Planowanie i implementowanie serwera NPS
Serwer NPS wykonuje scentralizowane uwierzytelnianie połączenia, autoryzację i rozliczanie dla sieci bezprzewodowych, serwerów Bramy Usług Pulpitu Zdalnego, przełączników z funkcją uwierzytelniania, sieci VPN i połączeń telefonicznych. Jednak firma Contoso musi najpierw skonfigurować zasady sieciowe używane przez serwer NPS do autoryzowania żądań połączeń, a mogą również zdecydować się na skonfigurowanie rachunkowości RADIUS, aby serwer NPS rejestrował informacje o rachunkowości na lokalnym dysku twardym lub w bazie danych programu Microsoft SQL Server.
Wybieranie metody uwierzytelniania serwera NPS
Serwer NPS uwierzytelnia i autoryzuje żądanie połączenia, zanim zezwoli lub odmówi dostępu, gdy użytkownicy próbują się połączyć z siecią za pośrednictwem serwerów dostępu do sieci. Podczas wdrażania serwera NPS można określić wymagany typ metody uwierzytelniania na potrzeby dostępu do sieci.
Następujące metody uwierzytelniania są obsługiwane przez serwer NPS:
- PAP
- Shiva Password Authentication Protocol (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP w wersji 2
- Protokół EAP
Wskazówka
W przypadku wybrania protokołu EAP jako metody uwierzytelniania negocjacje typu protokołu EAP występują między klientem dostępu a serwerem NPS.
Ostrzeżenie
Nie używaj PAP, SPAP, CHAP lub MS-CHAP w środowisku produkcyjnym, ponieważ są one uważane za wysoce niebezpieczne.
Ewidencjonowanie aktywności serwera NPS
Należy również rozważyć sposób konfigurowania rejestrowania dla serwera NPS. Możesz rejestrować żądania uwierzytelniania użytkowników i żądania księgowości w celu rejestrowania plików w formacie tekstowym lub w formacie bazy danych albo logować się do procedury składowanej w bazie danych programu Microsoft SQL Server. Rejestrowanie żądań należy używać głównie do analizy połączeń i rozliczeń oraz jako narzędzia do badania zabezpieczeń, ponieważ umożliwia identyfikowanie działania hakera.
Konfigurowanie polityk w NPS
NPS obsługuje polityki żądań połączeń i polityki sieciowe. Zostały one opisane w poniższej tabeli.
| Typ | Opis |
|---|---|
| Zasady żądań połączeń | Zasady żądań połączeń umożliwiają wybranie, czy lokalny serwer NPS przetwarza żądania połączeń, czy przekazuje je do innego serwera RADIUS na potrzeby przetwarzania |
| Zasady sieciowe | Zasady sieciowe umożliwiają wyznaczenie użytkowników autoryzowanych do łączenia się z siecią oraz okoliczności, w których mogą lub nie mogą się łączyć. |
Ustanawianie zasad sieciowych
Zasady sieciowe to zestaw warunków, ograniczeń i ustawień, które umożliwiają wyznaczenie, kto będzie autoryzowany do łączenia się z siecią, oraz okoliczności, w których mogą lub nie mogą się łączyć. Każda zasada sieciowa ma cztery kategorie właściwości.
| Majątek | Opis |
|---|---|
| Przegląd | Właściwości przeglądu umożliwiają określenie, czy zasady są włączone, czy zasady udzielają dostępu, czy odmawiają dostępu, oraz czy żądania połączeń wymagają określonej metody połączenia sieciowego lub typu serwera dostępu sieciowego. Właściwości ogólne umożliwiają również określenie, czy ignorować właściwości wybierania numerów kont użytkowników w usługach AD DS. Jeśli wybierzesz tę opcję, NPS używa tylko ustawień polityki sieciowej do określenia, czy autoryzować połączenie. |
| Warunki | Te właściwości pozwalają na określenie warunków, które żądanie połączenia musi spełniać, aby pasować do zasad sieci. Jeśli warunki skonfigurowane w zasadach są zgodne z żądaniem połączenia, serwer NPS stosuje ustawienia zasad sieciowych do połączenia. Jeśli na przykład określisz adres IPv4 serwera dostępu do sieci (adres IPv4 NAS) jako warunek zasad sieciowych, a serwer NPS odbiera żądanie połączenia od serwera NAS, który ma określony adres IP, warunek określony w zasadach jest zgodny z żądaniem połączenia. |
| Ograniczenia | Ograniczenia są dodatkowymi parametrami zasad sieciowych, które są wymagane do dopasowania żądania połączenia. Jeśli żądanie połączenia nie jest zgodne z ograniczeniem, serwer NPS automatycznie odrzuca żądanie. W przeciwieństwie do odpowiedzi serwera NPS na niezgodne warunki w sieci, jeśli ograniczenie nie jest zgodne, serwer NPS nie ocenia dodatkowych zasad sieciowych i odrzuca żądanie połączenia. |
| Ustawienia | Właściwości ustawień umożliwiają określenie ustawień, które serwer NPS zastosuje do żądania połączenia, pod warunkiem że wszystkie warunki zasad sieci są spełnione i żądanie jest akceptowane. |
Ważne
Podczas pierwszego wdrażania roli serwera NPS dwa domyślne zasady sieciowe odmawiają dostępu zdalnego do wszystkich prób połączenia. Następnie można skonfigurować dodatkowe zasady sieciowe, aby zarządzać próbami połączenia.
Gdy serwer NPS autoryzuje żądanie połączenia, porównuje żądanie z poszczególnymi zasadami sieciowymi na uporządkowanej liście zasad, począwszy od pierwszych zasad i przechodząc do następnego elementu na liście. Jeśli serwer NPS znajdzie zasadę, w której warunki są zgodne z żądaniem połączenia, serwer NPS używa pasującej zasady i właściwości dostępu konta użytkownika w celu autoryzowania żądania. Jeśli skonfigurujesz właściwości wybierania numerów dla konta użytkownika w celu udzielenia lub kontrolowania dostępu za pośrednictwem zasad sieciowych, a żądanie połączenia jest autoryzowane, serwer NPS stosuje ustawienia skonfigurowane w zasadach sieciowych do połączenia:
- Jeśli serwer NPS nie znajdzie zasad sieciowych pasujących do żądania połączenia, serwer NPS odrzuca połączenie.
- Jeśli właściwości konta użytkownika są ustawione na odmawianie dostępu, serwer NPS i tak odrzuca żądanie połączenia.
Jest to podsumowane na następującym diagramie.
