Использование NPS для создания и применения политик доступа к сети
Для упрощенного управления пользователями удаленного доступа такие организации, как Contoso, развертывают и настраивают роль сервера NPS. NPS позволяет компании Contoso создавать и применять политики доступа к сети на уровне организации для проверки подлинности и авторизации запросов на подключение. Они могут использовать NPS для реализации проверки подлинности, авторизации и учета доступа к сети с помощью любого сочетания следующих функций:
- сервер RADIUS;
- RADIUS-прокси
- Учет RADIUS
СЕРВЕР RADIUS
RADIUS — это стандартный протокол проверки подлинности, используемый поставщиками для поддержки обмена данными проверки подлинности между элементами решения для удаленного доступа. Сервер политики сети (NPS) является реализацией RADIUS-сервера от Майкрософт. NPS позволяет использовать разнородный набор беспроводных устройств, коммутаторов, оборудования для удаленного доступа или VPN. NPS можно использовать со службой маршрутизации и удаленного доступа, которая доступна в операционной системе Windows Server. Кроме того, NPS можно использовать с ролью удаленного доступа в Windows Server.
NPS выполняет централизованную проверку подлинности подключений, авторизацию и учет для беспроводных сетей, серверов шлюза удаленных рабочих столов, коммутаторов с проверкой подлинности, подключений удаленного доступа и VPN-подключений. Если NPS используется в качестве RADIUS-сервера, вы настраиваете серверы доступа к сети (NAS), например точки беспроводного доступа и VPN-серверы, также известные как RADIUS-клиенты в NPS.
Кроме того, можно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server.
Важно!
Вы не можете установить NPS в выпусках Server Core Windows Server.
Если NPS-сервер является членом домена доменных служб Active Directory (AD DS), NPS использует AD DS в качестве базы данных учетных записей пользователей и предоставляет возможность единого входа (SSO). Это означает, что один и тот же набор учетных данных пользователя включает контроль доступа к сети, например проверку подлинности и авторизацию доступа к сети, а также доступ к ресурсам в домене AD DS.
Организации, которые поддерживают сетевой доступ, например поставщики интернет-услуг, должны управлять множеством методов доступа к сети из одной точки администрирования, независимо от типа используемого оборудования для доступа к сети. Это требование поддерживается стандартом RADIUS. RADIUS — это протокол клиент-сервер, который позволяет оборудованию для сетевого доступа, при использовании в качестве RADIUS-клиентов, отправлять запросы проверки подлинности и учета на RADIUS-сервер.
RADIUS-сервер имеет доступ к сведениям об учетной записи пользователя и может проверять учетные данные проверки подлинности для доступа к сети. Если учетные данные пользователя подлинны и RADIUS авторизует попытку подключения, RADIUS-сервер авторизует доступ пользователя на основе настроенных условий и записывает подключение к сети в журнал учета. С помощью RADIUS можно получать и поддерживать данные о проверке подлинности пользователей, авторизации и учете в централизованном расположении, а не на каждом сервере доступа.
Прокси-сервер RADIUS
Если NPS используется в качестве RADIUS-прокси, настраиваются политики запросов на подключение, которые указывают, какие запросы на подключение NPS-сервер должен переадресовывать на другие RADIUS-серверы и на какие RADIUS-серверы требуется переадресовывать запросы на подключение. На NPS-сервере можно также настроить переадресацию данных учета для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов. При использовании NPS ваша организация может также привлечь поставщиков услуг для обслуживания инфраструктуры удаленного доступа, при этом сохраняя контроль над проверкой подлинности, авторизацией и учетом пользователей. Конфигурации NPS можно создавать для следующих решений:
- VPN-серверы.
- Точки беспроводного доступа.
- Серверы шлюза удаленных рабочих столов.
- Подключение VPN через внешних поставщиков, коммутируемый доступ или беспроводной доступ.
- Доступ к Интернету.
- Доступ с проверкой подлинности к ресурсам внешней сети для бизнес-партнеров.
Учет RADIUS
Вы можете настроить NPS для выполнения учета RADIUS для запросов проверки подлинности пользователей, сообщений о разрешении доступа, сообщений об отклонении доступа, запросов и ответов учета, а также периодического обновления состояния. NPS позволяет выполнять вход в базу данных Microsoft SQL Server в дополнение к локальному файлу или вместо него.