Planifier et implémenter le serveur NPS
Le serveur NPS effectue de façon centralisée les processus d’authentification, d’autorisation et de gestion des comptes pour les connexions sans fil, par des serveurs de passerelle Bureau à distance, par commutateur d’authentification, par VPN et par ligne commutée. Mais Contoso doit d’abord configurer les stratégies réseau utilisées par NPS pour autoriser les demandes de connexion. Ils peuvent également choisir de configurer la gestion des comptes RADIUS de sorte que NPS enregistre les informations de gestion des comptes dans des fichiers journaux sur le disque dur local ou dans une base de données Microsoft SQL Server.
Choisir une méthode d’authentification NPS
NPS authentifie et autorise une demande de connexion avant d’autoriser ou de refuser l’accès lorsque les utilisateurs tentent de se connecter à votre réseau via les serveurs NAS. Lorsque vous déployez NPS, vous pouvez spécifier le type de méthode d’authentification requis pour accéder à votre réseau.
Les méthodes d’authentification suivantes sont prises en charge par NPS :
- PAP
- Protocole SPAP (Shiva Password Authentication Protocol)
- CHAP
- MS-CHAP
- MS-CHAP v2
- EAP (Protocole d'authentification extensible)
Conseil / Astuce
Lorsque vous choisissez EAP comme méthode d’authentification, la négociation du type EAP intervient entre le client d’accès et le serveur NPS.
Avertissement
Vous ne devez pas utiliser PAP, SPAP, CHAP ou MS-CHAP dans un environnement de production, car ils sont considérés comme hautement non sécurisés.
Gestion des comptes NPS
Vous devez également réfléchir à la configuration de la journalisation pour NPS. Vous pouvez consigner les demandes d’authentification des utilisateurs et les demandes de gestion des comptes dans les fichiers journaux au format texte ou au format de base de données, ou vous pouvez vous connecter à une procédure stockée dans une base de données Microsoft SQL Server. Utilisez la journalisation des demandes principalement pour l’analyse de la connexion et la facturation, et en tant qu’outil d’investigation de sécurité, car elle vous permet d’identifier l’activité d’un hacker.
Configurer des stratégies sur NPS
NPS prend en charge les stratégies de demande de connexion et les stratégies réseau. Cela est décrit dans le tableau suivant.
| Type | Descriptif |
|---|---|
| Stratégies de demande de connexion | Les stratégies de demande de connexion vous permettent de déterminer si le serveur NPS local traite les demandes de connexion ou les transfère à un autre serveur RADIUS en vue de leur traitement. |
| Stratégie réseau | Les stratégies réseau vous permettent de désigner les utilisateurs que vous autorisez à se connecter à votre réseau et les circonstances dans lesquelles ils peuvent ou ne peuvent pas se connecter. |
Établir des stratégies réseau
Une stratégie réseau est un ensemble de conditions, de contraintes et de paramètres qui vous permettent de désigner les personnes autorisées à se connecter au réseau, ainsi que les circonstances dans lesquelles elles peuvent ou ne peuvent pas se connecter. Chaque stratégie réseau a quatre catégories de propriétés.
| Propriété | Descriptif |
|---|---|
| Aperçu | Les propriétés de vue d’ensemble vous permettent de spécifier si la stratégie est activée, si la stratégie accorde ou refuse l’accès et si les demandes de connexion nécessitent une méthode de connexion réseau spécifique ou un type de serveur d’accès réseau. Les propriétés de vue d’ensemble vous permettent également de spécifier si les propriétés de numérotation des comptes d’utilisateur doivent être ignorées dans AD DS. Si vous sélectionnez cette option, NPS utilise uniquement les paramètres de la stratégie réseau pour déterminer s’il faut autoriser la connexion. |
| Conditions | Ces propriétés vous permettent de spécifier les conditions que doit avoir la demande de connexion pour correspondre à la stratégie réseau. Si les conditions configurées dans la stratégie correspondent à la demande de connexion, le serveur NPS applique les paramètres de stratégie réseau à la connexion. Par exemple, si vous spécifiez l’adresse IPv4 du serveur d’accès au réseau (adresse IPv4 NAS) comme condition de la stratégie réseau et que NPS reçoit une demande de connexion à partir d’un NAS qui a l’adresse IP spécifiée, la condition dans la stratégie correspond à la demande de connexion. |
| Contraintes | Les contraintes sont des paramètres supplémentaires de la stratégie réseau qui sont requis pour correspondre à la demande de connexion. Si la demande de connexion ne correspond pas à une contrainte, le serveur NPS rejette automatiquement la demande. Contrairement à la réponse du serveur NPS aux conditions sans correspondance dans le réseau, si une contrainte ne correspond pas, NPS n’évalue pas les stratégies réseau supplémentaires et refuse la demande de connexion. |
| Paramètres | Les propriétés des paramètres vous permettent de spécifier les paramètres que le serveur NPS applique à la demande de connexion, à condition que toutes les conditions de stratégie réseau de la stratégie correspondent et que la demande soit acceptée. |
Important
Lorsque vous déployez le rôle NPS pour la première fois, les deux stratégies réseau par défaut refusent l’accès à distance à toutes les tentatives de connexion. Vous pouvez ensuite configurer des stratégies réseau supplémentaires pour gérer les tentatives de connexion.
Lorsque NPS autorise une demande de connexion, il compare la demande à chaque stratégie réseau de la liste triée des stratégies, en commençant par la première stratégie et en passant à l’élément suivant de la liste. Si le serveur NPS trouve une stratégie dans laquelle les conditions correspondent à la demande de connexion, le serveur NPS utilise la stratégie de correspondance et les propriétés de numérotation du compte d’utilisateur pour autoriser la demande. Si vous configurez les propriétés de numérotation du compte d’utilisateur pour accorder ou contrôler l’accès via la stratégie réseau et que la demande de connexion est autorisée, le serveur NPS applique les paramètres que vous configurez dans la stratégie réseau à la connexion :
- Si le serveur NPS ne trouve pas une stratégie réseau qui correspond à la demande de connexion, le serveur NPS rejette la connexion.
- Si les propriétés de numérotation du compte d’utilisateur sont définies pour refuser l’accès, le serveur NPS rejette la demande de connexion.
Cette exploration est récapitulée dans le tableau suivant.
