Merencanakan dan menerapkan NPS
NPS melakukan autentikasi koneksi terpusat, otorisasi, dan pencatatan untuk jaringan nirkabel, server RD Gateway, sakelar autentikasi, VPN, dan koneksi dial-up. Tetapi Contoso harus terlebih dahulu mengonfigurasi kebijakan jaringan yang digunakan NPS untuk mengotorisasi permintaan koneksi, dan mereka juga dapat memilih untuk mengonfigurasi akuntansi RADIUS sehingga NPS mencatat informasi akuntansi untuk mencatat file di hard disk lokal atau dalam database Microsoft SQL Server.
Pilih metode autentikasi NPS
NPS mengautentikasi dan mengotorisasi permintaan koneksi sebelum mengizinkan atau menolak akses saat pengguna mencoba terhubung ke jaringan Anda melalui NAS. Saat menyebarkan NPS, Anda dapat menentukan jenis metode autentikasi yang diperlukan untuk akses ke jaringan Anda.
Metode autentikasi berikut didukung oleh NPS:
- PAP
- Protokol Autentikasi Kata Sandi Shiva (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP v2
- EAP
Petunjuk / Saran
Ketika Anda memilih EAP sebagai metode autentikasi, negosiasi jenis EAP terjadi antara klien akses dan server NPS.
Perhatian
Anda tidak boleh menggunakan PAP, SPAP, CHAP, atau MS-CHAP di lingkungan produksi karena dianggap sangat tidak aman.
Akuntansi NPS
Anda juga perlu mempertimbangkan bagaimana Anda harus mengonfigurasi pengelogan untuk NPS. Anda dapat mencatat permintaan autentikasi pengguna dan permintaan akuntansi untuk mencatat file dalam format teks atau format database, atau Anda dapat masuk ke prosedur tersimpan dalam database Microsoft SQL Server. Gunakan pengelogan permintaan terutama untuk analisis koneksi dan tujuan penagihan, dan sebagai alat investigasi keamanan, karena memungkinkan Anda mengidentifikasi aktivitas peretas.
Mengonfigurasi kebijakan pada NPS
NPS mendukung kebijakan permintaan koneksi dan kebijakan jaringan. Upaya ini dijelaskan dalam tabel berikut ini.
| Tipe | Deskripsi |
|---|---|
| Kebijakan permintaan koneksi | Kebijakan permintaan koneksi memungkinkan Anda memilih apakah server NPS lokal memproses permintaan koneksi atau meneruskannya ke server RADIUS lain untuk diproses |
| Kebijakan jaringan | Kebijakan jaringan memungkinkan Anda untuk menunjuk pengguna mana yang Anda otorisasi untuk terhubung ke jaringan Anda dan keadaan di mana mereka dapat atau tidak dapat terhubung. |
Menetapkan kebijakan jaringan
Kebijakan jaringan adalah serangkaian kondisi, batasan, dan pengaturan yang memungkinkan Anda menunjuk siapa yang akan Anda otorisasi untuk terhubung ke jaringan, dan keadaan di mana mereka dapat atau tidak dapat terhubung. Setiap kebijakan jaringan memiliki empat kategori properti.
| Harta benda | Deskripsi |
|---|---|
| Gambaran Umum | Properti gambaran umum memungkinkan Anda menentukan apakah kebijakan diaktifkan, apakah kebijakan memberikan atau menolak akses, dan apakah permintaan koneksi memerlukan metode koneksi jaringan tertentu atau jenis server akses jaringan. Properti gambaran umum juga memungkinkan Anda menentukan apakah akan mengabaikan properti dial-in akun pengguna di AD DS. Jika Anda memilih opsi ini, NPS hanya menggunakan pengaturan kebijakan jaringan untuk menentukan apakah akan mengotorisasi koneksi. |
| Kondisi | Properti ini memungkinkan Anda menentukan kondisi yang harus dipenuhi oleh permintaan koneksi agar sesuai dengan kebijakan jaringan. Jika kondisi yang dikonfigurasi dalam kebijakan cocok dengan permintaan koneksi, NPS menerapkan pengaturan kebijakan jaringan ke koneksi. Misalnya, jika Anda menentukan alamat IPv4 server akses jaringan (alamat NAS IPv4) sebagai kondisi kebijakan jaringan, dan NPS menerima permintaan koneksi dari NAS yang memiliki alamat IP yang ditentukan, kondisi dalam kebijakan cocok dengan permintaan koneksi. |
| Keterbatasan | Batasan adalah parameter tambahan dari kebijakan jaringan yang diperlukan untuk mencocokkan permintaan koneksi. Jika permintaan koneksi tidak cocok dengan batasan, NPS akan menolak permintaan secara otomatis. Tidak seperti respons NPS terhadap kondisi yang tidak cocok di jaringan, jika batasan tidak cocok, NPS tidak mengevaluasi kebijakan jaringan tambahan, dan menolak permintaan koneksi. |
| Pengaturan | Properti Pengaturan memungkinkan Anda menentukan setelan yang diterapkan oleh NPS untuk permintaan koneksi, dengan syarat semua kondisi kebijakan jaringan cocok dan permintaan diterima. |
Penting
Ketika Anda pertama kali menyebarkan peran NPS, dua kebijakan jaringan default menolak akses jarak jauh ke semua upaya koneksi. Anda kemudian dapat mengonfigurasi kebijakan jaringan tambahan untuk mengelola upaya koneksi.
Ketika NPS mengotorisasi permintaan koneksi, NPS membandingkan permintaan dengan setiap kebijakan jaringan dalam daftar kebijakan yang diurutkan, dimulai dengan kebijakan pertama dan pindah ke item berikutnya dalam daftar. Jika NPS menemukan kebijakan di mana kondisi cocok dengan permintaan koneksi, NPS menggunakan kebijakan yang cocok dan properti dial-in akun pengguna untuk mengotorisasi permintaan. Jika Anda mengonfigurasi properti dial-in akun pengguna untuk memberikan atau mengontrol akses melalui kebijakan jaringan, dan permintaan koneksi diotorisasi, NPS menerapkan pengaturan yang Anda konfigurasikan dalam kebijakan jaringan ke koneksi:
- Jika NPS tidak menemukan kebijakan jaringan yang cocok dengan permintaan koneksi, NPS menolak koneksi.
- Jika properti dial-in akun pengguna diatur untuk menolak akses, NPS tetap menolak permintaan koneksi.
Ini dirangkum dalam diagram berikut.
