RADIUS-Clients

Artikel
03/09/2023

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das in einem bestimmten Umfang Zugriff auf ein größeres Netzwerk bietet. Ein NAS, der eine RADIUS-Infrastruktur verwendet, ist auch ein RADIUS-Client, der Verbindungsanforderungen und Ressourcenerfassungsnachrichten an einen RADIUS-Server zur Authentifizierung, Autorisierung und Ressourcenerfassung sendet.

Hinweis

Clientcomputer, z. B. drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Funkzugriffspunkte, 802.1X-Authentifizierungsswitches, VPN-Server (Virtual Private Network) und Einwählserver –, da sie für die Kommunikation mit RADIUS-Servern wie z. B. Netzwerkrichtlinienservern das RADIUS-Protokoll verwenden.

Um einen Netzwerkrichtlinienserver als RADIUS-Server oder RADIUS-Proxy bereitzustellen, müssen Sie RADIUS-Clients im Netzwerkrichtlinienserver konfigurieren.

Beispiele für RADIUS-Clients

Beispiele für Netzwerkzugriffsserver:

Netzwerkzugriffsserver, die Konnektivität für den Remotezugriff auf ein Organisationsnetzwerk oder das Internet bereitstellen. Ein Beispiel hierfür wäre ein Computer, auf dem das Windows Server 2016-Betriebssystem und der Remotezugriffsdienst ausgeführt wird und der entweder herkömmliche Einwahldienste oder VPN-Remotezugriffsdienste für ein Organisationsintranet bereitstellt.
Funkzugriffspunkte, die mittels funkbasierter Übertragungs- und Empfangstechnologien physischen Zugriff auf ein Organisationsnetzwerk bieten.
Switches, die über herkömmliche LAN-Technologien wie z. B. Ethernet physischen Zugriff ein Organisationsnetzwerk bieten.
RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten und zu einer RADIUS-Remoteservergruppe gehören, die auf dem RADIUS-Proxy konfiguriert ist.

RADIUS-Access-Request-Nachrichten

Entweder erstellen RADIUS-Clients RADIUS-Access-Request-Nachrichten und leiten diese an einen RADIUS-Proxy oder RADIUS-Server weiter, oder sie leiten Access-Request-Nachrichten an einen RADIUS-Server weiter, die sie nicht selbst erstellt, sondern von einem anderen RADIUS-Client empfangen haben.

RADIUS-Clients verarbeiten keine Access-Request-Nachrichten per Authentifizierung, Autorisierung und Ressourcenerfassung. Diese Funktionen werden nur von RADIUS-Servern ausgeführt.

Netzwerkrichtlinienserver können jedoch gleichzeitig sowohl als RADIUS-Proxy als auch als RADIUS-Server konfiguriert werden, sodass sie einige Access-Request-Nachrichten verarbeiten und andere Nachrichten weiterleiten.

Netzwerkrichtlinienserver als RADIUS-Client

Ein Netzwerkrichtlinienserver fungiert als RADIUS-Client, wenn er als RADIUS-Proxy konfiguriert ist, um Access-Request-Nachrichten zur Verarbeitung an andere RADIUS-Server weiterzuleiten. Wenn Sie einen Netzwerkrichtlinienserver als RADIUS-Proxy verwenden möchten, sind die folgenden allgemeinen Konfigurationsschritte erforderlich:

Netzwerkzugriffsserver, z. B. Funkzugriffspunkte oder VPN-Server, werden mit der IP-Adresse des NPS-Proxys als designierter RADIUS-Server oder Authentifizierungsserver konfiguriert. Auf diese Weise können die Netzwerkzugriffsserver, die Access-Request-Nachrichten basierend auf von Zugriffsclients empfangenen Informationen erstellen, Nachrichten an den NPS-Proxy weiterleiten.
Zur Konfiguration des NPS-Proxys wird jeder Netzwerkzugriffsserver als RADIUS-Client hinzugefügt. Dieser Konfigurationsschritt ermöglicht es dem NPS-Proxy, während des gesamten Authentifizierungsprozesses Nachrichten von den Netzwerkzugriffsservern zu empfangen und mit ihnen zu kommunizieren. Darüber hinaus sind Verbindungsanforderungsrichtlinien im NPS-Proxy konfiguriert, die angeben, welche Access-Request-Nachrichten an einen oder mehrere RADIUS-Server weitergeleitet werden sollen. Diese Richtlinien sind auch mit einer RADIUS-Remoteservergruppe konfiguriert, um dem Netzwerkrichtlinienserver mitzuteilen, wohin die von den Netzwerkzugriffsservern empfangenen Nachrichten gesendet werden sollen.
Der Netzwerkrichtlinienserver oder andere RADIUS-Server, die Mitglieder der RADIUS-Remoteservergruppe im NPS-Proxy sind, werden so konfiguriert, dass Nachrichten vom NPS-Proxy empfangen werden. Dafür wird der NPS-Proxy als RADIUS-Client konfiguriert.

Eigenschaften von RADIUS-Clients

Wenn Sie der NPS-Konfiguration über die NPS-Konsole oder mit netsh-Befehlen für NPS bzw. mit Windows PowerShell-Befehlen einen RADIUS-Client hinzufügen, konfigurieren Sie den Netzwerkrichtlinienserver zum Empfangen von RADIUS-Access-Request-Nachrichten von einem Netzwerkzugriffsserver oder einem RADIUS-Proxy.

Beim Konfigurieren eines RADIUS-Clients in NPS können Sie die folgenden Eigenschaften festlegen:

Clientname

Einen Anzeigenamen für den RADIUS-Client, mit dem sich der Client bei Verwendung des NPS-Snap-Ins oder der netsh-Befehle für NPS leichter identifizieren lässt.

IP-Adresse

Die IPv4-Adresse oder der DNS-Name des RADIUS-Clients.

Client-Vendor

Der Anbieter des RADIUS-Clients. Wenn dieser nicht vorhanden ist, können Sie den RADIUS-Standardwert für „Client-Vendor“ verwenden.

Gemeinsamer geheimer Schlüssel

Eine Textzeichenfolge, die als Kennwort zwischen RADIUS-Clients, RADIUS-Servern und RADIUS-Proxys verwendet wird. Wenn das Attribut „Message Authenticator“ verwendet wird, wird der gemeinsame geheime Schlüssel auch als Schlüssel zum Verschlüsseln von RADIUS-Nachrichten verwendet. Diese Zeichenfolge muss auf dem RADIUS-Client und im NPS-Snap-In konfiguriert werden.

Attribut „Message Authenticator“

Ein MD5-Hash (Message Digest 5) der gesamten RADIUS-Nachricht, wie in RFC 2869, „RADIUS Extensions“, beschrieben. Wenn das RADIUS-Attribut „Message-Authenticator“ vorhanden ist, wird es überprüft. Wenn die Überprüfung nicht erfolgreich ist, wird die RADIUS-Nachricht verworfen. Wenn die Clienteinstellungen das Attribut „Message Authenticator“, dieses aber nicht vorhanden ist, wird die RADIUS-Nachricht verworfen. Die Verwendung des Attributs „Message Authenticator“ wird empfohlen.