RADIUS-Authentifizierung, Autorisierung und Abrechnung
Hinweis
Der Internetauthentifizierungsdienst (IAS) wurde ab Windows Server 2008 in Network Policy Server (NPS) umbenannt. Der Inhalt dieses Themas gilt sowohl für IAS als auch für NPS. Im gesamten Text wird NPS verwendet, um auf alle Versionen des Diensts zu verweisen, einschließlich der ursprünglich als IAS bezeichneten Versionen.
NPS unterstützt vollständig das RADIUS-Protokoll (Remote Authentication Dial-In User Service). Das RADIUS-Protokoll ist der De-facto-Standard für die Remotebenutzerauthentifizierung und ist in RFC 2865 und RFC 2866 dokumentiert.
RADIUS-Authentifizierung und -Autorisierung
Das folgende Diagramm zeigt einen authentifizierenden Client ("Benutzer"), der eine Verbindung mit einem Netzwerkzugriffsserver (NETWORK Access Server, NAS) über eine DFÜ-Verbindung mithilfe des Point-to-Point-Protokolls (PPP) herstellt. Um den Benutzer zu authentifizieren, kontaktiert das NAS einen Remoteserver, auf dem NPS ausgeführt wird. Das NAS und der NPS-Server kommunizieren über das RADIUS-Protokoll.
Ein NAS fungiert als Client eines Servers oder servers, die das RADIUS-Protokoll unterstützen. Server, die das RADIUS-Protokoll unterstützen, werden im Allgemeinen als RADIUS-Server bezeichnet. Der RADIUS-Client, d. h. das NAS, übergibt Informationen zum Benutzer an die angegebenen RADIUS-Server und handelt dann auf die Antwort, die die Server zurückgeben. Die Anforderung, die vom NAS an den RADIUS-Server zur Authentifizierung des Benutzers gesendet wird, wird im Allgemeinen als "Authentifizierungsanforderung" bezeichnet.
Wenn ein RADIUS-Server den Benutzer erfolgreich authentifiziert, gibt der RADIUS-Server Konfigurationsinformationen an das NAS zurück, damit er dem Benutzer den Netzwerkdienst bereitstellen kann. Diese Konfigurationsinformationen bestehen aus "Autorisierungen" und enthalten unter anderem den Typ des Diensts, den NAS dem Benutzer bereitstellen kann (z. B. PPP oder Telnet).
Während der RADIUS-Server die Authentifizierungsanforderung verarbeitet, kann er Autorisierungsfunktionen ausführen, z. B. die Überprüfung der Telefonnummer des Benutzers und die Überprüfung, ob der Benutzer bereits eine Sitzung ausgeführt hat. Der RADIUS-Server kann ermitteln, ob der Benutzer bereits eine Sitzung ausgeführt hat, indem er einen Zustandsserver kontaktiert.
Weitere Informationen zur RADIUS-Authentifizierung und -Autorisierung finden Sie unter RFC 2865.
RADIUS-Abrechnung
Der RADIUS-Server sammelt auch eine Vielzahl von Informationen, die vom NAS gesendet werden und für die Abrechnung und für die Berichterstellung über Netzwerkaktivitäten verwendet werden können. Der RADIUS-Client sendet Informationen an bestimmte RADIUS-Server, wenn sich der Benutzer anmeldet und sich abmeldet. Der RADIUS-Client kann regelmäßig zusätzliche Nutzungsinformationen senden, während die Sitzung ausgeführt wird. Die Anforderungen, die vom Client an den Server gesendet werden, um Anmelde-/Abmeldeinformationen und Nutzungsinformationen aufzuzeichnen, werden im Allgemeinen als "Buchhaltungsanforderungen" bezeichnet.
Weitere Informationen zur RADIUS-Abrechnung finden Sie unter RFC 2866.
RADIUS-Proxy
Ein RADIUS-Server kann als Proxyclient für andere RADIUS-Server fungieren. In diesen Fällen übergibt der VOM NAS kontaktierte RADIUS-Server die Authentifizierungs- oder Abrechnungsanforderung an einen anderen RADIUS-Server, der die Authentifizierung oder die Buchhaltungsaufgabe tatsächlich ausführt.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für