Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat Anda menyebarkan Server Kebijakan Jaringan (NPS) sebagai server Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS), NPS melakukan autentikasi, otorisasi, dan akuntansi untuk permintaan koneksi untuk domain lokal dan untuk domain yang mempercayai domain lokal. Anda dapat menggunakan panduan perencanaan ini untuk menyederhanakan penyebaran RADIUS Anda.
Panduan perencanaan ini tidak mencakup keadaan di mana Anda ingin menyebarkan NPS sebagai proksi RADIUS. Saat Anda menyebarkan NPS sebagai proksi RADIUS, NPS meneruskan permintaan koneksi ke server yang menjalankan NPS atau server RADIUS lainnya di domain jarak jauh, domain yang tidak tepercaya, atau keduanya.
Sebelum Anda menyebarkan NPS sebagai server RADIUS di jaringan Anda, gunakan panduan berikut untuk merencanakan penyebaran Anda.
Merencanakan konfigurasi NPS.
Merencanakan klien RADIUS.
Rencanakan penggunaan metode autentikasi.
Merencanakan kebijakan jaringan.
Merencanakan akuntansi NPS.
Merencanakan konfigurasi NPS
Anda harus memutuskan di domain mana NPS adalah anggota. Untuk lingkungan beberapa domain, NPS dapat mengautentikasi kredensial untuk akun pengguna di domain yang merupakan anggotanya dan untuk semua domain yang mempercayai domain lokal NPS. Untuk mengizinkan NPS membaca properti dial-in akun pengguna selama proses otorisasi, Anda harus menambahkan akun komputer NPS ke grup RAS dan NPSs untuk setiap domain.
Setelah Anda menentukan keanggotaan domain NPS, server harus dikonfigurasi untuk berkomunikasi dengan klien RADIUS, juga disebut server akses jaringan, dengan menggunakan protokol RADIUS. Selain itu, Anda dapat mengonfigurasi jenis peristiwa yang dicatat NPS di log peristiwa dan Anda dapat memasukkan deskripsi untuk server.
Langkah-langkah utama
Selama perencanaan konfigurasi NPS, Anda dapat menggunakan langkah-langkah berikut.
Tentukan port RADIUS yang digunakan NPS untuk menerima pesan RADIUS dari klien RADIUS. Port default adalah port UDP 1812 dan 1645 untuk pesan autentikasi RADIUS dan port 1813 dan 1646 untuk pesan akuntansi RADIUS.
Jika NPS dikonfigurasi dengan beberapa adaptor jaringan, tentukan adaptor tempat Anda ingin lalu lintas RADIUS diizinkan.
Tentukan jenis peristiwa yang Anda inginkan untuk direkam NPS di Log Peristiwa. Anda dapat mencatat permintaan autentikasi yang ditolak, permintaan autentikasi yang berhasil, atau kedua jenis permintaan.
Tentukan apakah Anda menerapkan lebih dari satu NPS. Untuk memberikan toleransi kesalahan untuk autentikasi dan akuntansi berbasis RADIUS, gunakan setidaknya dua NPS. Satu NPS digunakan sebagai server RADIUS utama dan yang lainnya digunakan sebagai cadangan. Setiap klien RADIUS kemudian dikonfigurasi pada kedua NPS. Jika NPS utama menjadi tidak tersedia, klien RADIUS kemudian mengirim pesan Access-Request ke NPS alternatif.
Rencanakan skrip yang digunakan untuk menyalin satu konfigurasi NPS ke NPS lain untuk menghemat overhead administratif dan untuk mencegah konfigurasi server yang salah. NPS menyediakan perintah
Netshyang memungkinkan Anda menyalin semua atau sebagian konfigurasi NPS untuk diimpor ke NPS lain. Anda dapat menjalankan perintah secara manual di promptNetsh. Namun, jika Anda menyimpan urutan perintah sebagai skrip, Anda dapat menjalankan skrip di kemudian hari jika Anda memutuskan untuk mengubah konfigurasi server Anda.
Merencanakan klien RADIUS
Klien RADIUS adalah server akses jaringan, seperti titik akses nirkabel, server jaringan privat virtual (VPN), sakelar berkemampuan 802.1X, dan server dial-up. Proksi RADIUS, yang meneruskan pesan permintaan koneksi ke server RADIUS, juga merupakan klien RADIUS. NPS mendukung semua server akses jaringan dan proksi RADIUS yang mematuhi protokol RADIUS seperti yang dijelaskan dalam RFC 2865, "Layanan Pengguna Dial-in Autentikasi Jarak Jauh (RADIUS)," dan RFC 2866, "Akuntansi RADIUS."
Important
Klien akses, seperti komputer klien, bukan merupakan klien RADIUS. Hanya server akses jaringan dan server proksi yang mendukung protokol RADIUS yang merupakan klien RADIUS.
Selain itu, titik akses nirkabel dan sakelar harus mampu melakukan autentikasi 802.1X. Jika Anda ingin menyebarkan Extensible Authentication Protocol (EAP) atau Protected Extensible Authentication Protocol (PEAP), titik akses dan sakelar harus mendukung penggunaan EAP.
Untuk menguji interoperabilitas dasar untuk koneksi PPP untuk titik akses nirkabel, konfigurasikan titik akses dan klien akses untuk menggunakan Protokol Autentikasi Kata Sandi (PAP). Gunakan protokol autentikasi berbasis PPP tambahan, seperti PEAP, hingga Anda menguji protokol yang ingin Anda gunakan untuk akses jaringan.
Langkah-langkah utama
Selama perencanaan untuk klien RADIUS, Anda dapat menggunakan langkah-langkah berikut.
Dokumentasikan atribut khusus vendor (VSAs) yang harus Anda konfigurasi di NPS. Jika server akses jaringan Anda memerlukan VSAs, catat informasi VSA untuk digunakan nanti saat Anda mengonfigurasi kebijakan jaringan Anda di NPS.
Dokumentasikan alamat IP klien RADIUS dan NPS Anda untuk menyederhanakan konfigurasi semua perangkat. Saat menyebarkan klien RADIUS, Anda harus mengonfigurasinya untuk menggunakan protokol RADIUS, dengan alamat IP NPS dimasukkan sebagai server autentikasi. Dan ketika Mengonfigurasi NPS untuk berkomunikasi dengan klien RADIUS, Anda harus memasukkan alamat IP klien RADIUS ke dalam snap-in NPS.
Buat kunci rahasia bersama untuk konfigurasi pada klien RADIUS dan dalam modul snap-in NPS. Anda harus mengonfigurasi klien RADIUS dengan rahasia bersama, atau kata sandi, yang juga akan Anda masukkan ke dalam snap-in NPS saat mengonfigurasi klien RADIUS di NPS.
Merencanakan penggunaan metode autentikasi
NPS mendukung metode autentikasi berbasis kata sandi dan berbasis sertifikat. Namun, tidak semua server akses jaringan mendukung metode autentikasi yang sama. Dalam beberapa kasus, Anda mungkin ingin menyebarkan metode autentikasi yang berbeda berdasarkan jenis akses jaringan.
Misalnya, Anda mungkin ingin menyebarkan akses nirkabel dan VPN untuk organisasi Anda, tetapi menggunakan metode autentikasi yang berbeda untuk setiap jenis akses: EAP-TLS untuk koneksi VPN, karena keamanan kuat yang disediakan EAP dengan Keamanan Lapisan Transportasi (EAP-TLS), dan PEAP-MS-CHAP v2 untuk koneksi nirkabel 802.1X.
PEAP dengan Microsoft Challenge Handshake Authentication Protocol versi 2 (PEAP-MS-CHAP v2) menyediakan fitur bernama koneksi ulang cepat yang dirancang untuk digunakan dengan komputer portabel dan perangkat nirkabel lainnya. Koneksi ulang yang cepat memungkinkan klien nirkabel untuk berpindah di antara titik akses nirkabel pada jaringan yang sama tanpa harus diautentikasi kembali setiap kali terhubung dengan titik akses baru. Ini memberikan pengalaman yang lebih baik bagi pengguna nirkabel dan memungkinkan mereka untuk berpindah di antara titik akses tanpa harus mengetik ulang kredensial mereka. Karena koneksi ulang yang cepat dan keamanan yang disediakan PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 adalah pilihan logis sebagai metode autentikasi untuk koneksi nirkabel.
Untuk koneksi VPN, EAP-TLS adalah metode autentikasi berbasis sertifikat yang memberikan keamanan kuat yang melindungi lalu lintas jaringan bahkan seperti yang dikirimkan di Internet dari komputer rumah atau seluler ke server VPN organisasi Anda.
Metode autentikasi berbasis sertifikat
Metode autentikasi berbasis sertifikat memiliki keuntungan memberikan keamanan yang kuat; dan mereka memiliki kerugian karena lebih sulit disebarkan daripada metode autentikasi berbasis kata sandi.
Baik PEAP-MS-CHAP v2 dan EAP-TLS adalah metode autentikasi yang berbasis pada sertifikat, tetapi ada banyak perbedaan antara keduanya dan cara keduanya diterapkan.
EAP-TLS
EAP-TLS menggunakan sertifikat untuk autentikasi klien dan server, dan mengharuskan Anda menyebarkan infrastruktur kunci publik (PKI) di organisasi Anda. Menyebarkan PKI bisa rumit, dan memerlukan fase perencanaan yang independen dari perencanaan untuk penggunaan NPS sebagai server RADIUS.
Dengan EAP-TLS, NPS mendaftarkan sertifikat server dari otoritas sertifikasi (CA), dan sertifikat disimpan di komputer lokal di penyimpanan sertifikat. Selama proses autentikasi, autentikasi server terjadi ketika NPS mengirim sertifikat servernya ke klien akses untuk membuktikan identitasnya ke klien akses. Klien akses memeriksa berbagai properti sertifikat untuk menentukan apakah sertifikat valid dan sesuai untuk digunakan selama autentikasi server. Jika sertifikat server memenuhi persyaratan sertifikat server minimum dan dikeluarkan oleh CA yang dipercaya klien akses, NPS berhasil diautentikasi oleh klien.
Demikian pula, autentikasi klien terjadi selama proses autentikasi ketika klien mengirim sertifikat kliennya ke NPS untuk membuktikan identitasnya ke NPS. NPS memeriksa sertifikat, dan jika sertifikat klien memenuhi persyaratan sertifikat klien minimum dan dikeluarkan oleh CA yang dipercaya NPS, klien akses berhasil diautentikasi oleh NPS.
Meskipun diperlukan bahwa sertifikat server disimpan di penyimpanan sertifikat pada NPS, sertifikat klien atau pengguna dapat disimpan di penyimpanan sertifikat pada klien atau pada kartu pintar.
Agar proses autentikasi ini berhasil, semua komputer harus memiliki sertifikat CA organisasi Anda di dalam penyimpanan sertifikat Otoritas Sertifikasi Akar Tepercaya untuk Komputer Lokal dan Pengguna Saat Ini.
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 menggunakan sertifikat untuk autentikasi server dan kredensial berbasis kata sandi untuk autentikasi pengguna. Karena sertifikat hanya digunakan untuk autentikasi server, Anda tidak diharuskan untuk menyebarkan PKI untuk menggunakan PEAP-MS-CHAP v2. Saat Anda menyebarkan PEAP-MS-CHAP v2, Anda dapat memperoleh sertifikat server untuk NPS dengan salah satu dari dua cara berikut:
Anda dapat menginstal Layanan Sertifikat Direktori Aktif (AD CS), lalu mengotomatiskan sertifikat ke NPS. Jika Anda menggunakan metode ini, Anda juga harus mendaftarkan sertifikat CA ke komputer klien yang terhubung ke jaringan Anda sehingga mereka mempercayai sertifikat yang dikeluarkan ke NPS.
Anda dapat membeli sertifikat server dari CA publik seperti VeriSign. Jika Anda menggunakan metode ini, pastikan Anda memilih CA yang sudah dipercaya oleh komputer klien. Untuk menentukan apakah komputer klien mempercayai CA, buka snap-in Certificates Microsoft Management Console (MMC) di komputer klien, lalu lihat toko Otoritas Sertifikasi Root Tepercaya untuk Komputer Lokal dan untuk Pengguna Saat Ini. Jika ada sertifikat dari CA di penyimpanan sertifikat ini, komputer klien mempercayai CA dan oleh karena itu akan mempercayai sertifikat apa pun yang dikeluarkan oleh CA.
Selama proses autentikasi dengan PEAP-MS-CHAP v2, autentikasi server terjadi ketika NPS mengirim sertifikat servernya ke komputer klien. Klien akses memeriksa berbagai properti sertifikat untuk menentukan apakah sertifikat valid dan sesuai untuk digunakan selama autentikasi server. Jika sertifikat server memenuhi persyaratan sertifikat server minimum dan dikeluarkan oleh CA yang dipercaya klien akses, NPS berhasil diautentikasi oleh klien.
Autentikasi pengguna terjadi ketika pengguna yang mencoba menyambung ke jaringan dengan mengetikkan kredensial berbasis kata sandi dan mencoba untuk masuk. NPS menerima kredensial dan melakukan autentikasi dan otorisasi. Jika pengguna berhasil diautentikasi dan diotorisasi, dan jika komputer klien berhasil mengautentikasi NPS, permintaan koneksi akan diberikan.
Langkah-langkah utama
Selama perencanaan penggunaan metode autentikasi, Anda dapat menggunakan langkah-langkah berikut.
Identifikasi jenis akses jaringan yang Anda rencanakan untuk ditawarkan, seperti nirkabel, VPN, sakelar berkemampuan 802.1X, dan akses dial-up.
Tentukan metode atau metode autentikasi yang ingin Anda gunakan untuk setiap jenis akses. Disarankan agar Anda menggunakan metode autentikasi berbasis sertifikat yang memberikan keamanan yang kuat; namun, mungkin tidak praktis bagi Anda untuk menyebarkan PKI, sehingga metode autentikasi lainnya mungkin memberikan keseimbangan yang lebih baik dari apa yang Anda butuhkan untuk jaringan Anda.
Jika Anda menyebarkan EAP-TLS, rencanakan penyebaran PKI Anda. Ini termasuk merencanakan templat sertifikat yang akan Anda gunakan untuk sertifikat server dan sertifikat komputer klien. Ini juga termasuk menentukan cara mendaftarkan sertifikat ke anggota domain dan komputer anggota non-domain, dan menentukan apakah Anda ingin menggunakan kartu pintar.
Jika Anda menyebarkan PEAP-MS-CHAP v2, tentukan apakah Anda ingin menginstal AD CS untuk menerbitkan sertifikat server ke NPS Anda atau apakah Anda ingin membeli sertifikat server dari CA publik, seperti VeriSign.
Merencanakan kebijakan jaringan
Kebijakan jaringan digunakan oleh NPS untuk menentukan apakah permintaan koneksi yang diterima dari klien RADIUS diotorisasi. NPS juga menggunakan properti dial-in akun pengguna untuk membuat penentuan otorisasi.
Karena kebijakan jaringan diproses dalam urutan kemunculannya pada snap-in NPS, rencanakan untuk menempatkan kebijakan Anda yang paling ketat paling awal dalam daftar kebijakan. Untuk setiap permintaan koneksi, NPS mencoba mencocokkan kondisi kebijakan dengan properti permintaan koneksi. NPS memeriksa setiap kebijakan jaringan secara berurutan hingga menemukan kecocokan. Jika tidak menemukan kecocokan, permintaan koneksi akan ditolak.
Langkah-langkah utama
Selama perencanaan kebijakan jaringan, Anda dapat menggunakan langkah-langkah berikut.
Tentukan urutan pemrosesan NPS kebijakan jaringan yang lebih disukai, dari yang paling ketat hingga paling tidak ketat.
Tentukan status kebijakan. Status kebijakan dapat memiliki nilai diaktifkan atau dinonaktifkan. Jika kebijakan diaktifkan, NPS mengevaluasi kebijakan saat melakukan otorisasi. Jika kebijakan tidak diaktifkan, kebijakan tersebut tidak dievaluasi.
Tentukan jenis kebijakan. Anda harus menentukan apakah kebijakan dirancang untuk memberikan akses ketika kondisi kebijakan cocok dengan permintaan koneksi atau apakah kebijakan dirancang untuk menolak akses ketika kondisi kebijakan cocok dengan permintaan koneksi. Misalnya, jika Anda ingin menolak akses nirkabel secara eksplisit ke anggota grup Windows, Anda dapat membuat kebijakan jaringan yang menentukan grup, metode koneksi nirkabel, dan yang memiliki pengaturan jenis kebijakan Tolak akses.
Tentukan apakah Anda ingin NPS mengabaikan properti dial-in akun pengguna yang merupakan anggota grup tempat kebijakan didasarkan. Ketika pengaturan ini tidak diaktifkan, properti dial-in akun pengguna menggantikan pengaturan yang dikonfigurasi pada kebijakan jaringan. Misalnya, jika kebijakan jaringan dikonfigurasi untuk memberikan akses kepada pengguna, tetapi properti dial-in dari akun pengguna tersebut diatur untuk menolak akses, maka pengguna tersebut akan ditolak aksesnya. Tetapi jika Anda mengaktifkan pengaturan jenis kebijakan 'Abaikan properti dial-in akun pengguna', pengguna yang sama akan diberikan akses ke jaringan.
Tentukan apakah kebijakan menggunakan pengaturan sumber kebijakan. Pengaturan ini memungkinkan Anda untuk dengan mudah menentukan sumber untuk semua permintaan akses. Sumber yang mungkin adalah Gateway Layanan Terminal (Gateway TS), server akses jarak jauh (VPN atau dial-up), server DHCP, titik akses nirkabel, dan server Otoritas Pendaftaran Kesehatan. Atau, Anda dapat menentukan sumber khusus vendor.
Tentukan kondisi yang harus dicocokkan agar kebijakan jaringan diterapkan.
Tentukan pengaturan yang diterapkan jika kondisi kebijakan jaringan cocok dengan permintaan koneksi.
Tentukan apakah Anda ingin menggunakan, mengubah, atau menghapus kebijakan jaringan default.
Merencanakan akuntansi NPS
NPS menyediakan kemampuan untuk mencatat data akuntansi RADIUS, seperti permintaan autentikasi dan akuntansi pengguna, dalam tiga format: format IAS, format yang kompatibel dengan database, dan pengelogan Microsoft SQL Server.
Format IAS dan format yang kompatibel dengan database membuat file log di NPS lokal dalam format file teks.
Pencatatan SQL Server menyediakan kemampuan untuk mencatat ke basis data yang sesuai dengan XML di SQL Server 2000 atau SQL Server 2005, memperluas fungsi pencatatan RADIUS untuk memanfaatkan keuntungan pencatatan ke basis data relasional.
Langkah-langkah utama
Selama perencanaan akuntansi NPS, Anda dapat menggunakan langkah-langkah berikut.
- Tentukan apakah Anda ingin menyimpan data akuntansi NPS dalam file log atau dalam database SQL Server.
Akuntansi NPS menggunakan file log lokal
Merekam permintaan autentikasi dan akuntansi pengguna dalam file log digunakan terutama untuk tujuan analisis koneksi dan penagihan, dan juga berguna sebagai alat investigasi keamanan, memberi Anda metode untuk melacak aktivitas pengguna berbahaya setelah serangan.
Langkah-langkah utama
Selama perencanaan akuntansi NPS menggunakan file log lokal, Anda dapat menggunakan langkah-langkah berikut.
Tentukan format file teks yang ingin Anda gunakan untuk file log NPS Anda.
Pilih jenis informasi yang ingin Anda catat. Anda dapat mencatat permintaan akuntansi, permintaan autentikasi, dan status berkala.
Tentukan lokasi hard disk tempat Anda ingin menyimpan file log Anda.
Rancang solusi pencadangan file log Anda. Lokasi hard disk tempat Anda menyimpan file log harus menjadi lokasi yang memungkinkan Anda untuk dengan mudah mencadangkan data Anda. Selain itu, lokasi hard disk harus dilindungi dengan mengonfigurasi daftar kontrol akses (ACL) untuk folder tempat file log disimpan.
Tentukan frekuensi pembuatan file log baru. Jika Anda ingin file log dibuat berdasarkan ukuran file, tentukan ukuran file maksimum yang diizinkan sebelum file log baru dibuat oleh NPS.
Tentukan apakah Anda ingin NPS menghapus file log yang lebih lama jika hard disk kehabisan ruang penyimpanan.
Tentukan aplikasi atau aplikasi yang ingin Anda gunakan untuk melihat data akuntansi dan menghasilkan laporan.
Pengelogan NPS SQL Server
Pengelogan NPS SQL Server digunakan saat Anda memerlukan informasi status sesi, untuk tujuan pembuatan laporan dan analisis data, dan untuk memusatkan dan menyederhanakan manajemen data akuntansi Anda.
NPS menyediakan kemampuan untuk menggunakan pengelogan SQL Server untuk merekam permintaan autentikasi dan akuntansi pengguna yang diterima dari satu atau beberapa server akses jaringan ke sumber data di komputer yang menjalankan Microsoft SQL Server Desktop Engine (MSDE 2000), atau versi SQL Server apa pun yang lebih baru dari SQL Server 2000.
Data akuntansi diteruskan dari NPS dalam format XML ke prosedur tersimpan dalam database, yang mendukung bahasa kueri terstruktur (SQL) dan XML (SQLXML). Merekam permintaan autentikasi dan akuntansi pengguna dalam database SQL Server yang mematuhi XML memungkinkan beberapa NPS memiliki satu sumber data.
Langkah-langkah utama
Selama perencanaan akuntansi NPS dengan menggunakan pengelogan NPS SQL Server, Anda dapat menggunakan langkah-langkah berikut.
Tentukan apakah Anda atau anggota lain organisasi Anda memiliki pengalaman pengembangan database relasional SQL Server 2000 atau SQL Server 2005 dan Anda memahami cara menggunakan produk ini untuk membuat, memodifikasi, mengelola, dan mengelola database SQL Server.
Tentukan apakah SQL Server diinstal pada NPS atau di komputer jarak jauh.
Desain prosedur tersimpan yang akan Anda gunakan dalam database SQL Server Anda untuk memproses file XML masuk yang berisi data akuntansi NPS.
Desain struktur dan alur replikasi database SQL Server.
Tentukan aplikasi atau aplikasi yang ingin Anda gunakan untuk melihat data akuntansi dan menghasilkan laporan.
Rencanakan untuk menggunakan server akses jaringan yang mengirim atribut Kelas di semua permintaan akuntansi. Atribut Kelas dikirim ke klien RADIUS dalam pesan Access-Accept, dan berguna untuk menghubungkan pesan Accounting-Request dengan sesi autentikasi. Jika atribut Kelas dikirim oleh server akses jaringan dalam pesan permintaan akuntansi, atribut dapat digunakan untuk mencocokkan catatan akuntansi dan autentikasi. Kombinasi atribut Unique-Serial-Number, Service-Reboot-Time, dan Server-Address harus menjadi identifikasi unik untuk setiap autentikasi yang diterima server.
Rencanakan untuk menggunakan server akses jaringan yang mendukung akuntansi sementara.
Rencanakan untuk menggunakan server akses jaringan yang mengirim pesan Accounting-on dan Accounting-off.
Rencanakan untuk menggunakan server akses jaringan yang mendukung penyimpanan dan penerusan data akuntansi. Server akses jaringan yang mendukung fitur ini dapat menyimpan data akuntansi ketika server akses jaringan tidak dapat berkomunikasi dengan NPS. Ketika NPS tersedia, server akses jaringan meneruskan rekaman yang disimpan ke NPS, memberikan peningkatan keandalan dalam akuntansi melalui server akses jaringan yang tidak menyediakan fitur ini.
Rencanakan untuk selalu mengonfigurasi atribut Acct-Interim-Interval dalam kebijakan jaringan. Atribut Acct-Interim-Interval mengatur interval (dalam detik) antara setiap pembaruan sementara yang dikirim server akses jaringan. Menurut RFC 2869, nilai atribut Acct-Interim-Interval tidak boleh lebih kecil dari 60 detik (1 menit), dan tidak boleh lebih kecil dari 600 detik (10 menit), yang berarti bahwa nilai lebih dari 600 detik mengurangi frekuensi pembaruan yang diterima oleh server RADIUS. Untuk informasi selengkapnya, lihat RFC 2869.
Pastikan bahwa pengelogan status berkala diaktifkan pada NPS Anda.