Windows Server. Кроме того, можно использовать NPS с ролью удаленного доступа в Windows Server.

NPS выполняет централизованную проверку подлинности подключения, авторизацию и учет для беспроводных сетей, серверов шлюза удаленных рабочих столов, коммутаторов, виртуальных частных сетей (VPN) и телефонных подключений. При использовании NPS в качестве сервера RADIUS настраиваются серверы сетевого доступа (NAS), такие как беспроводные точки доступа и VPN-серверы, которые также называются клиентами RADIUS в NPS.

Вы также настраиваете сетевые политики, которые NPS использует для авторизации запросов на подключение, и можете настроить RADIUS-учет таким образом, чтобы NPS записывал данные учета в журналы на локальном жестком диске или в базе данных Microsoft SQL Server.

Это важно

Вы не можете установить NPS на редакции Server Core Windows Server.

Если сервер NPS является членом домена доменных служб Active Directory (AD DS), NPS использует AD DS в качестве базы данных учетной записи пользователя и предоставляет возможность единого входа. Это означает, что тот же набор учетных данных пользователя обеспечивает управление доступом к сети, например аутентификация и авторизация доступа к сети, а также доступ к ресурсам в домене AD DS.

Организации, поддерживающие доступ к сети, такие как поставщики сетей, сталкиваются с проблемой управления различными методами сетевого доступа из одной точки администрирования независимо от типа используемого оборудования для доступа к сети. Стандарт RADIUS поддерживает это требование. RADIUS — это протокол клиента-сервера, который обеспечивает сетевой доступ к оборудованию, используемому в качестве клиентов RADIUS, для отправки запросов проверки подлинности и учета на сервер RADIUS.

Сервер RADIUS имеет доступ к сведениям учетной записи пользователя и может проверить учетные данные проверки подлинности сетевого доступа. Если учетные данные пользователя являются аутентичными и RADIUS авторизуют попытку подключения, сервер RADIUS затем авторизует доступ пользователя на основе настроенных условий и регистрирует подключение к сетевому доступу в журнале учета. Использование RADIUS позволяет собирать и поддерживать проверку подлинности пользователей доступа к сети, авторизацию и учетные данные в центральном расположении, а не на каждом сервере доступа.

Прокси-сервер RADIUS

При использовании NPS в качестве прокси-сервера RADIUS вы настраиваете политики запросов на подключение, указывающие, какие запросы на подключение серверы NPS перенаправятся на другие серверы RADIUS и на какие серверы RADIUS необходимо перенаправить запросы на подключение. Вы также можете настроить NPS для пересылки данных учета для ведения журнала одним или несколькими компьютерами в удаленной группе серверов RADIUS. С помощью NPS ваша организация также может аутсорсить инфраструктуру удаленного доступа внешнему поставщику услуг, сохраняя контроль над проверкой подлинности пользователей, авторизацией и учетными записями. Конфигурации NPS можно создать для следующих решений:

  • VPN-серверы.
  • Беспроводные точки доступа.
  • Серверы шлюза удаленных рабочих столов.
  • Аутсорсинговый VPN, телефонный или беспроводной доступ.
  • Доступ к Интернету.
  • Прошедший проверку подлинности доступ к ресурсам экстрасети для бизнес-партнеров.

Учет RADIUS

Вы можете настроить NPS для выполнения учета RADIUS для запросов проверки подлинности пользователей, Access-Accept сообщений, Access-Reject сообщений, запросов учета и ответов, а также периодических обновлений состояния. NPS позволяет выполнять вход в базу данных Microsoft SQL Server в дополнение к локальному файлу или вместо него.