Planifier un serveur NPS en tant que proxy RADIUS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Lorsque vous déployez un serveur NPS (Network Policy Server) en tant que proxy RADIUS (Remote Authentication Dial-In User Service), NPS reçoit les demandes de connexion des clients RADIUS, tels que des serveurs d’accès réseau ou d’autres proxys RADIUS, puis transfère ces demandes de connexion aux serveurs NPS ou à d’autres serveurs RADIUS. Vous pouvez utiliser ces directives de planification pour simplifier votre déploiement RADIUS.

Ces directives de planification n’incluent pas les circonstances dans lesquelles vous souhaitez déployer NPS en tant que serveur RADIUS. Lorsque vous déployez NPS en tant que serveur RADIUS, NPS effectue l’authentification, l’autorisation et la gestion des comptes des demandes de connexion pour le domaine local et pour les domaines qui approuvent le domaine local.

Avant de déployer NPS en tant que proxy RADIUS sur votre réseau, suivez les directives suivantes pour planifier votre déploiement.

  • Planifiez la configuration NPS.

  • Planifiez les clients RADIUS.

  • Planifiez les groupes de serveurs RADIUS distants.

  • Planifiez les règles de manipulation des attributs pour le transfert de messages.

  • Planifiez les stratégies de requête de connexion.

  • Planifier la gestion des comptes du serveur NPS (Network Policy Server).

Planifiez la configuration du serveur NPS (Network Policy Server)

Lorsque vous utilisez NPS comme proxy RADIUS, NPS transfère les demandes de connexion à un serveur NPS ou à d’autres serveurs RADIUS pour traitement. Pour cette raison, l’appartenance au domaine du proxy NPS n’est pas pertinente. Le proxy n’a pas besoin d’être inscrit dans Active Directory Domain Services (AD DS), car il n’a pas besoin d’accéder aux propriétés de numérotation des comptes d’utilisateur. En outre, vous n’avez pas besoin de configurer des stratégies réseau sur un proxy NPS, car le proxy n’effectue pas d’autorisations pour les demandes de connexion. Le proxy NPS peut être un membre de domaine ou serveur autonome sans appartenance à un domaine.

NPS doit être configuré de manière à communiquer avec les clients RADIUS, également appelés serveurs d’accès réseau, à l’aide du protocole RADIUS. En outre, vous pouvez configurer les types d’événements enregistrés par NPS dans le journal des événements et entrer une description pour le serveur.

Étapes clés

Pendant la planification de la configuration du proxy NPS, vous pouvez effectuer les étapes suivantes.

  • Déterminez les ports RADIUS utilisés par le proxy NPS pour recevoir des messages RADIUS à partir de clients RADIUS et pour envoyer des messages RADIUS aux membres des groupes de serveurs RADIUS distants. Par défaut, les ports du protocole UDP sont 1812 et 1645 pour les messages d’authentification RADIUS et sont 1813 et 1646 pour les messages de gestion des comptes RADIUS.

  • Si le proxy NPS est configuré avec plusieurs cartes réseau, déterminez les cartes sur lesquelles vous souhaitez autoriser le trafic RADIUS.

  • Déterminez les types d’événements que vous souhaitez que NPS enregistre dans le journal des événements. Vous pouvez consigner les demandes de connexion rejetées, les demandes de connexion réussies ou les deux.

  • Déterminez si vous déployez plusieurs proxies NPS. Pour fournir une tolérance de panne, utilisez au moins deux proxies NPS. Un proxy NPS est utilisé comme proxy RADIUS principal et l’autre est utilisé comme sauvegarde. Chaque client RADIUS est ensuite configuré sur les deux proxies NPS. Si le proxy NPS principal devient indisponible, les clients RADIUS envoient des messages de demande d’accès au proxy NPS de remplacement.

  • Planifiez le script utilisé pour copier une configuration NPS vers d’autres proxies NPS, afin d’économiser sur la surcharge administrative et d’éviter la configuration incorrecte d’un serveur. NPS fournit les commandes Netsh qui vous permettent de copier tout ou partie d’une configuration de proxy NPS pour l’importer sur un autre proxy NPS. Vous pouvez exécuter les commandes manuellement à l’invite Netsh. Toutefois, si vous enregistrez votre séquence de commandes en tant que script, vous pouvez exécuter le script à une date ultérieure si vous décidez de modifier vos configurations de proxy.

Planifiez les clients RADIUS

Les clients RADIUS sont des serveurs d’accès réseau, tels que des points d’accès sans fil, des serveurs de réseau privé virtuel (VPN), des commutateurs compatibles 802.1X et des serveurs d’accès à distance. Les proxies RADIUS, qui transfèrent les messages de demande de connexion aux serveurs RADIUS, sont également des clients RADIUS. Le serveur NPS prend en charge tous les serveurs d’accès réseau et les proxies RADIUS conformes au protocole RADIUS, comme décrit dans RFC 2865, « Service RADIUS (Remote Authentication Dial-in User Service) » et RFC 2866, « Gestion des comptes Radius ».

En outre, les points d’accès sans fil et les commutateurs doivent être capables de réaliser l’authentification 802.1X. Si vous souhaitez déployer le protocole EAP (Extensible Authentication Protocol) ou le protocole PEAP (Protected Extensible Authentication Protocol), les points d’accès et les commutateurs doivent prendre en charge l’utilisation d’EAP.

Pour tester l’interopérabilité de base des connexions PPP pour les points d’accès sans fil, configurez le point d’accès et le client d’accès pour utiliser le protocole PAP (Password Authentication Protocol). Utilisez des protocoles d’authentification PPP supplémentaires, tels que PEAP, jusqu’à ce que vous ayez testé ceux que vous envisagez d’utiliser pour l’accès réseau.

Étapes clés

Pendant la planification des clients RADIUS, vous pouvez effectuer les étapes suivantes.

  • Documentez les attributs spécifiques au fournisseur (VSA) que vous devez configurer dans le serveur NPS. Si vos périphériques NAS (Network Attached Storage) nécessitent des VSA, journalisez les informations VSA pour une utilisation ultérieure lorsque vous configurez vos stratégies réseau dans le serveur NPS.

  • Documentez les adresses IP des clients RADIUS et votre proxy NPS pour simplifier la configuration de tous les appareils. Lorsque vous déployez vos clients RADIUS, vous devez les configurer pour qu’ils utilisent le protocole RADIUS, avec l’adresse IP du proxy NPS entrée comme serveur d’authentification. Lorsque vous configurez NPS pour communiquer avec vos clients RADIUS, vous devez entrer les adresses IP du client RADIUS dans le composant logiciel enfichable du serveur NPS.

  • Créez des secrets partagés pour la configuration sur les clients RADIUS et dans le composant logiciel enfichable du serveur NPS. Vous devez configurer les clients RADIUS avec un secret partagé, ou un mot de passe, que vous allez également entrer dans le composant logiciel enfichable du serveur NPS lors de la configuration des clients RADIUS dans le serveur NPS.

Planifiez les groupes de serveurs RADIUS distants.

Lorsque vous configurez un groupe de serveurs RADIUS distant sur un proxy NPS, vous indiquez au proxy NPS où envoyer tout ou partie des messages de demande de connexion qu’il reçoit des serveurs d’accès réseau et des proxies NPS ou d’autres proxies RADIUS.

Vous pouvez utiliser NPS comme proxy RADIUS pour transférer les demandes de connexion à un ou plusieurs groupes de serveurs RADIUS distants, chaque groupe pouvant contenir un ou plusieurs serveurs RADIUS. Lorsque vous souhaitez que le proxy NPS transfère des messages à plusieurs groupes, configurez une stratégie de demande de connexion par groupe. La stratégie de demande de connexion contient des informations supplémentaires, telles que des règles de manipulation d’attribut, qui indiquent au proxy NPS quels messages envoyer au groupe de serveurs RADIUS distant spécifié dans la stratégie.

Vous pouvez configurer des groupes de serveurs RADIUS distants à l’aide des commandes Netsh pour NPS, en configurant des groupes directement dans le composant logiciel enfichable NPS sous Groupes de serveurs RADIUS distants, ou en exécutant l’Assistant Nouvelle stratégie de demande de connexion.

Étapes clés

Pendant la planification des groupes de serveurs RADIUS distants, vous pouvez effectuer les étapes suivantes.

  • Déterminez les domaines qui contiennent les serveurs RADIUS vers lesquels vous souhaitez que le proxy NPS transfère les demandes de connexion. Ces domaines contiennent les comptes d’utilisateur des utilisateurs qui se connectent au réseau via les clients RADIUS que vous déployez.

  • Déterminez si vous devez ajouter de nouveaux serveurs RADIUS dans les domaines où RADIUS n’est pas déjà déployé.

  • Documentez les adresses IP des serveurs RADIUS que vous souhaitez ajouter aux groupes de serveurs RADIUS distants.

  • Déterminez le nombre de groupes de serveurs RADIUS distants que vous devez créer. Dans certains cas, il est préférable de créer un groupe de serveurs RADIUS distant par domaine, puis d’ajouter les serveurs RADIUS du domaine au groupe. Toutefois, il peut arriver que vous disposiez d’une grande quantité de ressources dans un domaine, notamment un grand nombre d’utilisateurs ayant des comptes d’utilisateur dans le domaine, d’un grand nombre de contrôleurs de domaine et d’un grand nombre de serveurs RADIUS. Votre domaine peut également couvrir une grande zone géographique, ce qui vous amène à avoir des serveurs d’accès réseau et de serveurs RADIUS à des emplacements distants les uns des autres. Dans ces cas et éventuellement dans d’autres cas, vous pouvez créer plusieurs groupes de serveurs RADIUS distants par domaine.

  • Créez des secrets partagés pour la configuration sur le proxy NPS et sur les serveurs RADIUS distants.

Planifiez les règles de manipulation des attributs pour le transfert de messages

Les règles de manipulation des attributs, configurées dans les stratégies de demande de connexion, vous permettent d’identifier les messages de demande d’accès que vous souhaitez transférer à un groupe de serveurs RADIUS distant spécifique.

Vous pouvez configurer NPS pour transférer toutes les demandes de connexion à un groupe de serveurs RADIUS distant sans avoir recours aux règles de manipulation d’attribut.

Toutefois, si vous disposez de plusieurs emplacements vers lesquels vous souhaitez transférer les demandes de connexion, vous devez créer une stratégie de demande de connexion pour chaque emplacement, puis configurer la stratégie avec le groupe de serveurs RADIUS distant vers lequel vous souhaitez transférer les messages, ainsi qu’avec les règles de manipulation d’attribut qui indiquent à NPS quels messages transférer.

Vous pouvez créer des règles pour les attributs suivants.

  • ID de la station appelée. Numéro de téléphone du serveur d’accès réseau (périphérique NAS). La valeur de cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des indicatifs régionaux.

  • ID de la station appelante. Numéro de téléphone utilisé par l’appelant. La valeur de cet attribut est une chaîne de caractères. Vous pouvez utiliser la syntaxe de correspondance de modèle pour spécifier des indicatifs régionaux.

  • Nom d’utilisateur. Nom d’utilisateur fourni par le client d’accès et inclus par le périphérique NAS (Network Attached Storage) dans le message de demande d’accès RADIUS. La valeur de cet attribut est une chaîne de caractères qui contient généralement un nom de domaine et un nom de compte d’utilisateur.

Pour remplacer ou convertir correctement des noms de domaine au nom d’utilisateur d’une demande de connexion, vous devez configurer des règles de manipulation d’attribut pour l’attribut Nom de l’utilisateur sur la stratégie de demande de connexion appropriée.

Étapes clés

Pendant la planification des règles de manipulation d’attribut, vous pouvez effectuer les étapes suivantes.

  • Planifiez le routage des messages à partir du périphérique NAS via le proxy vers les serveurs RADIUS distants pour vérifier que vous disposez d’un chemin d’accès logique avec lequel transférer les messages vers les serveurs RADIUS.

  • Déterminez un ou plusieurs attributs que vous souhaitez utiliser pour chaque stratégie de demande de connexion.

  • Documentez les règles de manipulation d’attribut que vous envisagez d’utiliser pour chaque stratégie de demande de connexion et faites correspondre les règles au groupe de serveurs RADIUS distant vers lequel les messages sont transférés.

Planifiez les stratégies de demande de connexion.

La stratégie de demande de connexion par défaut est configurée pour NPS lorsqu’elle est utilisée en tant que serveur RADIUS. Des stratégies de demande de connexion supplémentaires peuvent être utilisées pour définir des conditions plus spécifiques, pour créer des règles de manipulation d’attribut qui indiquent à NPS quels messages transférer aux groupes de serveurs RADIUS distants et pour spécifier des attributs avancés. Utilisez l’Assistant Nouvelle stratégie de demande de connexion pour créer des stratégies de demande de connexion communes ou personnalisées.

Étapes clés

Pendant la planification des stratégies de demande de connexion, vous pouvez effectuer les étapes suivantes.

  • Supprimez la stratégie de demande de connexion par défaut sur chaque serveur exécutant NPS qui fonctionne uniquement en tant que proxy RADIUS.

  • Planifiez les conditions et paramètres supplémentaires requis pour chaque stratégie, en combinant ces informations avec le groupe de serveurs RADIUS distant et les règles de manipulation d’attribut planifiées pour la stratégie.

  • Concevez le plan pour distribuer les stratégies de demande de connexion communes à tous les proxies NPS. Créez des stratégies communes à plusieurs proxies NPS sur un seul serveur NPS, puis utilisez les commandes Netsh pour NPS afin d’importer les stratégies de demande de connexion et la configuration du serveur sur tous les autres proxies.

Planifier la gestion des comptes du serveur NPS

Lorsque vous configurez NPS en tant que proxy RADIUS, vous pouvez le configurer pour effectuer la gestion des comptes RADIUS à l’aide de fichiers journaux au format NPS, de fichiers journaux de format compatible avec la base de données ou de journalisation NPS SQL Server.

Vous pouvez également transférer des messages de gestion des comptes à un groupe de serveurs RADIUS distant qui effectue la gestion des comptes à l’aide de l’un de ces formats de journalisation.

Étapes clés

Pendant la planification de la gestion des comptes du serveur NPS, vous pouvez effectuer les étapes suivantes.

  • Déterminez si vous souhaitez que le proxy NPS effectue des services de gestion des comptes ou transfère les messages afférents à un groupe de serveurs RADIUS distant pour la gestion des comptes.

  • Prévoyez de désactiver la gestion des comptes du proxy NPS local si vous envisagez de transférer les messages de gestion des comptes à d’autres serveurs.

  • Planifiez les étapes de configuration de la stratégie de demande de connexion si vous envisagez de transférer les messages de gestion des comptes à d’autres serveurs. Si vous désactivez la gestion des comptes locale pour le proxy NPS, toutes les stratégie de demande de connexion que vous configurez sur ce proxy doivent avoir le transfert des messages de gestion des comptes activé et configuré correctement.

  • Déterminez le format de journalisation que vous souhaitez utiliser : fichiers journaux au format IAS, fichiers journaux de format compatibles avec la base de données ou journalisation NPS SQL Server.

Pour configurer l’équilibrage de charge pour NPS en tant que proxy RADIUS, consultez la sectionÉquilibrage de charge du serveur proxy NPS.