Планирование и реализация NPS
NPS выполняет централизованную проверку подлинности подключений, авторизацию и учет для беспроводных сетей, серверов шлюза удаленных рабочих столов, коммутаторов с проверкой подлинности, подключений удаленного доступа и VPN-подключений. Но сначала компании Contoso нужно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server.
Выбор метода проверки подлинности NPS
NPS выполняет проверку подлинности и авторизует запрос на подключение, прежде чем разрешить или запретить доступ, когда пользователи пытаются подключиться к сети через NAS. При развертывании NPS можно указать необходимый метод проверки подлинности для доступа к сети.
NPS поддерживает следующие методы проверки подлинности:
- PAP
- Протокол SPAP
- CHAP
- MS-CHAP
- MS-CHAP версии 2
- EAP
Совет
При выборе EAP в качестве метода проверки подлинности согласование типа EAP происходит между клиентом доступа и NPS-сервером.
Внимание
Не следует использовать PAP, SPAP, CHAP или MS-CHAP в рабочей среде, так как они считаются очень небезопасными.
Учет NPS
Кроме того, необходимо подумать о том, как настроить ведение журнала для NPS. Можно вести журнал запросов проверки подлинности пользователей и запросов учета в файлах журнала в текстовом формате или в формате базы данных. Кроме того, вы можете записывать данные журнала в хранимую процедуру в базе данных Microsoft SQL Server. Используйте ведение журнала запросов для анализа подключений и выставления счетов, а также в качестве средства анализа безопасности, поскольку оно позволяет обнаруживать действия злоумышленников.
Настройка политик в NPS
NPS поддерживает политики запросов на подключение и политики сети. Они описаны в следующей таблице.
| Тип | Описание |
|---|---|
| Политика запросов на подключение | Политики запросов на подключение позволяют выбрать, будет ли локальный сервер NPS обрабатывать запросы на подключение сам или пересылать их на другой RADIUS-сервер для обработки. |
| Политика сети | Политики сети позволяют назначать пользователей, которым разрешено подключаться к сети, и обстоятельства, при которых они могут или не могут выполнить подключение. |
Установка политик сети
Политика сети — это набор условий, ограничений и параметров, позволяющих назначать пользователей, которым будет разрешено подключаться к сети, а также обстоятельства, при которых они могут или не могут выполнять подключение. Каждая политика сети имеет четыре категории свойств.
| Свойство | Description |
|---|---|
| Обзор | Общие свойства позволяют указать, включена ли политика, предназначена политика для предоставления или запрета доступа, а также требуется ли для запросов на подключение конкретный метод сетевого подключения или тип сервера доступа к сети. Общие свойства также позволяют указать, следует ли игнорировать свойства подключения учетных записей пользователей в AD DS. Если выбран этот параметр, NPS будет использовать только параметры политики сети, чтобы определить, следует ли авторизовать подключение. |
| Условия | Эти свойства позволяют указать условия, которым должен соответствовать запрос на подключение для соблюдения политики сети. Если условия, настроенные в политике, соответствуют запросу на подключение, NPS применяет параметры политики сети к подключению. Например, если указать IPv4-адрес сервера сетевого доступа (IPv4-адрес NAS) в качестве условия политики сети, а NPS получит запрос на подключение от NAS с указанным IP-адресом, условие в политике будет соответствовать запросу на подключение. |
| Ограничения | Ограничения — это дополнительные параметры сетевой политики, необходимые для сопоставления запроса на подключение. Если запрос на подключение не соответствует ограничению, NPS отклоняет запрос автоматически. В отличие от ответа NPS на несовпадающие условия в сети, если ограничение не соответствует, NPS не оценивает дополнительные политики сети и отклоняет запрос на подключение. |
| Настройки | Свойства параметров позволяют указать параметры, применяемые NPS к запросу на подключение, если все условия политики сети совпадают и запрос принят. |
Важно!
При первом развертывании роли NPS две политики сети по умолчанию запрещают удаленный доступ для всех попыток подключения. Затем можно настроить дополнительные политики сети для управления попытками подключения.
Когда NPS авторизует запрос на подключение, он сравнивает запрос с каждой политикой сети в упорядоченном списке политик, начиная с первой политики и далее. Если NPS находит политику, в которой условия соответствуют запросу на подключение, он использует политику сопоставления и свойства подключения учетной записи пользователя для авторизации запроса. Если вы настроили свойства подключения учетной записи пользователя для предоставления или контроля доступа через политику сети, а запрос на подключение авторизован, NPS применяет к подключению параметры, настроенные в политике сети:
- Если NPS не находит политику сети, соответствующую запросу на подключение, NPS отклоняет подключение.
- Если для свойств подключения учетной записи пользователя задан запрет доступа, NPS отклоняет запрос на подключение.
В общих чертах это показано на схеме ниже.
