Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat menggunakan topik ini untuk gambaran umum penggunaan nama realm dalam pemrosesan permintaan koneksi Server Kebijakan Jaringan.
Atribut RADIUS Nama Pengguna adalah string karakter yang biasanya berisi lokasi akun pengguna dan nama akun pengguna. Lokasi akun pengguna juga disebut nama realm atau realm, dan identik dengan konsep domain, termasuk domain DNS, domain Direktori Aktif®, dan domain Windows NT 4.0. Misalnya, jika akun pengguna terletak di database akun pengguna untuk domain bernama example.com, maka example.com adalah nama realm.
Dalam contoh lain, jika atribut RADIUS Nama Pengguna berisi nama user1@example.compengguna , pengguna1 adalah nama akun pengguna dan example.com adalah nama realm. Nama realm dapat disajikan dalam nama pengguna sebagai awalan atau sebagai akhiran:
Example\user1. In this example, the realm name Example is a prefix; and it is also the name of an Active Directory® Domain Services (AD DS) domain.
user1@example.com. In this example, the realm name example.com is a suffix; and it is either a DNS domain name or the name of an AD DS domain.
Anda dapat menggunakan nama realm yang dikonfigurasi dalam kebijakan permintaan koneksi saat merancang dan menyebarkan infrastruktur RADIUS Anda untuk memastikan bahwa permintaan koneksi dirutekan dari klien RADIUS, juga disebut server akses jaringan, ke server RADIUS yang dapat mengautentikasi dan mengotorisasi permintaan koneksi.
Ketika NPS dikonfigurasi sebagai server RADIUS dengan kebijakan permintaan koneksi default, NPS memproses permintaan koneksi untuk domain tempat NPS adalah anggota dan untuk domain tepercaya.
Untuk mengonfigurasi NPS agar bertindak sebagai proksi RADIUS dan meneruskan permintaan koneksi ke domain yang tidak tepercaya, Anda harus membuat kebijakan permintaan koneksi baru. Dalam kebijakan permintaan koneksi baru, Anda harus mengonfigurasi atribut Nama Pengguna dengan nama realm yang akan terkandung dalam atribut Nama Pengguna permintaan koneksi yang ingin Anda teruskan. Anda juga harus mengonfigurasi kebijakan permintaan koneksi dengan grup server RADIUS jarak jauh. Kebijakan permintaan koneksi memungkinkan NPS untuk menghitung permintaan koneksi mana yang akan diteruskan ke grup server RADIUS jarak jauh berdasarkan bagian realm dari atribut Nama Pengguna.
Memperoleh nama wilayah
Bagian nama realm dari nama pengguna disediakan ketika pengguna mengetik kredensial berbasis kata sandi selama upaya koneksi atau ketika profil Pengelola Sambungan (CM) di komputer pengguna dikonfigurasi untuk memberikan nama realm secara otomatis.
Anda dapat mengharuskan pengguna jaringan Anda untuk memberikan nama realm mereka ketika mengetik kredensial mereka saat mencoba menghubungkan ke jaringan.
For example, you can require users to type their user name, including the user account name and the realm name, in User name in the Connect dialog box when making a dial-up or virtual private network (VPN) connection.
Selain itu, jika Anda membuat paket dial khusus dengan Connection Manager Administration Kit (CMAK), Anda dapat membantu pengguna dengan menambahkan nama wilayah secara otomatis ke nama akun pengguna di profil CM yang diinstal di komputer pengguna. Misalnya, Anda dapat menentukan nama realm dan sintaks nama pengguna di profil CM sehingga pengguna hanya perlu menentukan nama akun pengguna saat mengetik kredensial. Dalam keadaan ini, pengguna tidak perlu mengetahui atau mengingat domain tempat akun pengguna mereka berada.
Selama proses autentikasi, setelah pengguna mengetik kredensial berbasis kata sandi mereka, nama pengguna diteruskan dari klien akses ke server akses jaringan. Server akses jaringan membuat permintaan koneksi dan menyertakan nama realm dalam atribut RADIUS Nama Pengguna dalam pesan Access-Request yang dikirim ke proksi atau server RADIUS.
Jika server RADIUS adalah NPS, pesan Permintaan Akses dievaluasi terhadap serangkaian kebijakan permintaan koneksi yang dikonfigurasi. Kondisi pada kebijakan permintaan koneksi dapat mencakup spesifikasi konten atribut Nama Pengguna.
Anda dapat mengonfigurasi kebijakan permintaan koneksi yang khusus terkait dengan nama realm pada atribut Nama Pengguna dalam pesan masuk. Ini memungkinkan Anda membuat aturan perutean yang meneruskan pesan RADIUS dengan nama realm tertentu ke sekumpulan server RADIUS tertentu saat NPS digunakan sebagai proksi RADIUS.
Aturan manipulasi atribut
Sebelum pesan RADIUS diproses secara lokal (ketika NPS digunakan sebagai server RADIUS) atau diteruskan ke server RADIUS lain (ketika NPS digunakan sebagai proksi RADIUS), atribut Nama Pengguna dalam pesan dapat dimodifikasi oleh aturan manipulasi atribut. You can configure attribute manipulation rules for the User-Name attribute by selecting User name on the Conditions tab in the properties of a connection request policy. Aturan manipulasi atribut NPS menggunakan sintaks ekspresi reguler.
Note
Manipulasi realm tidak berfungsi dengan PEAP.
Perilaku yang diinginkan mungkin dicapai dengan beralih ke EAP-TLS atau EAP-MSCHAPv2 untuk autentikasi atau menambahkan akhiran UPN ke domain untuk setiap nama domain tambahan yang perlu Anda atasi.
Anda dapat mengonfigurasi aturan manipulasi atribut untuk atribut Nama Pengguna untuk mengubah hal berikut:
Hapus nama realm dari nama pengguna (juga dikenal sebagai penghapusan nama realm). Misalnya, nama user1@example.com pengguna diubah menjadi user1.
Ubah nama realm tetapi bukan sintaksnya. Misalnya, nama user1@example.com pengguna diubah menjadi user1@wcoast.example.com.
Ubah sintaks nama lingkup. Misalnya, nama pengguna example\user1 diubah menjadi user1@example.com.
Setelah atribut Nama Pengguna dimodifikasi sesuai dengan aturan manipulasi atribut yang Anda konfigurasikan, pengaturan tambahan dari kebijakan permintaan koneksi pertama yang cocok digunakan untuk menentukan apakah:
NPS memproses pesan Permintaan Akses secara lokal (saat NPS digunakan sebagai server RADIUS).
NPS meneruskan pesan ke server RADIUS lain (saat NPS digunakan sebagai proksi RADIUS).
Mengonfigurasi nama domain yang disediakan NPS
Ketika nama pengguna tidak berisi nama domain, NPS menyediakannya. Secara default, nama domain yang disediakan NPS adalah domain di mana NPS adalah anggota. Anda dapat menentukan nama domain yang disediakan NPS melalui pengaturan registri berikut:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Caution
Salah mengedit registri bisa sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, Anda harus mencadangkan semua data berharga pada komputer.
Beberapa server akses jaringan non-Microsoft menghapus atau mengubah nama domain seperti yang ditentukan oleh pengguna. Akibatnya, permintaan akses jaringan diautentikasi terhadap domain default, yang mungkin bukan domain untuk akun pengguna. Untuk mengatasi masalah ini, konfigurasikan server RADIUS Anda untuk mengubah nama pengguna menjadi format yang benar dengan nama domain yang akurat.