Поделиться через

Политика запросов на подключение

С помощью этого раздела вы узнаете, как использовать политики запросов на подключение NPS для настройки NPS в качестве сервера RADIUS, прокси-сервера RADIUS или обоих.

Note

Помимо этого раздела доступна следующая документация по политике запроса на подключение.

Политики запросов на подключение — это наборы условий и параметров, которые позволяют администраторам сети назначить, какие серверы службы пользователей службы удаленной проверки подлинности (RADIUS) выполняют проверку подлинности и авторизацию запросов на подключение, которые сервер, на котором запущен сервер политики сети (NPS), получает от клиентов RADIUS. Политики запросов на подключение можно настроить, чтобы указать, какие серверы RADIUS используются для учета RADIUS.

Политики запросов на подключение можно создать таким образом, чтобы некоторые сообщения запроса RADIUS, отправленные клиентами RADIUS, обрабатываются локально (NPS используется в качестве сервера RADIUS) и другие типы сообщений перенаправляются на другой сервер RADIUS (NPS используется в качестве прокси-сервера RADIUS).

С помощью политик запроса подключения можно использовать NPS в качестве сервера RADIUS или в качестве прокси-сервера RADIUS на основе следующих факторов:

  • Время дня и дня недели
  • Имя области в запросе подключения
  • Тип запрашиваемого подключения
  • IP-адрес клиента RADIUS

Сообщения RADIUS Access-Request обрабатываются или пересылаются NPS, только если параметры входящего сообщения соответствуют по крайней мере одной из политик запроса подключения, настроенных на NPS.

Если параметры политики соответствуют и политике требуется, чтобы NPS обрабатывал сообщение, NPS выступает в качестве сервера RADIUS, проверки подлинности и авторизации запроса на подключение. Если параметры политики соответствуют и политика требует, чтобы NPS перенаправит сообщение, NPS выступает в качестве прокси-сервера RADIUS и перенаправит запрос подключения на удаленный сервер RADIUS для обработки.

Если параметры входящего сообщения RADIUS Access-Request не соответствуют хотя бы одной из политик запроса подключения, сообщение access-Reject отправляется клиенту RADIUS, а пользователю или компьютеру, пытающемся подключиться к сети, запрещен доступ.

Configuration examples

В следующих примерах конфигурации показано, как использовать политики запросов на подключение.

NPS в качестве RADIUS-сервера

Политика запроса подключения по умолчанию является единственной настроенной политикой. В этом примере NPS настраивается как сервер RADIUS, а все запросы на подключение обрабатываются локальными NPS. NPS может проходить проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене домена NPS и в доверенных доменах.

Сервер политики сети в качестве прокси-сервера RADIUS

Политика запроса подключения по умолчанию удаляется, а для пересылки запросов в два разных домена создаются две новые политики запросов на подключение. В этом примере NPS настраивается как прокси-сервер RADIUS. NPS не обрабатывает запросы на подключение на локальном сервере. Вместо этого он перенаправит запросы на подключение к NPS или другим серверам RADIUS, настроенным в качестве членов удаленных групп серверов RADIUS.

NPS как сервер RADIUS и прокси-сервер RADIUS

В дополнение к политике запроса подключения по умолчанию создается новая политика запроса подключения, которая перенаправит запросы на подключение к NPS или другому серверу RADIUS в недоверенном домене. В этом примере политика прокси-сервера отображается сначала в упорядоченном списке политик. Если запрос подключения соответствует политике прокси-сервера, запрос подключения перенаправлен на сервер RADIUS в удаленной группе серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запроса подключения по умолчанию, NPS обрабатывает запрос подключения на локальном сервере. Если запрос на подключение не соответствует любой политике, он удаляется.

NPS в качестве сервера RADIUS с удаленными серверами учета

В этом примере локальный NPS не настроен для выполнения учета, и политика запроса подключения по умолчанию изменена так, что сообщения учета RADIUS пересылаются на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным сервером RADIUS для сопоставления пользователей Windows

В этом примере NPS выступает как в качестве сервера RADIUS, так и в качестве прокси-сервера RADIUS для каждого отдельного запроса подключения путем пересылки запроса проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. Эта конфигурация реализована путем настройки атрибута удаленного RADIUS для сопоставления пользователей Windows в качестве условия политики запроса подключения. (Кроме того, учетная запись пользователя должна быть создана локально с тем же именем, что и учетная запись удаленного пользователя, для которой выполняется проверка подлинности на удаленном сервере RADIUS.)

Условия политики запроса подключения

Условия политики запроса подключения — это один или несколько атрибутов RADIUS, которые сравниваются с атрибутами входящего сообщения RADIUS Access-Request. Если существует несколько условий, все условия в сообщении запроса подключения и в политике запроса подключения должны соответствовать, чтобы политика была применена NPS.

Ниже приведены доступные атрибуты условия, которые можно настроить в политиках запроса подключения.

Группа атрибутов свойств подключения

Группа атрибутов свойств подключения содержит следующие атрибуты.

  • Framed Protocol. Используется для обозначения типа обрамления входящих пакетов. Примерами являются протокол PPP, протокол SLIP, ретранслятор кадров и X.25.
  • Service Type. Используется для обозначения типа запрашиваемой службы. Примеры включают кадрированные (например, подключения PPP) и имя входа (например, подключения Telnet). Дополнительные сведения о типах служб RADIUS см. в rfC 2865, "Служба пользователей с удаленной проверкой подлинности(RADIUS)."
  • Tunnel Type. Используется для обозначения типа туннеля, создаваемого запрашивающим клиентом. Типы туннелей включают протокол туннелирования "точка — точка" (PPTP) и протокол L2TP.

Группа атрибутов "Ограничения дня и времени"

Группа атрибутов "Ограничения дня и времени" содержит атрибут "Ограничения дня" и "Время". С помощью этого атрибута можно указать день недели и время дня попытки подключения. День и время относительно дня и времени NPS.

Группа атрибутов шлюза

Группа атрибутов шлюза содержит следующие атрибуты.

  • Идентификатор станции. Используется для назначения номера телефона сервера сетевого доступа. Этот атрибут представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.
  • NAS Identifier. Используется для обозначения имени сервера сетевого доступа. Этот атрибут представляет собой символьную строку. Синтаксис сопоставления шаблонов можно использовать для указания идентификаторов NAS.
  • IPv4-адрес NAS. Используется для назначения адреса сервера доступа к сети (клиента RADIUS) версии 4 (IPv4). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • Адрес NAS IPv6. Используется для назначения адреса сервера доступа к сети (клиента RADIUS) версии 6 (IPv6). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • Тип порта NAS. Используется для обозначения типа носителя, используемого клиентом доступа. Примерами являются аналоговые телефонные линии (известные как асинхронная), интегрированная цифровая сеть служб (ISDN), туннели или виртуальные частные сети (VPNs), беспроводные коммутаторы IEEE 802.11 и Ethernet.

Группа атрибутов идентификации компьютера

Группа атрибутов идентификации машины содержит атрибут идентификации машины. С помощью этого атрибута можно указать метод, с помощью которого клиенты определены в политике.

Группа атрибутов свойств клиента RADIUS

Группа атрибутов свойств клиента RADIUS содержит следующие атрибуты.

  • Идентификатор вызываемой станции. Используется для назначения номера телефона, используемого вызывающим абонентом (клиентом доступа). Этот атрибут представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов. В аутентификациях 802.1x поле MAC-адреса обычно заполняется и может быть сопоставлено с клиентом. Обычно это поле используется для сценариев обхода Mac Address, если политика запроса подключения настроена для параметра "Принять пользователей без проверки учетных данных".
  • Понятное имя клиента. Используется для обозначения имени клиентского компьютера RADIUS, запрашивающего проверку подлинности. Этот атрибут представляет собой символьную строку. Для указания имен клиентов можно использовать синтаксис сопоставления шаблонов.
  • IPv4-адрес клиента. Используется для назначения IPv4-адреса сервера сетевого доступа (клиента RADIUS). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • IPv6-адрес клиента. Используется для назначения IPv6-адреса сервера сетевого доступа (клиента RADIUS). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
  • Client Vendor. Используется для назначения поставщика сервера сетевого доступа, запрашивающего проверку подлинности. Компьютер, на котором запущена служба маршрутизации и удаленного доступа, является производителем MICROSOFT NAS. Этот атрибут можно использовать для настройки отдельных политик для разных производителей NAS. Этот атрибут представляет собой символьную строку. Вы можете использовать синтаксис сопоставления шаблонов.

Группа атрибутов имени пользователя

Группа атрибутов имени пользователя содержит атрибут User Name. С помощью этого атрибута можно указать имя пользователя или часть имени пользователя, которая должна соответствовать имени пользователя, предоставленному клиентом доступа в сообщении RADIUS. Этот атрибут представляет собой символьную строку, которая обычно содержит имя области и имя учетной записи пользователя. Для указания имен пользователей можно использовать синтаксис сопоставления шаблонов.

Параметры политики запроса подключения

Параметры политики запроса подключения — это набор свойств, применяемых к входящего сообщения RADIUS. Параметры состоят из следующих групп свойств.

  • Authentication
  • Accounting
  • Attribute manipulation
  • Forwarding request
  • Advanced

В следующих разделах приведены дополнительные сведения об этих параметрах.

Authentication

С помощью этого параметра можно переопределить параметры проверки подлинности, настроенные во всех сетевых политиках, и можно назначить методы проверки подлинности и типы, необходимые для подключения к сети.

Important

Если вы настраиваете метод проверки подлинности в политике запроса подключения, которая менее безопасна, чем метод проверки подлинности, настроенный в политике сети, переопределяется более безопасный метод проверки подлинности, настроенный в политике сети. Например, если у вас есть сетевая политика, требующая использования защищённого расширяемого протокола для проверки подлинности-Microsoft Challenge Handshake Authentication Protocol версии 2 (PEAP-MS-CHAP v2), который является методом аутентификации на основе пароля для защищенной беспроводной сети, и вы также настраиваете политику запроса подключения для разрешения доступа без аутентификации, результатом является то, что клиентам не требуется проходить аутентификацию с помощью PEAP-MS-CHAP v2. В этом примере всем клиентам, подключающимся к сети, предоставляется доступ без проверки подлинности.

Accounting

С помощью этого параметра можно настроить политику запроса подключения для пересылки сведений об учете на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS, чтобы удаленная группа серверов RADIUS выполняла учет.

Note

Если у вас несколько серверов RADIUS и требуется учетная информация для всех серверов, хранящихся в одной базе данных учета RADIUS, можно использовать параметр учета политики запроса подключения в политике на каждом сервере RADIUS для пересылки данных учета со всех серверов на один NPS или другой сервер RADIUS, назначенный в качестве сервера учета.

Параметры учета политики подключения не зависят от конфигурации учета локальных NPS. Другими словами, если вы настроите локальный NPS для записи сведений об учете RADIUS в локальный файл или в базу данных Microsoft SQL Server, это будет делать независимо от того, настроена ли политика запроса на подключение для пересылки сообщений учета в удаленную группу серверов RADIUS.

Если вы хотите, чтобы данные учета регистрировались удаленно, но не локально, необходимо настроить локальный NPS так, чтобы он не выполнял учет, а также настроить пересылку данных учета в политике запроса подключения для передачи их в удаленную группу серверов RADIUS.

Attribute manipulation

Можно настроить набор правил поиска и замены, которые управляют текстовыми строками одного из следующих атрибутов.

  • User Name
  • Идентификатор вызываемой станции
  • Идентификатор вызывающей станции

Обработка правил поиска и замены выполняется для одного из предыдущих атрибутов, прежде чем сообщение RADIUS подлежит проверке подлинности и параметрам учета. Правила манипуляции атрибутами применяются только к одному атрибуту. Нельзя настроить правила манипуляции атрибутами для каждого атрибута. Кроме того, список атрибутов, которые можно управлять, является статическим списком; нельзя добавить в список атрибутов, доступных для манипуляции.

Note

Если вы используете протокол проверки подлинности MS-CHAP версии 2, нельзя управлять атрибутом имени пользователя, если политика запроса подключения используется для пересылки сообщения RADIUS. Единственное исключение возникает, когда используется символ обратной косой черты (), а манипуляция влияет только на информацию слева от нее. Символ обратной косой черты обычно используется для указания имени домена (сведения слева от символа обратной косой черты) и имени учетной записи пользователя в домене (сведения справа от символа обратной косой черты). В этом случае разрешены только правила манипуляции атрибутами, изменяющие или заменяющие доменное имя.

Примеры управления именем области в атрибуте имени пользователя см. в разделе "Примеры манипуляции с именем области в атрибуте имени пользователя" в разделе "Использование регулярных выражений в NPS".

Forwarding request

Вы можете задать следующие параметры запроса пересылки, которые используются для сообщений RADIUS Access-Request:

  • Проверка подлинности запросов на этом сервере. С помощью этого параметра NPS использует домен Windows NT 4.0, Active Directory или локальную базу данных учетных записей пользователей диспетчера учетных записей безопасности (SAM) для проверки подлинности запроса на подключение. Этот параметр также указывает, что соответствующая сетевая политика, настроенная в NPS, а также свойства учетной записи пользователя, используются NPS для авторизации запроса на подключение. В этом случае NPS настроен на выполнение в качестве сервера RADIUS.

  • Переадресация запросов в следующую удаленную группу серверов RADIUS. С помощью этого параметра NPS перенаправит запросы на подключение к указанной удаленной группе серверов RADIUS. Если NPS получает допустимое сообщение Access-Accept, соответствующее сообщению Access-Request, попытка подключения считается проверенной и авторизованной. В этом случае NPS выступает в качестве прокси-сервера RADIUS.

  • Примите пользователей без проверки учетных данных. С помощью этого параметра NPS не проверяет удостоверение пользователя, пытающегося подключиться к сети, и NPS не пытается проверить, имеет ли пользователь или компьютер право подключиться к сети. Если NPS настроен для разрешения доступа без проверки подлинности и получает запрос на подключение, NPS немедленно отправляет сообщение Access-Accept клиенту RADIUS, а пользователю или компьютеру предоставляется сетевой доступ. Этот параметр используется для некоторых типов обязательного туннелирования, когда клиент доступа туннелируется перед проверкой подлинности учетных данных пользователя.

Note

Этот параметр проверки подлинности нельзя использовать, если протокол проверки подлинности клиента доступа — MS-CHAP версии 2 или расширяемый протокол проверки подлинности с транспортным уровнем безопасности (EAP-TLS), оба из которых обеспечивают взаимную аутентификацию. При взаимной проверке подлинности клиент доступа подтверждает, что он является допустимым клиентом доступа к серверу проверки подлинности (NPS), а сервер проверки подлинности подтверждает, что он является допустимым сервером проверки подлинности для клиента доступа. При использовании этого параметра проверки подлинности возвращается сообщение Access-Accept. Однако сервер проверки подлинности не предоставляет верификацию клиенту доступа, и взаимная аутентификация завершается неудачей.

Примеры использования регулярных выражений для создания правил маршрутизации, которые перенаправляют сообщения RADIUS с указанным именем области в удаленную группу серверов RADIUS, см. в разделе "Пример перенаправления сообщений RADIUS прокси-сервера" в разделе "Использование регулярных выражений в NPS".

Advanced

Дополнительные свойства можно задать для указания ряда атрибутов RADIUS, которые:

  • Добавлено в сообщение ответа RADIUS, когда NPS используется в качестве сервера проверки подлинности RADIUS или сервера учета. Если существуют атрибуты, указанные как в политике сети, так и в политике запроса подключения, атрибуты, отправляемые в ответном сообщении RADIUS, являются сочетанием двух наборов атрибутов.
  • Добавляется в сообщение RADIUS, когда NPS используется в качестве прокси-сервера для аутентификации или учета в системе RADIUS. Если атрибут уже существует в сообщении, который пересылается, он заменяется значением атрибута, указанного в политике запроса подключения.

In addition, some attributes that are available for configuration on the connection request policy Settings tab in the Advanced category provide specialized functionality. Например, вы можете настроить атрибут Remote RADIUS для сопоставления пользователей Windows, если вы хотите разделить проверку подлинности и авторизацию запроса на подключение между двумя базами данных учетных записей пользователей.

Атрибут сопоставления удаленных пользователей RADIUS для Windows указывает, что авторизация Windows возникает для пользователей, прошедших проверку подлинности удаленным сервером RADIUS. Другими словами, удаленный сервер RADIUS выполняет проверку подлинности с учетной записью пользователя в базе данных удаленных учетных записей пользователей, но локальный NPS авторизует запрос на подключение к учетной записи пользователя в базе данных локальных учетных записей пользователей. Это полезно, если вы хотите разрешить посетителям доступ к сети.

Например, посетители из партнерских организаций могут проходить проверку подлинности собственным сервером RADIUS партнерской организации, а затем использовать учетную запись пользователя Windows в вашей организации для доступа к гостевой локальной сети (LAN) в сети.

Другие атрибуты, предоставляющие специализированные функциональные возможности:

  • MS-Quarantine-IPFilter и MS-Quarantine-Session-Timeout. Эти атрибуты используются при развертывании управления карантином сетевого доступа (NAQC) вместе с развертыванием VPN удаленного доступа и маршрутизации.
  • Passport-User-Mapping-UPN-Suffix. Этот атрибут позволяет выполнять проверку подлинности запросов на подключение с учетными данными учетной записи пользователя Windows Live™ ID.
  • Tunnel-Tag. Этот атрибут указывает номер VLAN, которому при развертывании виртуальных локальных сетей (VLAN) следует назначать подключение.

Политика запроса подключения по умолчанию

Политика запроса подключения по умолчанию создается при установке NPS. Эта политика имеет следующую конфигурацию.

  • Проверка подлинности не настроена.
  • Учет не настроен для пересылки сведений об учете в удаленную группу серверов RADIUS.
  • Атрибут не настроен с правилами обработки атрибутов, которые перенаправяют запросы на подключение к удаленным группам серверов RADIUS.
  • Запрос пересылки настроен таким образом, чтобы запросы на подключение проходили проверку подлинности и авторизацию на локальном NPS.
  • Дополнительные атрибуты не настроены.

Политика запроса подключения по умолчанию использует NPS в качестве сервера RADIUS. Чтобы настроить сервер под управлением NPS для работы в качестве прокси-сервера RADIUS, необходимо также настроить удаленную группу серверов RADIUS. Вы можете создать новую удаленную группу серверов RADIUS при создании новой политики запроса подключения с помощью мастера создания политики запроса подключения. Вы можете удалить политику запроса подключения по умолчанию или убедиться, что политика запроса подключения по умолчанию является последней, обработанной NPS, поместив ее в последний список упорядоченных политик.

Note

Если NPS и служба удаленного доступа установлены на одном компьютере, а служба удаленного доступа настроена для проверка подлинности Windows и учета, то можно перенаправить запросы на проверку подлинности удаленного доступа и учетные запросы на сервер RADIUS. Это может произойти, когда запросы удаленного доступа и учетные запросы соответствуют политике запроса подключения, настроенной для пересылки в удаленную группу серверов RADIUS.