Политики запросов на подключение

  • Статья
  • Чтение занимает 14 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

С помощью этого раздела вы узнаете, как использовать политики запросов на подключение NPS для настройки сервера политики сети в качестве сервер RADIUS, прокси-сервера RADIUS или и того, и другого.

Примечание

Помимо этого раздела, доступна следующая документация по политике запросов на подключение.

Политики запросов на подключение — это наборы условий и параметров, которые позволяют сетевым администраторам определять, какие серверы протокол RADIUS (RADIUS) выполняют проверку подлинности и авторизацию запросов на подключение, которые сервер, на котором работает сервер политики сети (NPS), получает от клиентов RADIUS. Политики запросов на подключение можно настроить так, чтобы указать, какие серверы RADIUS используются для учета RADIUS.

Можно создать политики запросов на подключение, чтобы некоторые сообщения запроса RADIUS, отправленные клиентами RADIUS, обрабатывались локально (NPS используется в качестве сервера RADIUS), а другие типы сообщений перенаправляются на другой сервер RADIUS (NPS используется в качестве прокси-сервера RADIUS).

С помощью политик запросов на подключение сервер политики сети можно использовать в качестве сервера RADIUS или прокси-сервера RADIUS в зависимости от следующих факторов.

  • Время суток и день недели
  • Имя области в запросе на подключение
  • Тип запрашиваемого соединения
  • IP-адрес RADIUS-клиента

RADIUS-Access-Request сообщения обрабатываются или пересылаются NPS только в том случае, если параметры входящего сообщения совпадают по крайней мере с одной из политик запросов на подключение, настроенных на сервере политики сети.

Если параметры политики совпадают и политика требует, чтобы сервер политики сети обрабатывал сообщение, сервер политики сети выступает в качестве сервера RADIUS, проверяют подлинность и авторизацию запроса на подключение. Если параметры политики совпадают и политика требует, чтобы сервер политики сети перенаправлял сообщение, сервер политики сети выступает в качестве прокси-сервера RADIUS и перенаправляет запрос на соединение на удаленный сервер RADIUS для обработки.

Если параметры входящего сообщения Access-Request RADIUS не совпадают по крайней мере с одной из политик запросов на подключение, клиенту RADIUS отправляется Access-Reject сообщение, а пользователю или компьютеру, пытающимся подключиться к сети, будет отказано в доступе.

Примеры конфигурации

В следующих примерах конфигурации показано, как можно использовать политики запросов на подключение.

Сервер политики сети в качестве RADIUS-сервера

Политика запросов на подключение по умолчанию — это единственная настроенная политика. В этом примере NPS настраивается в качестве сервера RADIUS, а все запросы на подключение обрабатываются локальным сервером политики сети. NPS может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене домена NPS и в доверенных доменах.

Сервер политики сети в качестве прокси-сервера RADIUS

Политика запросов на подключение по умолчанию удаляется, а для пересылки запросов в два разных домена создаются две новые политики запросов на подключение. В этом примере NPS настраивается в качестве прокси-сервера RADIUS. Сервер политики сети не обрабатывает запросы на подключение на локальном сервере. Вместо этого он перенаправляет запросы на подключение к серверу политики сети или другим серверам RADIUS, настроенным в качестве членов удаленных групп серверов RADIUS.

Сервер политики сети в качестве RADIUS-сервера и прокси-сервера RADIUS

В дополнение к политике запросов на подключение по умолчанию создается новая политика запросов на подключение, которая перенаправляет запросы на подключение к NPS или другому RADIUS-серверу в домене, не являющемся доверенным. В этом примере политика прокси-сервера отображается первой в упорядоченном списке политик. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется на сервер RADIUS в группе удаленных серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запросов на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из политик, он отбрасывается.

Сервер политики сети в качестве сервера RADIUS с удаленными серверами учета

В этом примере локальный сервер политики сети не настроен для выполнения учета, и изменена политика запросов на подключение по умолчанию, поэтому сообщения учета RADIUS перенаправляются на сервер политики сети или другой RADIUS в группе удаленных серверов RADIUS. Несмотря на то, что сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный сервер политики сети выполняет эти функции для локального домена и всех доверенных доменов.

сопоставление сервера политики сети с удаленным сервером RADIUS для Windows сопоставления пользователей

в этом примере сервер политики сети выступает в качестве сервера radius и прокси-сервера radius для каждого отдельного запроса на подключение, пересылая запрос проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. эта конфигурация реализуется путем настройки атрибута сопоставления пользователя для удаленного RADIUS-Windows в качестве условия политики запросов на подключение. (Кроме того, учетная запись пользователя должна быть создана локально, имя которой совпадает с именем удаленной учетной записи пользователя, для которой выполняется проверка подлинности на удаленном RADIUS-сервере.)

Условия политики запросов на подключение

Условия политики запросов на подключение — это один или несколько атрибутов RADIUS, которые сравниваются с атрибутами входящего сообщения Access-Request RADIUS. Если существует несколько условий, все условия в сообщении запроса на подключение и в политике запросов на подключение должны совпадать, чтобы политика была принудительно применена NPS.

Ниже приведены доступные атрибуты условия, которые можно настроить в политиках запросов на подключение.

Группа атрибутов свойств соединения

Группа атрибутов свойства соединения содержит следующие атрибуты.

  • Протокол Framed. Используется для обозначения типа кадрирования для входящих пакетов. Примерами могут быть протокол PPP (PPP), последовательный протокол Интернета (SLIP), Frame Relay и X. 25.
  • Тип службы. Используется для обозначения типа запрашиваемой службы. Примеры включают в себя фреймы (например, PPP-подключения) и имя входа (например, Telnet-подключения). Дополнительные сведения о типах служб RADIUS см. в статье RFC 2865, «удаленный вход в службу удаленной проверки подлинности (RADIUS)».
  • тип Tunnel. Используется для обозначения типа туннеля, создаваемого запрашивающим клиентом. Tunnel типы включают туннельный протокол "точка — точка" (PPTP) и туннельный протокол уровня 2 (L2TP).

Группа атрибутов "ограничения дня и времени"

Группа атрибутов "ограничения дня и времени" содержит атрибут "ограничения дня и времени". С помощью этого атрибута можно назначить день недели и время суток попытки подключения. День и время зависят от дня и времени NPS.

Группа атрибутов шлюза

Группа атрибутов шлюза содержит следующие атрибуты.

  • Идентификатор вызываемой станции. Используется для обозначения номера телефона сервера доступа к сети. Этот атрибут является символьной строкой. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.
  • Идентификатор NAS. Используется для обозначения имени сервера доступа к сети. Этот атрибут является символьной строкой. Для указания идентификаторов NAS можно использовать синтаксис сопоставления шаблонов.
  • IPv4-адрес NAS. Используется для обозначения адреса протокола IP версии 4 (IPv4) сервера доступа к сети (RADIUS-клиента). Этот атрибут является символьной строкой. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • IPv6-адрес NAS. Используется для обозначения IPv6-адреса сервера доступа к сети (RADIUS-клиента). Этот атрибут является символьной строкой. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • Тип порта NAS. Используется для обозначения типа носителя, используемого клиентом доступа. Примерами являются аналоговые телефонные линии (например, Async), Digital Networking Services (ISDN), туннели или виртуальные частные сети (VPN), беспроводная сеть IEEE 802,11 и коммутаторы Ethernet.

Группа атрибутов удостоверений компьютера

Группа атрибут удостоверения компьютера содержит атрибут удостоверения компьютера. С помощью этого атрибута можно указать метод, с помощью которого клиенты определяются в политике.

Группа атрибутов свойств клиента RADIUS

Группа атрибутов «свойства клиента RADIUS» содержит следующие атрибуты.

  • Идентификатор вызывающей станции. Используется для обозначения номера телефона, используемого вызывающим объектом (клиентом доступа). Этот атрибут является символьной строкой. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов. При проверке подлинности 802.1 x MAC-адрес обычно заполняется и может быть сопоставлен с клиентом. Это поле обычно используется для сценариев обхода MAC-адресов, если для политики запросов на подключение настроено значение "принять пользователей без проверки учетных данных".
  • Понятное имя клиента. Используется для обозначения имени клиентского компьютера RADIUS, запрашивающего проверку подлинности. Этот атрибут является символьной строкой. Для указания имен клиентов можно использовать синтаксис сопоставления шаблонов.
  • IPv4-адрес клиента. Используется для обозначения IPv4-адреса сервера доступа к сети (клиента RADIUS). Этот атрибут является символьной строкой. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • IPv6-адрес клиента. Используется для обозначения IPv6-адреса сервера доступа к сети (RADIUS-клиента). Этот атрибут является символьной строкой. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • Поставщик клиента. Используется для назначения поставщика сервера доступа к сети, запрашивающего проверку подлинности. Компьютер, на котором работает служба маршрутизации и удаленного доступа, является изготовителем Microsoft NAS. Этот атрибут можно использовать для настройки отдельных политик для разных изготовителей NAS. Этот атрибут является символьной строкой. Можно использовать синтаксис сопоставления шаблонов.

Группа атрибутов "имя пользователя"

Группа атрибутов «имя пользователя» содержит атрибут «имя пользователя». С помощью этого атрибута можно назначить имя пользователя или часть имени пользователя, которая должна совпадать с именем пользователя, предоставленным клиентом доступа в сообщении RADIUS. Этот атрибут представляет собой символьную строку, которая обычно содержит имя области и имя учетной записи пользователя. Для указания имен пользователей можно использовать синтаксис сопоставления шаблонов.

Параметры политики запросов на подключение

Параметры политики запросов на подключение — это набор свойств, которые применяются к входящему сообщению RADIUS. Параметры состоит из следующих групп свойств.

  • Проверка подлинности
  • Учет
  • Управление атрибутами
  • Пересылка запроса
  • Продвинутый уровень

Следующие разделы содержат дополнительные сведения об этих параметрах.

Проверка подлинности

С помощью этого параметра можно переопределить параметры проверки подлинности, настроенные во всех сетевых политиках, а также указать методы и типы проверки подлинности, необходимые для подключения к сети.

Важно!

При настройке метода проверки подлинности в политике запросов на подключение, которая менее безопасна, чем метод проверки подлинности, настроенный в политике сети, более безопасный метод проверки подлинности, настроенный в политике сети, переопределяется. Например, если имеется одна сетевая политика, требующая использования защищенной расширенной проверки подлинности Protocol-Microsoft протокол PEAP-MS-CHAP v2, который является методом проверки подлинности на основе пароля для защищенного беспроводного подключения, а также настройка политики запросов на подключение для разрешения доступа без проверки подлинности, в результате клиенты не должны проходить проверку подлинности с помощью PEAP-MS-CHAP v2 В этом примере всем клиентам, подключающимся к сети, предоставляется доступ без проверки подлинности.

Учет

С помощью этого параметра можно настроить политику запросов на подключение для пересылки сведений об учетных данных на NPS или другой сервер RADIUS в группе удаленных серверов RADIUS, чтобы группа удаленных серверов RADIUS выполняла учет.

Примечание

Если у вас несколько серверов RADIUS и требуется получить сведения об учетных данных для всех серверов, хранящихся в одной центральной базе данных учета RADIUS, можно использовать параметр учета политики запроса на подключение в политике на каждом сервере RADIUS, чтобы перенаправить данные учета со всех серверов на один сервер политики сети или другой, назначенный сервером учетных записей.

Параметры учета политики запросов на подключение работают независимо от конфигурации учета локального сервера политики сети. иными словами, если настроить локальный сервер политики сети для записи данных учета RADIUS в локальный файл или в Microsoft SQL Server базу данных, это будет сделано независимо от того, настроена ли политика запросов на подключение для пересылки сообщений учета в группу удаленных серверов RADIUS.

Если вы хотите, чтобы сведения об учетных данных были зарегистрированы удаленно, но не локально, необходимо настроить локальный сервер политики сети так, чтобы он не выполнял ведение учета, а также настроить учет в политике запросов на подключение для пересылки данных учета в группу удаленных серверов RADIUS.

Управление атрибутами

Можно настроить набор правил поиска и замены, которые управляют текстовыми строками одного из следующих атрибутов.

  • Имя пользователя
  • Идентификатор вызываемой станции
  • Идентификатор вызывающей станции

Обработка правил поиска и замены выполняется для одного из описанных выше атрибутов перед тем, как сообщения RADIUS подчиняются параметрам проверки подлинности и учета. Правила обработки атрибутов применяются только к одному атрибуту. Правила обработки атрибутов для каждого атрибута настраивать нельзя. Кроме того, список атрибутов, которыми можно управлять, — статический список; невозможно добавить в список атрибутов, доступных для манипуляции.

Примечание

Если используется протокол проверки подлинности MS-CHAP v2, вы не можете управлять атрибутом имени пользователя, если для пересылки сообщения RADIUS используется политика запросов на подключение. Единственное исключение возникает, когда используется символ обратной косой черты () и манипуляция влияет только на данные, налевыеся слева от него. Символ обратной косой черты обычно используется для обозначения доменного имени (слева от символа обратной косой черты) и имени учетной записи пользователя в домене (сведения, расположенные справа от символа обратной косой черты). В этом случае разрешены только правила обработки атрибутов, которые изменяют или заменяют доменное имя.

Примеры управления именем области в атрибуте имени пользователя см. в разделе "примеры по управлению именем области в атрибуте имени пользователя" статьи Использование регулярных выражений в NPS.

Пересылка запроса

Можно задать следующие параметры запроса на перенаправление, используемые для RADIUS-Access-Request сообщений:

  • Проверка подлинности запросов на этом сервере. с помощью этого параметра NPS использует домен Windows NT 4,0, Active Directory или локальную базу данных учетных записей безопасности (SAM) для проверки подлинности запроса на подключение. Этот параметр также указывает, что соответствующая сетевая политика, настроенная в NPS, а также свойства входящих звонков учетной записи пользователя, используются NPS для авторизации запроса на подключение. В этом случае сервер политики сети настроен для выполнения в качестве сервера RADIUS.

  • Перенаправлять запросы в следующую группу удаленных серверов RADIUS. С помощью этого параметра NPS перенаправляет запросы на подключение в указанную группу удаленных серверов RADIUS. Если сервер политики сети получает допустимое сообщение Access-Accept, соответствующее Access-Request сообщении, попытка подключения считается прошедшей проверку подлинности и авторизацию. В этом случае NPS выступает в качестве прокси-сервера RADIUS.

  • Принятие пользователей без проверки учетных данных. С помощью этого параметра NPS не проверяет подлинность пользователя, пытающегося подключиться к сети, а NPS не пытается проверить, имеет ли пользователь или компьютер право на подключение к сети. Если сервер политики сети настроен для разрешения доступа без проверки подлинности и получает запрос на подключение, сервер политики сети немедленно отправляет сообщение Access-Accept клиенту RADIUS, а пользователю или компьютеру предоставляется доступ к сети. Этот параметр используется для некоторых типов принудительного туннелирования, на которых клиент доступа будет туннелем до проверки подлинности учетных данных пользователя.

Примечание

Этот параметр проверки подлинности нельзя использовать, если клиент Access использует протокол проверки подлинности MS-CHAP v2 или расширенную проверку подлинности Protocol-Transport уровня безопасности (EAP-TLS), обе из которых обеспечивают взаимную проверку подлинности. При взаимной проверке подлинности клиент доступа подтверждает, что это допустимый клиент доступа к серверу проверки подлинности (NPS), и сервер проверки подлинности подтверждает, что он является действительным сервером проверки подлинности для клиента доступа. При использовании этого параметра проверки подлинности возвращается Access-Accept сообщение. Однако сервер проверки подлинности не обеспечивает проверку клиента доступа, и взаимная проверка подлинности завершается неудачно.

Примеры использования регулярных выражений для создания правил маршрутизации, которые пересылают сообщения RADIUS с указанным именем области в удаленную группу серверов RADIUS, см. в подразделе "пример сообщения RADIUS, пересылаемого прокси-сервером" статьи Использование регулярных выражений в NPS.

Продвинутый уровень

Вы можете задать дополнительные свойства, чтобы указать ряд атрибутов RADIUS, которые:

  • Добавляется в ответное сообщение RADIUS при использовании NPS в качестве сервера проверки подлинности или учета RADIUS. Если в политике сети и в политике запросов на подключение заданы атрибуты, то атрибуты, отправляемые в ответном сообщении RADIUS, являются сочетанием двух наборов атрибутов.
  • Добавляется в сообщение RADIUS при использовании NPS в качестве прокси-сервера проверки подлинности или учета RADIUS. Если атрибут уже существует в перенаправляемом сообщении, он заменяется значением атрибута, указанным в политике запросов на подключение.

кроме того, некоторые атрибуты, доступные для настройки на вкладке "запрос на подключение" Параметры вкладка " дополнительно ", предоставляют специализированные функциональные возможности. например, можно настроить атрибут сопоставления удаленного RADIUS-сервера Windows пользователя , если необходимо разделить проверку подлинности и авторизацию запроса на соединение между двумя базами данных учетных записей пользователей.

атрибут сопоставления удаленного radius-Windows пользователя указывает, что авторизация Windows выполняется для пользователей, прошедших проверку подлинности на удаленном radius-сервере. Иными словами, удаленный сервер RADIUS выполняет проверку подлинности для учетной записи пользователя в удаленной базе данных учетных записей пользователей, но локальный сервер политики сети разрешает запрос на подключение к учетной записи пользователя в локальной базе данных учетных записей пользователей. Это полезно, если требуется разрешить посетителям доступ к сети.

например, пользователи из партнерских организаций могут проходить проверку подлинности на сервере RADIUS партнерской организации, а затем использовать учетную запись пользователя Windows в организации для доступа к гостевой локальной сети (LAN) в сети.

Другие атрибуты, обеспечивающие специализированные функциональные возможности:

  • MS-карантин-ипфилтер и MS-карантин-Session-Timeout. Эти атрибуты используются при развертывании управления карантином сетевого доступа (НАКК) с развертыванием виртуальной частной сети и маршрутизацией удаленного доступа.
  • Passport-User-Mapping-UPN-суффикс. этот атрибут позволяет проверять подлинность запросов на подключение с учетными данными учетной записи пользователя Windows Live™ ID.
  • Tunnel-Tag. Этот атрибут обозначает ИДЕНТИФИКАЦИОНный номер виртуальной ЛС, на который NAS должен назначить подключение при развертывании виртуальных локальных сетей (VLAN).

Политика запросов на подключение по умолчанию

Политика запросов на подключение по умолчанию создается при установке NPS. Эта политика имеет следующую конфигурацию.

  • Проверка подлинности не настроена.
  • Для учета не настроена переадресация данных учета в группу удаленных серверов RADIUS.
  • Атрибут не настроен с помощью правил обработки атрибутов, пересылаемых через запросы на соединение с удаленными группами RADIUS-серверов.
  • Запрос на перенаправление настроен таким образом, что запросы на подключение проходят проверку подлинности и авторизованы на локальном сервере политики сети.
  • Дополнительные атрибуты не настроены.

Политика запросов на подключение по умолчанию использует NPS в качестве сервера RADIUS. Чтобы настроить сервер политики сети на работу в качестве прокси-сервера RADIUS, необходимо также настроить группу удаленных серверов RADIUS. Вы можете создать новую группу удаленных серверов RADIUS во время создания новой политики запросов на подключение с помощью мастера создания политики запросов на подключение. Можно либо удалить политику запросов на подключение по умолчанию, либо убедиться, что политика запросов на подключение по умолчанию является последней политикой, обработанной NPS, поместив ее последним в упорядоченный список политик.

Примечание

если сервер политики сети и служба удаленного доступа установлены на одном компьютере, а служба удаленного доступа настроена для Windows проверки подлинности и учета, запросы на проверку подлинности и учетные данные удаленного доступа могут перенаправляться на сервер RADIUS. Это может произойти, когда запросы на проверку подлинности удаленного доступа и учетные данные соответствуют политике запросов на подключение, настроенной на пересылку их в группу удаленных серверов RADIUS.