Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když nasadíte server NPS (Network Policy Server) jako server RADIUS (Remote Authentication Dial-In User Service), npS provádí ověřování, autorizaci a účtování žádostí o připojení pro místní doménu a pro domény, které důvěřují místní doméně. Pomocí těchto pokynů pro plánování můžete zjednodušit nasazení protokolu RADIUS.
Tyto pokyny pro plánování nezahrnují okolnosti, za kterých chcete nasadit NPS jako proxy server RADIUS. Když nasadíte server NPS jako proxy server RADIUS, server NPS předá požadavky na připojení k serveru se systémem NPS nebo jiným serverům RADIUS ve vzdálených doménách, nedůvěryhodných doménách nebo obojím.
Před nasazením serveru NPS jako serveru RADIUS v síti naplánujte nasazení pomocí následujících pokynů.
Plánování konfigurace serveru NPS
Plánování klientů RADIUS
Naplánujte použití metod ověřování.
Plánujte zásady sítě
Plánování účetnictví NPS
Plánování konfigurace NPS
Musíte se rozhodnout, ve které doméně je NPS členem. V prostředích s více doménami může NPS ověřovat přihlašovací údaje pro uživatelské účty v doméně, jejichž je členem, a pro všechny domény, které důvěřují místní doméně serveru NPS. Pokud chcete serveru NPS povolit čtení vlastností vytáčených účtů uživatelů během procesu autorizace, musíte přidat účet počítače serveru NPS do skupiny RAS a NPSs pro každou doménu.
Po určení členství v doméně serveru NPS musí být server nakonfigurovaný tak, aby komunikoval s klienty RADIUS, označovanými také jako servery pro přístup k síti, pomocí protokolu RADIUS. Kromě toho můžete nakonfigurovat typy událostí, které NPS zaznamenává v protokolu událostí, a můžete zadat popis serveru.
Klíčové kroky
Během plánování konfigurace serveru NPS můžete použít následující kroky.
Určete porty RADIUS, které server NPS používá k příjmu zpráv RADIUS z klientů RADIUS. Výchozími porty jsou porty UDP 1812 a 1645 pro zprávy ověřování RADIUS a porty 1813 a 1646 pro zprávy účtování RADIUS.
Pokud je server NPS nakonfigurovaný s více síťovými adaptéry, určete adaptéry, u kterých chcete povolit provoz PROTOKOLU RADIUS.
Určete typy událostí, které má NPS zaznamenávat v protokolu událostí. Můžete protokolovat odmítnuté žádosti o ověření, úspěšné žádosti o ověření nebo oba typy požadavků.
Určete, jestli nasazujete více než jeden NPS. Pokud chcete zajistit odolnost proti chybám pro ověřování a účtování na základě protokolu RADIUS, použijte aspoň dvě nps. Jeden server NPS se používá jako primární server RADIUS a druhý se používá jako záloha. Každý klient RADIUS se pak nakonfiguruje na obou serverech NPS. Pokud primární server NPS přestane být dostupný, klienti RADIUS pak odesílají Access-Request zprávy do alternativního serveru NPS.
Naplánujte skript použitý ke zkopírování jedné konfigurace serveru NPS do jiných serverů NPS, abyste ušetřili režijní náklady na správu a zabránili nesprávné konfiguraci serveru. NPS poskytuje příkazy
Netsh, které umožňují zkopírovat konfiguraci SERVERU NPS nebo její část pro import do jiného serveru NPS. Příkazy můžete spustit ručně na příkazovém řádkuNetsh. Pokud ale pořadí příkazů uložíte jako skript, můžete skript spustit později, pokud se rozhodnete změnit konfigurace serveru.
Plánování klientů RADIUS
Klienti RADIUS jsou servery síťového přístupu, jako jsou bezdrátové přístupové body, servery virtuální privátní sítě (VPN), přepínače s podporou 802.1X a servery pro vytáčené připojení. Proxy servery RADIUS, které přesměrovávají zprávy požadavků na připojení serverům RADIUS, jsou také klienty RADIUS. NPS podporuje všechny servery síťového přístupu a proxy servery RADIUS, které splňují protokol RADIUS, jak je popsáno v dokumentech RFC 2865, "Vzdálené ověřování vytáčené služby uživatele (RADIUS)," a RFC 2866, "Účetnictví RADIUS."
Important
Klienti s přístupem, jako jsou klientské počítače, nejsou klienty RADIUS. Klienti RADIUS jsou pouze servery síťového přístupu a proxy servery, které podporují protokol RADIUS.
Kromě toho musí být bezdrátové přístupové body i přepínače schopné ověřování 802.1X. Pokud chcete nasadit protokol EAP (Extensible Authentication Protocol) nebo protokol PEAP (Protected Extensible Authentication Protocol), musí přístupové body a přepínače podporovat použití protokolu EAP.
Pokud chcete otestovat základní interoperabilitu připojení PPP pro bezdrátové přístupové body, nakonfigurujte přístupový bod a přístupového klienta tak, aby používal protokol PAP (Password Authentication Protocol). Používejte další ověřovací protokoly založené na PPP, jako je PEAP, dokud netestujete ty, které chcete použít pro přístup k síti.
Klíčové kroky
Při plánování klientů RADIUS můžete použít následující kroky.
Zdokumentujte atributy specifické pro dodavatele (VSA), které musíte nakonfigurovat v NPS. Pokud vaše servery pro přístup k síti vyžadují VSA, zaznamenávejte informace o VSA pro pozdější použití při konfiguraci zásad sítě v NPS.
Zdokumentujte IP adresy klientů RADIUS a serveru NPS, abyste zjednodušili konfiguraci všech zařízení. Když nasadíte klienty RADIUS, musíte je nakonfigurovat tak, aby používaly protokol RADIUS s IP adresou SERVERU NPS zadaná jako ověřovací server. Když nakonfigurujete server NPS pro komunikaci s klienty RADIUS, musíte do modulu snap-in NPS zadat IP adresy klienta RADIUS.
Vytvořte sdílené tajné kódy pro konfiguraci klientů RADIUS a v modulu snap-in NPS. Při konfiguraci klientů RADIUS v NPS musíte nakonfigurovat sdílený tajný klíč nebo heslo, které také zadáte do modulu snap-in NPS.
Plánování použití metod ověřování
NPS podporuje metody ověřování založené na heslech i na certifikátech. Ne všechny servery síťového přístupu ale podporují stejné metody ověřování. V některých případech můžete chtít nasadit jinou metodu ověřování na základě typu síťového přístupu.
Můžete například chtít nasadit bezdrátový přístup i přístup VPN pro vaši organizaci, ale pro každý typ přístupu použít jinou metodu ověřování: EAP-TLS pro připojení VPN kvůli silnému zabezpečení, které protokol EAP s protokolem Transport Layer Security (EAP-TLS) poskytuje, a PEAP-MS-CHAP v2 pro bezdrátová připojení 802.1X.
PEAP s Microsoft Challenge Handshake Authentication Protocol verze 2 (PEAP-MS-CHAP v2) poskytuje funkci s názvem rychlé opětovné připojení, která je navržená pro použití s přenosnými počítači a dalšími bezdrátovými zařízeními. Rychlé opětovné připojení umožňuje bezdrátovým klientům přecházet mezi bezdrátovými přístupovými body ve stejné síti, aniž by se přidružili k novému přístupovému bodu. To poskytuje uživatelům bezdrátové sítě lepší prostředí a umožňuje jim přecházet mezi přístupovými body, aniž by museli znovu zadávat svoje přihlašovací údaje. Z důvodu rychlého opětovného připojení a zabezpečení, které PEAP-MS-CHAP v2 poskytuje, je PEAP-MS-CHAP v2 logická volba jako metoda ověřování pro bezdrátová připojení.
Pro připojení VPN je EAP-TLS metoda ověřování založená na certifikátech, která poskytuje silné zabezpečení, které chrání síťový provoz, i když se přenáší přes internet z domova nebo mobilních počítačů na servery VPN vaší organizace.
Metody ověřování založené na certifikátech
Metody ověřování založené na certifikátech mají výhodu poskytování silného zabezpečení; a mají nevýhodu, že nasazení je obtížnější než metody ověřování založené na heslech.
PeAP –MS-CHAP v2 i EAP-TLS jsou metody ověřování založené na certifikátech, ale mezi nimi existuje mnoho rozdílů a způsobu jejich nasazení.
EAP-TLS
EAP-TLS používá certifikáty pro ověřování klientů i serverů a vyžaduje nasazení infrastruktury veřejných klíčů (PKI) ve vaší organizaci. Nasazení infrastruktury veřejných klíčů může být složité a vyžaduje fázi plánování, která je nezávislá na plánování použití serveru NPS jako serveru RADIUS.
Pomocí protokolu EAP-TLS npS zaregistruje certifikát serveru od certifikační autority (CA) a certifikát se uloží do místního počítače v úložišti certifikátů. Během procesu ověřování dojde k ověření serveru, když server NPS odešle certifikát serveru do přístupového klienta, aby prokázal jeho identitu přístupového klienta. Klient pro přístup zkoumá různé vlastnosti certifikátu a zjišťuje, jestli je certifikát platný a je vhodný pro použití při ověřování serveru. Pokud certifikát serveru splňuje minimální požadavky na certifikát serveru a je vystaven certifikační autoritou, která důvěřuje přístupovým klientům, server NPS je úspěšně ověřen klientem.
Podobně k ověření klienta dochází během procesu ověřování, když klient odešle jeho klientský certifikát serveru NPS, aby prokázal svou identitu serveru NPS. Server NPS prověří certifikát a pokud klientský certifikát splňuje minimální požadavky na klientský certifikát a vydá ho certifikační autorita, která serveru NPS důvěřuje, je klient pro přístup úspěšně ověřen serverem NPS.
I když je nutné, aby byl certifikát serveru uložený v úložišti certifikátů na serveru NPS, klientský nebo uživatelský certifikát může být uložený v úložišti certifikátů v klientovi nebo na čipové kartě.
Aby byl tento proces ověřování úspěšný, vyžaduje se, aby všechny počítače měly certifikát ca vaší organizace v úložišti certifikátů důvěryhodných kořenových certifikačních autorit pro místní počítač a aktuálního uživatele.
PEAP–MS-CHAP v2
PEAP-MS-CHAP v2 používá certifikát pro ověřování serveru a přihlašovací údaje založené na heslech pro ověřování uživatelů. Vzhledem k tomu, že se certifikáty používají jenom pro ověřování serveru, nemusíte nasazovat PKI, aby bylo možné použít protokol PEAP-MS-CHAP v2. Když nasadíte PROTOKOL PEAP–MS-CHAP v2, můžete získat certifikát serveru pro SERVER NPS jedním z následujících dvou způsobů:
Službu AD CS (Active Directory Certificate Services) můžete nainstalovat a potom automaticky zaregistrovat certifikáty do serveru NPS. Pokud použijete tuto metodu, musíte také zaregistrovat certifikát certifikační autority klientským počítačům, které se připojují k síti, aby důvěřovaly certifikátu vydanému serveru NPS.
Certifikát serveru si můžete koupit od veřejné certifikační autority, jako je VeriSign. Pokud používáte tuto metodu, ujistěte se, že jste vybrali certifikační autoritu, která je již důvěryhodná klientskými počítači. Chcete-li zjistit, zda klientské počítače důvěřují certifikační autoritě, otevřete na klientském počítači modul snap-in Konzola MMC (Certificates Microsoft Management Console) a potom zobrazte úložiště důvěryhodných kořenových certifikačních autorit pro místní počítač a aktuálního uživatele. Pokud v těchto úložištích certifikátů existuje certifikát od certifikační autority, klientský počítač důvěřuje certifikační autoritě a bude proto důvěřovat jakémukoli certifikátu vydanému certifikační autoritou.
Během procesu ověřování pomocí protokolu PEAP-MS-CHAP v2 dojde k ověření serveru, když server NPS odešle certifikát serveru do klientského počítače. Klient pro přístup zkoumá různé vlastnosti certifikátu a zjišťuje, jestli je certifikát platný a je vhodný pro použití při ověřování serveru. Pokud certifikát serveru splňuje minimální požadavky na certifikát serveru a je vystaven certifikační autoritou, která důvěřuje přístupovým klientům, server NPS je úspěšně ověřen klientem.
Ověření uživatele probíhá, když se uživatel pokouší připojit k síti zadáním přihlašovacích údajů založených na hesle a pokusí se přihlásit. NPS přijímá přihlašovací údaje a provádí ověřování a autorizaci. Pokud je uživatel úspěšně ověřen a autorizován a pokud klientský počítač úspěšně ověří NPS, žádost o připojení je schválena.
Klíčové kroky
Během plánování použití metod ověřování můžete použít následující kroky.
Identifikujte typy síťového přístupu, které chcete nabídnout, například bezdrátový přístup, VPN, přepínač podporující 802.1X a vytáčený přístup.
Určete metodu ověřování nebo metody, které chcete použít pro každý typ přístupu. Doporučuje se používat metody ověřování založené na certifikátech, které poskytují silné zabezpečení; Nasazení infrastruktury veřejných klíčů ale nemusí být praktické, takže jiné metody ověřování můžou poskytovat lepší rovnováhu mezi tím, co potřebujete pro vaši síť.
Pokud nasazujete protokol EAP-TLS, naplánujte nasazení infrastruktury veřejných klíčů. To zahrnuje plánování šablon certifikátů, které budete používat pro certifikáty serveru a certifikáty klientského počítače. Zahrnuje také určení způsobu registrace certifikátů pro členské počítače domény a počítače, které nejsou členy domény, a určení, jestli chcete používat čipové karty.
Pokud nasazujete protokol PEAP–MS-CHAP v2, určete, jestli chcete nainstalovat službu AD CS, která vydá certifikáty serveru serveru do serveru NPS, nebo jestli chcete zakoupit certifikáty serveru od veřejné certifikační autority, jako je VeriSign.
Plánujte zásady sítě
NpS používá zásady sítě k určení, jestli jsou žádosti o připojení přijaté z klientů RADIUS autorizované. NPS také používá vlastnosti pro připojení prostřednictvím vytáčení uživatelského účtu k posouzení autorizace.
Vzhledem k tomu, že zásady sítě se zpracovávají v pořadí, v jakém se zobrazují v modulu snap-in NPS, naplánujte nejprve umístit nejvíce omezující zásady do seznamu zásad. Pro každou žádost o připojení se NPS pokusí shodovat podmínky zásady s vlastnostmi žádosti o připojení. NPS kontroluje každou zásadu sítě postupně, dokud nenajde shodu. Pokud nenajde shodu, žádost o připojení se odmítne.
Klíčové kroky
Při plánování zásad sítě můžete použít následující kroky.
Určete upřednostňované pořadí zpracování NPS pro zásady sítě, od nejvíce omezující po nejméně omezující.
Určete stav politiky. Stav zásady může mít hodnotu povolenou nebo zakázanou. Pokud je zásada povolená, NPS tuto zásadu vyhodnotí při provádění autorizace. Pokud zásada není povolená, nevyhodnocuje se.
Určete typ zásady. Musíte určit, jestli je zásada navržená tak, aby udělovala přístup, když se podmínky zásady shodují s požadavkem na připojení, nebo jestli je zásada navržená tak, aby odepřela přístup, když se podmínky zásady shodují s požadavkem na připojení. Pokud například chcete explicitně odepřít bezdrátový přístup členům skupiny Windows, můžete vytvořit zásady sítě, které určují skupinu, metodu bezdrátového připojení a která má nastavení typu zásady Odepření přístupu.
Určete, zda chcete, aby NPS ignoroval vlastnosti příkazů ke zvládání připojení uživatelských účtů, které jsou členy skupiny, na které se zásada zakládá. Pokud tato možnost není povolena, vlastnosti pro vzdálený přístup uživatelských účtů mají přednost před nastaveními nakonfigurovanými v síťových zásadách. Pokud je například nakonfigurována zásada sítě, která uděluje uživateli přístup, ale vytáčecí vlastnosti jeho uživatelského účtu jsou nastaveny na odepření přístupu, je uživateli přístup odepřen. Pokud ale povolíte typ zásady nastavení Ignorovat vlastnosti připojení uživatelského účtu, stejnému uživateli se udělí přístup k síti.
Určete, jestli politika používá nastavení zdroje politiky. Toto nastavení umožňuje snadno zadat zdroj pro všechny žádosti o přístup. Možné zdroje jsou brána terminálové služby (brána TS), server vzdáleného přístupu (VPN nebo telefonické připojení), server DHCP, bezdrátový přístupový bod a server autority pro registraci stavu. Alternativně můžete zadat zdroj specifický pro dodavatele.
Určete podmínky, které se musí shodovat, aby se použily zásady sítě.
Určete nastavení, která se použijí, pokud se podmínky zásad sítě shodují s požadavkem na připojení.
Určete, jestli chcete použít, upravit nebo odstranit výchozí zásady sítě.
Plánování účtování NPS
NPS umožňuje protokolovat data účtů RADIUS, jako jsou ověřování uživatelů a žádosti o účetnictví, ve třech formátech: formát IAS, formát kompatibilní s databází a protokolování microsoft SQL Serveru.
Formát IAS a formát kompatibilní s databází vytvářejí soubory protokolu na místním serveru NPS ve formátu textového souboru.
Protokolování SQL Serveru umožňuje protokolovat do databáze kompatibilní s XML systému SQL Server 2000 nebo SQL Server 2005, čímž rozšiřuje účtování RADIUS a využívá výhody protokolování do relační databáze.
Klíčové kroky
Během plánování účtování nps můžete použít následující kroky.
- Určete, jestli chcete ukládat data účtů NPS v souborech protokolů nebo v databázi SQL Serveru.
Účtování NPS pomocí místních souborů protokolu
Zaznamenávání požadavků na ověřování uživatelů a účtování v souborech protokolů se používá hlavně pro účely analýzy připojení a fakturace a je také užitečný jako nástroj pro šetření zabezpečení, který poskytuje metodu sledování aktivity škodlivého uživatele po útoku.
Klíčové kroky
Při plánování účtování serveru NPS pomocí místních souborů protokolů můžete použít následující kroky.
Určete formát textového souboru, který chcete použít pro soubory protokolu NPS.
Zvolte typ informací, které chcete protokolovat. Můžete zaznamenávat žádosti o účetnictví, žádosti o ověření a periodický stav.
Určete umístění pevného disku, kam chcete ukládat soubory protokolu.
Navrhněte řešení zálohování souborů protokolu. Umístění pevného disku, kam ukládáte soubory protokolu, by mělo být umístění, které umožňuje snadno zálohovat data. Umístění pevného disku by navíc mělo být chráněno konfigurací seznamu řízení přístupu (ACL) pro složku, ve které jsou uloženy soubory protokolu.
Určete frekvenci, s jakou chcete vytvořit nové soubory protokolu. Pokud chcete, aby se soubory protokolu vytvořily na základě velikosti souboru, určete maximální povolenou velikost souboru před vytvořením nového souboru protokolu serverem NPS.
Určete, jestli chcete, aby NPS odstranil starší soubory protokolu, pokud na pevném disku dojde místo v úložišti.
Určete aplikaci nebo aplikace, které chcete použít k zobrazení účetních dat a vytváření sestav.
Protokolování SQL SERVERU NPS
Protokolování NPS SQL Server se používá, když potřebujete informace o stavu relace, pro účely vytváření sestav a analýzy dat, a k centralizaci a zjednodušení správy vašich účtovacích dat.
NPS umožňuje používat protokolování SQL Serveru k zaznamenání požadavků na ověřování a účtování uživatelů přijatých z jednoho nebo více serverů síťového přístupu ke zdroji dat na počítači se systémem Microsoft SQL Server Desktop Engine (MSDE 2000) nebo jakékoli verze SQL Serveru novější než SQL Server 2000.
Účetní data se předávají z NPS ve formátu XML do uložené procedury v databázi, která podporuje jazyk SQL (Structured Query Language) i XML (SQLXML). Záznam požadavků na ověřování uživatelů a účtování v databázi SQL Serveru kompatibilní s XML umožňuje více serverů NPS mít jeden zdroj dat.
Klíčové kroky
Během plánování účtování serveru NPS pomocí protokolování serveru NPS SQL Server můžete použít následující kroky.
Zjistěte, jestli máte vy nebo jiný člen vaší organizace prostředí pro vývoj relačních databází SQL Server 2000 nebo SQL Server 2005 a víte, jak tyto produkty používat k vytváření, úpravám, správě a správě databází SQL Serveru.
Určete, zda je SQL Server nainstalován na serveru NPS nebo na vzdáleném počítači.
Navrhněte uloženou proceduru, kterou použijete v databázi SQL Serveru ke zpracování příchozích souborů XML obsahujících účetní data SERVERU NPS.
Navrhujte strukturu a tok replikace databáze SQL Serveru.
Určete aplikaci nebo aplikace, které chcete použít k zobrazení účetních dat a vytváření sestav.
Naplánujte použití serverů síťového přístupu, které odesílají atribut Třídy ve všech žádostech o účetnictví. Atribut Class se odešle klientovi RADIUS ve zprávě Access-Accept a je užitečný pro korelaci zpráv Accounting-Request s ověřovacími relacemi. Pokud je atribut Třída odeslán serverem pro přístup k síti ve zprávách žádosti o účtování, lze jej použít ke shodě účetních a ověřovacích záznamů. Kombinace atributů Unique-Serial-Number, Service-Reboot-Time a Server-Address musí být jedinečnou identifikací pro každé ověřování, které server přijímá.
Naplánujte použití serverů pro přístup k síti, které podporují průběžné účtování.
Naplánujte použití síťových přístupových serverů, které odesílají zprávy o zapnutí a vypnutí účtování.
Naplánujte použití serverů pro přístup k síti, které podporují ukládání a předávání účetních dat. Servery síťového přístupu, které tuto funkci podporují, můžou ukládat účetní data, když server síťového přístupu nemůže komunikovat se serverem NPS. Pokud je server NPS dostupný, server síťového přístupu předává uložené záznamy serveru NPS a poskytuje vyšší spolehlivost při účtování účtů přes servery síťového přístupu, které tuto funkci neposkytují.
Naplánujte vždy konfiguraci atributu Acct-Interim-Interval v zásadách sítě. Atribut Acct-Interim-Interval nastaví interval (v sekundách) mezi každou dočasnou aktualizací, kterou server síťového přístupu odesílá. Podle dokumentu RFC 2869 nesmí být hodnota atributu Acct-Interim-Interval menší než 60 sekund (1 minuta) a neměla by být menší než 600 sekund (10 minut), což znamená, že hodnoty větší než 600 sekund snižují frekvenci aktualizací přijatých serverem RADIUS. Další informace viz RFC 2869.
Ujistěte se, že je na serveru NPS povolené protokolování pravidelného stavu.