Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u NETWORK Policy Server (NPS) implementeert als een RADIUS-server (Remote Authentication Dial-In User Service), voert NPS verificatie, autorisatie en boekhouding uit voor verbindingsaanvragen voor het lokale domein en voor domeinen die het lokale domein vertrouwen. U kunt deze planningsrichtlijnen gebruiken om uw RADIUS-implementatie te vereenvoudigen.
Deze planningsrichtlijnen bevatten geen omstandigheden waarin u NPS wilt implementeren als een RADIUS-proxy. Wanneer u NPS implementeert als een RADIUS-proxy, stuurt NPS verbindingsaanvragen door naar een server met NPS of andere RADIUS-servers in externe domeinen, niet-vertrouwde domeinen of beide.
Voordat u NPS implementeert als een RADIUS-server in uw netwerk, gebruikt u de volgende richtlijnen om uw implementatie te plannen.
NPS-configuratie plannen.
RADIUS-clients plannen.
Plan het gebruik van verificatiemethoden.
Netwerkbeleid plannen.
PLAN NPS accounting.
NPS-configuratie plannen
U moet beslissen in welk domein de NPS lid is. Voor omgevingen met meerdere domeinen kan een NPS referenties verifiëren voor gebruikersaccounts in het domein waarvan het lid is en voor alle domeinen die het lokale domein van de NPS vertrouwen. Als u wilt dat de NPS de inbel-eigenschappen van gebruikersaccounts kan lezen tijdens het autorisatieproces, moet u het computeraccount van de NPS toevoegen aan de RAS- en NPS-groep voor elk domein.
Nadat u het domeinlidmaatschap van de NPS hebt vastgesteld, moet de server worden geconfigureerd om te communiceren met RADIUS-clients, ook wel netwerktoegangsservers genoemd, met behulp van het RADIUS-protocol. Daarnaast kunt u de typen gebeurtenissen configureren die NPS-records in het gebeurtenislogboek bevatten en kunt u een beschrijving voor de server invoeren.
Belangrijke stappen
Tijdens de planning voor NPS-configuratie kunt u de volgende stappen uitvoeren.
Bepaal de RADIUS-poorten die de NPS gebruikt voor het ontvangen van RADIUS-berichten van RADIUS-clients. De standaardpoorten zijn UDP-poorten 1812 en 1645 voor RADIUS-verificatieberichten en -poorten 1813 en 1646 voor RADIUS-accountingberichten.
Als de NPS is geconfigureerd met meerdere netwerkadapters, bepaalt u de adapters waarvoor RADIUS-verkeer moet worden toegestaan.
Bepaal de typen gebeurtenissen die npS moet opnemen in het gebeurtenislogboek. U kunt geweigerde verificatieaanvragen, geslaagde verificatieaanvragen of beide typen aanvragen registreren.
Bepaal of u meer dan één NPS implementeert. Gebruik ten minste twee NPS's om fouttolerantie te bieden voor verificatie op basis van RADIUS en boekhouding. Eén NPS wordt gebruikt als de primaire RADIUS-server en de andere wordt gebruikt als back-up. Elke RADIUS-client wordt vervolgens geconfigureerd op beide NPS's. Als de primaire NPS niet beschikbaar is, verzenden RADIUS-clients Access-Request berichten naar de alternatieve NPS.
Plan het script dat wordt gebruikt voor het kopiëren van een NPS-configuratie naar andere NPS's om te besparen op administratieve overhead en om te voorkomen dat een server onjuist is geconfigureerd. NPS biedt de
Netshopdrachten waarmee u alle of een deel van een NPS-configuratie voor importeren naar een andere NPS kunt kopiëren. U kunt de opdrachten handmatig uitvoeren bij deNetshprompt. Als u de opdrachtreeks echter opslaat als een script, kunt u het script op een later tijdstip uitvoeren als u besluit uw serverconfiguraties te wijzigen.
RADIUS-clients plannen
RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, VPN-servers (Virtual Private Network), 802.1X-compatibele switches en inbelservers. RADIUS-proxy's, die verbindingsaanvraagberichten doorsturen naar RADIUS-servers, zijn ook RADIUS-clients. NPS ondersteunt alle netwerktoegangsservers en RADIUS-proxy's die voldoen aan het RADIUS-protocol, zoals beschreven in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS) en RFC 2866, "RADIUS Accounting.".
Important
Access-clients, zoals clientcomputers, zijn geen RADIUS-clients. Alleen servers voor netwerktoegang en proxyservers die het RADIUS-protocol ondersteunen, zijn RADIUS-clients.
Bovendien moeten zowel draadloze toegangspunten als switches geschikt zijn voor 802.1X-verificatie. Als u EAP (Extensible Authentication Protocol) of Protected Extensible Authentication Protocol (PEAP) wilt implementeren, moeten toegangspunten en switches het gebruik van EAP ondersteunen.
Als u de basisinteroperabiliteit voor PPS-verbindingen voor draadloze toegangspunten wilt testen, configureert u het toegangspunt en de toegangsclient voor het gebruik van Het Protocol voor wachtwoordverificatie (PAP). Gebruik aanvullende op PPS gebaseerde verificatieprotocollen, zoals PEAP, totdat u de protocollen hebt getest die u wilt gebruiken voor netwerktoegang.
Belangrijke stappen
Tijdens de planning voor RADIUS-clients kunt u de volgende stappen uitvoeren.
Documenteer de leverancierspecifieke kenmerken (VSA's) die u moet configureren in NPS. Als voor uw netwerktoegangsservers VSA's zijn vereist, moet u de VSA-gegevens registreren voor later gebruik wanneer u uw netwerkbeleid configureert in NPS.
Documenteer de IP-adressen van RADIUS-clients en uw NPS om de configuratie van alle apparaten te vereenvoudigen. Wanneer u uw RADIUS-clients implementeert, moet u deze configureren voor het gebruik van het RADIUS-protocol, waarbij het NPS-IP-adres is ingevoerd als de verificatieserver. En wanneer u NPS configureert om te communiceren met uw RADIUS-clients, moet u de IP-adressen van de RADIUS-client invoeren in de NPS-module.
Maak gedeelde geheimen voor configuratie op de RADIUS-clients en in de NPS-module. U moet RADIUS-clients configureren met een gedeeld geheim of wachtwoord dat u ook in de NPS-module invoert bij het configureren van RADIUS-clients in NPS.
Het gebruik van verificatiemethoden plannen
NPS ondersteunt verificatiemethoden op basis van wachtwoorden en certificaten. Niet alle netwerktoegangsservers ondersteunen echter dezelfde verificatiemethoden. In sommige gevallen wilt u mogelijk een andere verificatiemethode implementeren op basis van het type netwerktoegang.
U wilt bijvoorbeeld zowel draadloze als VPN-toegang voor uw organisatie implementeren, maar een andere verificatiemethode gebruiken voor elk type toegang: EAP-TLS voor VPN-verbindingen, vanwege de sterke beveiliging die EAP biedt met Transport Layer Security (EAP-TLS) en PEAP-MS-CHAP v2 voor draadloze 802.1X-verbindingen.
PEAP met Microsoft Challenge Handshake Authentication Protocol versie 2 (PEAP-MS-CHAP v2) biedt een functie met de naam Snel opnieuw verbinding maken die is ontworpen voor gebruik met draagbare computers en andere draadloze apparaten. Met snel opnieuw verbinden kunnen draadloze clients schakelen tussen draadloze toegangspunten in hetzelfde netwerk zonder dat ze telkens opnieuw worden geverifieerd wanneer ze aan een nieuw toegangspunt worden gekoppeld. Dit biedt een betere ervaring voor draadloze gebruikers en stelt hen in staat om tussen toegangspunten te schakelen zonder hun referenties opnieuw te hoeven invoeren. Vanwege snelle opnieuw verbinding maken en de beveiliging die PEAP-MS-CHAP v2 biedt, is PEAP-MS-CHAP v2 een logische keuze als verificatiemethode voor draadloze verbindingen.
Voor VPN-verbindingen is EAP-TLS een verificatiemethode op basis van certificaten die een sterke beveiliging biedt waarmee netwerkverkeer wordt beschermd, zelfs wanneer het wordt verzonden via internet van thuis- of mobiele computers naar de VPN-servers van uw organisatie.
Verificatiemethoden op basis van certificaten
Verificatiemethoden op basis van certificaten hebben het voordeel van een sterke beveiliging; en ze hebben het nadeel dat het moeilijker is om te implementeren dan verificatiemethoden op basis van wachtwoorden.
Zowel PEAP-MS-CHAP v2 als EAP-TLS zijn verificatiemethoden op basis van certificaten, maar er zijn veel verschillen tussen deze methoden en de manier waarop ze worden geïmplementeerd.
EAP-TLS
EAP-TLS gebruikt certificaten voor zowel client- als serververificatie en vereist dat u een PKI (Public Key Infrastructure) in uw organisatie implementeert. Het implementeren van een PKI kan complex zijn en vereist een planningsfase die onafhankelijk is van de planning voor het gebruik van NPS als EEN RADIUS-server.
Met EAP-TLS registreert NPS een servercertificaat bij een certificeringsinstantie (CA) en wordt het certificaat opgeslagen op de lokale computer in het certificaatarchief. Tijdens het verificatieproces vindt serververificatie plaats wanneer de NPS het servercertificaat naar de toegangsclient verzendt om de identiteit van de client te bewijzen. De toegangsclient onderzoekt verschillende certificaateigenschappen om te bepalen of het certificaat geldig is en geschikt is voor gebruik tijdens serververificatie. Als het servercertificaat voldoet aan de minimale vereisten voor servercertificaten en wordt uitgegeven door een CA die de toegangsclient vertrouwt, wordt de NPS geverifieerd door de client.
Clientverificatie vindt ook plaats tijdens het verificatieproces wanneer de client het clientcertificaat naar de NPS verzendt om de identiteit aan de NPS te bewijzen. De NPS onderzoekt het certificaat en als het clientcertificaat voldoet aan de minimale clientcertificaatvereisten en wordt uitgegeven door een CA die de NPS vertrouwt, wordt de toegangsclient geverifieerd door de NPS.
Hoewel het is vereist dat het servercertificaat wordt opgeslagen in het certificaatarchief op de NPS, kan het client- of gebruikerscertificaat worden opgeslagen in het certificaatarchief op de client of op een smartcard.
Om dit authenticatieproces te voltooien, is vereist dat alle computers het CA-certificaat van uw organisatie hebben in de certificaatarchief van de vertrouwde hoofdcertificeringsautoriteiten voor de lokale computer en de huidige gebruiker.
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 gebruikt een certificaat voor serververificatie en referenties op basis van wachtwoorden voor gebruikersverificatie. Omdat certificaten alleen worden gebruikt voor serververificatie, hoeft u geen PKI te implementeren om PEAP-MS-CHAP v2 te kunnen gebruiken. Wanneer u PEAP-MS-CHAP v2 implementeert, kunt u op een van de volgende twee manieren een servercertificaat voor de NPS verkrijgen:
U kunt Active Directory Certificate Services (AD CS) installeren en certificaten vervolgens automatisch inschrijven bij NPSs. Als u deze methode gebruikt, moet u ook het CA-certificaat registreren bij clientcomputers die verbinding maken met uw netwerk, zodat ze het certificaat vertrouwen dat is uitgegeven aan de NPS.
U kunt een servercertificaat kopen bij een openbare CA, zoals VeriSign. Als u deze methode gebruikt, moet u ervoor zorgen dat u een CA selecteert die al wordt vertrouwd door clientcomputers. Als u wilt bepalen of clientcomputers een CA vertrouwen, opent u de MMC-module (Certificates Microsoft Management Console) op een clientcomputer en bekijkt u vervolgens het archief vertrouwde basiscertificeringsinstanties voor de lokale computer en voor de huidige gebruiker. Als er een certificaat van de CA in deze certificaatarchieven is, vertrouwt de clientcomputer de CA en vertrouwt hij daarom elk certificaat dat is uitgegeven door de CA.
Tijdens het verificatieproces met PEAP-MS-CHAP v2 vindt serververificatie plaats wanneer het NPS het servercertificaat naar de clientcomputer verzendt. De toegangsclient onderzoekt verschillende certificaateigenschappen om te bepalen of het certificaat geldig is en geschikt is voor gebruik tijdens serververificatie. Als het servercertificaat voldoet aan de minimale vereisten voor servercertificaten en wordt uitgegeven door een CA die de toegangsclient vertrouwt, wordt de NPS geverifieerd door de client.
Gebruikersverificatie vindt plaats wanneer een gebruiker probeert verbinding te maken met het netwerk door wachtwoordgebaseerde referenties in te typen en probeert in te loggen. NPS ontvangt de referenties en voert verificatie en autorisatie uit. Als de gebruiker is geverifieerd en geautoriseerd en als de clientcomputer de NPS heeft geverifieerd, wordt de verbindingsaanvraag verleend.
Belangrijke stappen
Tijdens de planning voor het gebruik van verificatiemethoden kunt u de volgende stappen uitvoeren.
Identificeer de typen netwerktoegang die u wilt bieden, zoals draadloos, VPN, 802.1X-compatibele switch en inbeltoegang.
Bepaal de verificatiemethode of -methoden die u wilt gebruiken voor elk type toegang. Het wordt aanbevolen om de verificatiemethoden op basis van certificaten te gebruiken die een sterke beveiliging bieden; Het is echter mogelijk niet praktisch om een PKI te implementeren, dus andere verificatiemethoden bieden mogelijk een beter evenwicht tussen wat u nodig hebt voor uw netwerk.
Als u EAP-TLS implementeert, moet u uw PKI-implementatie plannen. Dit omvat het plannen van de certificaatsjablonen die u gaat gebruiken voor servercertificaten en clientcomputercertificaten. Het omvat ook het bepalen hoe certificaten moeten worden ingeschreven voor computers die lid zijn van een domein en niet van het domein en bepalen of u smartcards wilt gebruiken.
Als u PEAP-MS-CHAP v2 implementeert, moet u bepalen of u AD CS wilt installeren om servercertificaten uit te geven aan uw NPS's of dat u servercertificaten wilt aanschaffen bij een openbare CA, zoals VeriSign.
Netwerkbeleid plannen
Netwerkbeleid wordt door NPS gebruikt om te bepalen of verbindingsaanvragen die zijn ontvangen van RADIUS-clients zijn geautoriseerd. NPS maakt ook gebruik van de inbelfuncties van het gebruikersaccount om een autorisatiebeslissing te bepalen.
Omdat netwerkbeleidsregels worden verwerkt in de volgorde waarin ze worden weergegeven in de NPS-module, wilt u uw meest beperkende beleid eerst in de lijst met beleidsregels plaatsen. Voor elke verbindingsaanvraag probeert NPS de voorwaarden van het beleid te koppelen aan de eigenschappen van de verbindingsaanvraag. NPS onderzoekt elk netwerkbeleid op volgorde totdat er een overeenkomst wordt gevonden. Als er geen overeenkomst wordt gevonden, wordt de verbindingsaanvraag geweigerd.
Belangrijke stappen
Tijdens de planning voor netwerkbeleid kunt u de volgende stappen uitvoeren.
Bepaal de voorkeursvolgorde van NPS-verwerkingsvolgorde van netwerkbeleid, van meest beperkend tot minst beperkend.
Bepaal de beleidsstatus. De beleidsstatus kan de waarde van ingeschakeld of uitgeschakeld hebben. Als het beleid is ingeschakeld, evalueert NPS het beleid tijdens het uitvoeren van autorisatie. Als het beleid niet is ingeschakeld, wordt het niet geëvalueerd.
Bepaal het beleidstype. U moet bepalen of het beleid is ontworpen om toegang te verlenen wanneer de voorwaarden van het beleid overeenkomen met de verbindingsaanvraag of dat het beleid is ontworpen om toegang te weigeren wanneer de voorwaarden van het beleid overeenkomen met de verbindingsaanvraag. Als u bijvoorbeeld expliciet draadloze toegang wilt weigeren aan de leden van een Windows-groep, kunt u een netwerkbeleid maken dat de groep specificeert, de methode voor draadloze verbindingen aangeeft, en dat een beleidstype-instelling heeft van Toegang weigeren.
Bepaal of u wilt dat NPS de inbeleigenschappen van gebruikersaccounts negeert die lid zijn van de groep waarop het beleid is gebaseerd. Wanneer deze instelling niet is ingeschakeld, overschrijven de inbeleigenschappen van gebruikersaccounts instellingen die zijn geconfigureerd in netwerkbeleid. Als bijvoorbeeld een netwerkbeleid is geconfigureerd dat toegang verleent aan een gebruiker, maar de inbeleigenschappen van het gebruikersaccount voor die gebruiker zijn ingesteld om toegang te weigeren, wordt de gebruiker de toegang geweigerd. Maar als u de beleidstypeinstelling Inbeleigenschappen voor gebruikersaccounts negeren inschakelt, krijgt dezelfde gebruiker toegang tot het netwerk.
Bepaal of het beleid gebruikmaakt van de beleidsbroninstelling. Met deze instelling kunt u eenvoudig een bron opgeven voor alle toegangsaanvragen. Mogelijke bronnen zijn een Terminal Services-gateway (TS Gateway), een RAS-server (VPN of inbelverbinding), een DHCP-server, een draadloos toegangspunt en een Health Registration Authority-server. U kunt ook een leverancierspecifieke bron opgeven.
Bepaal de voorwaarden waaraan moet worden voldaan om het netwerkbeleid toe te passen.
Bepaal de instellingen die worden toegepast als de voorwaarden van het netwerkbeleid overeenkomen met de verbindingsaanvraag.
Bepaal of u het standaardnetwerkbeleid wilt gebruiken, wijzigen of verwijderen.
NPS-boekhouding plannen
NPS biedt de mogelijkheid om RADIUS-accountinggegevens, zoals gebruikersverificatie en accountingaanvragen, in drie indelingen te registreren: IAS-indeling, database-compatibele indeling en Microsoft SQL Server-logboekregistratie.
IAS-indeling en databasecompatibele indeling creëren logbestanden op de lokale NPS in tekstformaat.
SQL Server-logboekregistratie biedt de mogelijkheid om u aan te melden bij een SQL Server 2000- of SQL Server 2005 XML-compatibele database, waardoor RADIUS-accounting wordt uitgebreid om gebruik te maken van de voordelen van logboekregistratie naar een relationele database.
Belangrijke stappen
Tijdens de planning voor NPS accounting kunt u de volgende stappen uitvoeren.
- Bepaal of u NPS-boekhoudgegevens wilt opslaan in logboekbestanden of in een SQL Server-database.
NPS-boekhouding met behulp van lokale logboekbestanden
Het vastleggen van gebruikersverificatie- en accountingaanvragen in logboekbestanden wordt voornamelijk gebruikt voor verbindingsanalyse en factureringsdoeleinden, en is ook nuttig als hulpprogramma voor beveiligingsonderzoek, zodat u een methode krijgt voor het bijhouden van de activiteit van een kwaadwillende gebruiker na een aanval.
Belangrijke stappen
Tijdens de planning voor NPS-boekhouding met behulp van lokale logboekbestanden kunt u de volgende stappen uitvoeren.
Bepaal de tekstbestandsindeling die u wilt gebruiken voor uw NPS-logboekbestanden.
Kies het type gegevens dat u wilt registreren. U kunt boekhoudaanvragen, verificatieaanvragen en periodieke status registreren.
Bepaal de locatie van de harde schijf waar u uw logboekbestanden wilt opslaan.
Ontwerp de back-upoplossing voor logboekbestanden. De harde schijflocatie waar u uw logboekbestanden opslaat, moet een locatie zijn waarmee u eenvoudig een back-up van uw gegevens kunt maken. Bovendien moet de locatie van de harde schijf worden beveiligd door de toegangsbeheerlijst (ACL) te configureren voor de map waarin de logboekbestanden worden opgeslagen.
Bepaal de frequentie waarmee u nieuwe logboekbestanden wilt maken. Als u wilt dat logboekbestanden worden gemaakt op basis van de bestandsgrootte, bepaalt u de maximale bestandsgrootte die is toegestaan voordat een nieuw logboekbestand wordt gemaakt door NPS.
Bepaal of NPS oudere logboekbestanden moet verwijderen als de harde schijf onvoldoende opslagruimte heeft.
Bepaal de toepassing of toepassingen die u wilt gebruiken om boekhoudgegevens weer te geven en rapporten te produceren.
NPS SQL Server-logboekregistratie
NPS SQL Server-logboekregistratie wordt gebruikt wanneer u sessiestatusgegevens nodig hebt, voor het maken en analyseren van rapporten en om het beheer van uw boekhoudgegevens te centraliseren en te vereenvoudigen.
NPS biedt de mogelijkheid om SQL Server-logboekregistratie te gebruiken om gebruikersverificatie en accountingaanvragen vast te leggen die zijn ontvangen van een of meer netwerktoegangsservers naar een gegevensbron op een computer waarop de Microsoft SQL Server Desktop Engine (MSDE 2000) of een versie van SQL Server later dan SQL Server 2000 wordt uitgevoerd.
Accountinggegevens worden vanuit NPS in XML-indeling doorgegeven aan een opgeslagen procedure in de database, die ondersteuning biedt voor zowel SQL(Structured Query Language) als XML (SQLXML). Door gebruikersverificatie en accountingaanvragen op te nemen in een XML-compatibele SQL Server-database, kunnen meerdere NPS's één gegevensbron hebben.
Belangrijke stappen
Tijdens de planning voor NPS-boekhouding met behulp van NPS SQL Server-logboekregistratie kunt u de volgende stappen uitvoeren.
Bepaal of u of een ander lid van uw organisatie ervaring heeft met de ontwikkeling van relationele databases met SQL Server 2000 of SQL Server 2005, en of u begrijpt hoe u deze producten kunt gebruiken om SQL Server-databases te maken, te wijzigen, te beheren en te onderhouden.
Bepaal of SQL Server is geïnstalleerd op de NPS of op een externe computer.
Ontwerp de opgeslagen procedure die u in uw SQL Server-database gaat gebruiken om binnenkomende XML-bestanden te verwerken die NPS-accountinggegevens bevatten.
Ontwerp de replicatiestructuur en stroom van de SQL Server-database.
Bepaal de toepassing of toepassingen die u wilt gebruiken om boekhoudgegevens weer te geven en rapporten te produceren.
Plan het gebruik van netwerktoegangsservers die het kenmerk Klasse verzenden in alle boekhoudaanvragen. Het kenmerk Klasse wordt in een Access-Accept bericht naar de RADIUS-client verzonden en is handig voor het correleren van Accounting-Request berichten met verificatiesessies. Als het kenmerk klasse wordt verzonden door de netwerktoegangsserver in de accountingaanvraagberichten, kan het worden gebruikt om de accounting- en authenticatierecords te vinden. De combinatie van de kenmerken Unique-Serial-Number, Service-Reboot-Time en Server-Address moet een unieke identificatie zijn voor elke verificatie die de server accepteert.
Plan het gebruik van netwerktoegangsservers die tussentijdse boekhouding ondersteunen.
Plan om netwerktoegangsservers te gebruiken die accounting-on- en accounting-off-berichten verzenden.
Plan het gebruik van netwerktoegangsservers die ondersteuning bieden voor het opslaan en doorsturen van boekhoudgegevens. Netwerktoegangsservers die deze functie ondersteunen, kunnen boekhoudgegevens opslaan wanneer de netwerktoegangsserver niet kan communiceren met de NPS. Wanneer de NPS beschikbaar is, stuurt de netwerktoegangsserver de opgeslagen records door naar de NPS, wat een grotere betrouwbaarheid biedt in boekhouding via netwerktoegangsservers die deze functie niet bieden.
Plan altijd het kenmerk Acct-Interim-Interval in netwerkbeleid te configureren. Het kenmerk Acct-Interim-Interval stelt het interval (in seconden) in tussen elke tussentijdse update die de netwerktoegangsserver verzendt. Volgens RFC 2869 mag de waarde van het kenmerk Acct-Interim-Interval niet kleiner zijn dan 60 seconden (1 minuut) en mag deze niet kleiner zijn dan 600 seconden (10 minuten), wat betekent dat waarden van meer dan 600 seconden de frequentie van updates verminderen die door de RADIUS-server worden ontvangen. Zie RFC 2869voor meer informatie.
Zorg ervoor dat logboekregistratie van periodieke status is ingeschakeld voor uw NPS's.