Политика запросов на подключение

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

С помощью этого раздела вы узнаете, как использовать политики запросов на подключение NPS для настройки NPS в качестве сервера RADIUS, прокси-сервера RADIUS или обоих.

Примечание.

Помимо этого раздела доступна следующая документация по политике запроса на подключение.

• Настройка политик запросов Подключение ion
• Настройка групп удаленных серверов RADIUS

Подключение политики запросов — это наборы условий и параметров, которые позволяют администраторам сети назначить, какие серверы службы удаленной проверки подлинности с телефонным подключением (RADIUS) выполняют проверку подлинности и авторизацию запросов на подключение, которые сервер, на котором выполняется сервер, на котором выполняется сервер политики сети (NPS), получает от клиентов RADIUS. политики запросов Подключение ion можно настроить для определения того, какие серверы RADIUS используются для учета RADIUS.

Политики запросов на подключение можно создать таким образом, чтобы некоторые сообщения запроса RADIUS, отправленные клиентами RADIUS, обрабатываются локально (NPS используется в качестве сервера RADIUS) и другие типы сообщений перенаправляются на другой сервер RADIUS (NPS используется в качестве прокси-сервера RADIUS).

С помощью политик запроса подключения можно использовать NPS в качестве сервера RADIUS или в качестве прокси-сервера RADIUS на основе следующих факторов:

• Время дня и дня недели
• Имя области в запросе подключения
• Тип запрашиваемого подключения
• IP-адрес клиента RADIUS

Сообщения RADIUS Access-Request обрабатываются или пересылаются NPS, только если параметры входящего сообщения соответствуют по крайней мере одной из политик запроса подключения, настроенных на NPS.

Если параметры политики соответствуют и политике требуется, чтобы NPS обрабатывал сообщение, NPS выступает в качестве сервера RADIUS, проверки подлинности и авторизации запроса на подключение. Если параметры политики соответствуют и политика требует, чтобы NPS перенаправит сообщение, NPS выступает в качестве прокси-сервера RADIUS и перенаправит запрос подключения на удаленный сервер RADIUS для обработки.

Если параметры входящего сообщения RADIUS Access-Request не соответствуют хотя бы одной из политик запроса подключения, сообщение access-Reject отправляется клиенту RADIUS, а пользователю или компьютеру, пытающемся подключиться к сети, запрещен доступ.

Примеры конфигураций

В следующих примерах конфигурации показано, как использовать политики запросов на подключение.

Сервер политики сети в качестве RADIUS-сервера

Политика запроса подключения по умолчанию является единственной настроенной политикой. В этом примере NPS настраивается как сервер RADIUS, а все запросы на подключение обрабатываются локальными NPS. NPS может проходить проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене домена NPS и в доверенных доменах.

Сервер политики сети в качестве прокси-сервера RADIUS

Политика запроса подключения по умолчанию удаляется, а для пересылки запросов в два разных домена создаются две новые политики запросов на подключение. В этом примере NPS настраивается как прокси-сервер RADIUS. NPS не обрабатывает запросы на подключение на локальном сервере. Вместо этого он перенаправит запросы на подключение к NPS или другим серверам RADIUS, настроенным в качестве членов удаленных групп серверов RADIUS.

NPS как сервер RADIUS и прокси-сервер RADIUS

В дополнение к политике запроса подключения по умолчанию создается новая политика запроса подключения, которая перенаправит запросы на подключение к NPS или другому серверу RADIUS в недоверенном домене. В этом примере политика прокси-сервера отображается сначала в упорядоченном списке политик. Если запрос подключения соответствует политике прокси-сервера, запрос подключения перенаправлен на сервер RADIUS в удаленной группе серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запроса подключения по умолчанию, NPS обрабатывает запрос подключения на локальном сервере. Если запрос на подключение не соответствует любой политике, он отключен карта.

NPS в качестве сервера RADIUS с удаленными серверами учета

В этом примере локальный NPS не настроен для выполнения учета и политика запроса подключения по умолчанию перенаправляются таким образом, чтобы сообщения учета RADIUS перенаправлялись на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным radius для сопоставления пользователей Windows

В этом примере NPS выступает как в качестве сервера RADIUS, так и в качестве прокси-сервера RADIUS для каждого отдельного запроса подключения путем пересылки запроса проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. Эта конфигурация реализована путем настройки атрибута удаленного RADIUS для сопоставления пользователей Windows в качестве условия политики запроса подключения. (Кроме того, учетная запись пользователя должна быть создана локально с тем же именем, что и учетная запись удаленного пользователя, для которой выполняется проверка подлинности на удаленном сервере RADIUS.)

условия политики запроса Подключение

Подключение условия политики запроса — это один или несколько атрибутов RADIUS, которые сравниваются с атрибутами входящего сообщения RADIUS Access-Request. Если существует несколько условий, все условия в сообщении запроса подключения и в политике запроса подключения должны соответствовать, чтобы политика была применена NPS.

Ниже приведены доступные атрибуты условия, которые можно настроить в политиках запроса подключения.

группа атрибутов свойств Подключение ion

Группа атрибутов свойств Подключение ion содержит следующие атрибуты.

• Кадрированный протокол. Используется для обозначения типа обрамления входящих пакетов. Примерами являются протокол PPP, протокол Последовательной строки Интернета (S пакет интерфейса пользователя), ретранслятор кадров и X.25.
• Тип службы. Используется для обозначения типа запрашиваемой службы. Примеры включают кадрированные (например, подключения PPP) и имя входа (например, подключения Telnet). Дополнительные сведения о типах служб RADIUS см. в rfC 2865, "Служба пользователей с удаленной проверкой подлинности(RADIUS)."
• Тип туннеля. Используется для обозначения типа туннеля, создаваемого запрашивающим клиентом. Типы туннелей включают протокол туннелирования "точка — точка" (PPTP) и протокол L2TP.

Группа атрибутов "Ограничения дня и времени"

Группа атрибутов "Ограничения дня и времени" содержит атрибут "Ограничения дня" и "Время". С помощью этого атрибута можно указать день недели и время дня попытки подключения. День и время относительно дня и времени NPS.

Группа атрибутов шлюза

Группа атрибутов шлюза содержит следующие атрибуты.

• Идентификатор станции. Используется для назначения номера телефона сервера сетевого доступа. Этот атрибут представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.
• Идентификатор NAS. Используется для обозначения имени сервера сетевого доступа. Этот атрибут представляет собой символьную строку. Синтаксис сопоставления шаблонов можно использовать для указания идентификаторов NAS.
• IPv4-адрес NAS. Используется для назначения адреса сервера доступа к сети (клиента RADIUS) версии 4 (IPv4). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
• IPv6-адрес NAS. Используется для назначения адреса сервера доступа к сети (клиента RADIUS) версии 6 (IPv6). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
• Тип порта NAS. Используется для обозначения типа носителя, используемого клиентом доступа. Примерами являются аналоговые телефонные линии (известные как асинхронная), интегрированная цифровая сеть служб (ISDN), туннели или виртуальные частные сети (VPNs), беспроводные коммутаторы IEEE 802.11 и Ethernet.

Группа атрибутов удостоверения компьютера

Группа атрибутов удостоверения компьютера содержит атрибут Machine Identity. С помощью этого атрибута можно указать метод, с помощью которого клиенты определены в политике.

Группа атрибутов свойств клиента RADIUS

Группа атрибутов свойств клиента RADIUS содержит следующие атрибуты.

• Идентификатор вызываемой станции. Используется для назначения номера телефона, используемого вызывающим абонентом (клиентом доступа). Этот атрибут представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов. В 802.1x проверка подлинности MAC-адреса обычно заполняется и может быть сопоставлена с клиентом. Обычно это поле используется для сценариев обхода Mac Address, если политика запроса подключения настроена для параметра "Принять пользователей без проверки учетных данных".
• Понятное имя клиента. Используется для обозначения имени клиентского компьютера RADIUS, запрашивающего проверку подлинности. Этот атрибут представляет собой символьную строку. Для указания имен клиентов можно использовать синтаксис сопоставления шаблонов.
• IPv4-адрес клиента. Используется для назначения IPv4-адреса сервера сетевого доступа (клиента RADIUS). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
• IPv6-адрес клиента. Используется для назначения IPv6-адреса сервера сетевого доступа (клиента RADIUS). Этот атрибут представляет собой символьную строку. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.
• Поставщик клиента. Используется для назначения поставщика сервера сетевого доступа, запрашивающего проверку подлинности. Компьютер, на котором запущена служба маршрутизации и удаленного доступа, является производителем MICROSOFT NAS. Этот атрибут можно использовать для настройки отдельных политик для разных производителей NAS. Этот атрибут представляет собой символьную строку. Вы можете использовать синтаксис сопоставления шаблонов.

Группа атрибутов имени пользователя

Группа атрибутов имени пользователя содержит атрибут User Name. С помощью этого атрибута можно указать имя пользователя или часть имени пользователя, которая должна соответствовать имени пользователя, предоставленному клиентом доступа в сообщении RADIUS. Этот атрибут представляет собой символьную строку, которая обычно содержит имя области и имя учетной записи пользователя. Для указания имен пользователей можно использовать синтаксис сопоставления шаблонов.

параметры политики запроса Подключение ion

параметры политики запроса Подключение — это набор свойств, применяемых к входящего сообщения RADIUS. Параметры состоят из следующих групп свойств.

• Проверка подлинности
• Учет
• Манипуляция атрибутами
• Запрос пересылки
• Расширенные

В следующих разделах приведены дополнительные сведения об этих параметрах.

Проверка подлинности

С помощью этого параметра можно переопределить параметры проверки подлинности, настроенные во всех сетевых политиках, и можно назначить методы проверки подлинности и типы, необходимые для подключения к сети.

Внимание

Если вы настраиваете метод проверки подлинности в политике запроса подключения, которая менее безопасна, чем метод проверки подлинности, настроенный в политике сети, переопределяется более безопасный метод проверки подлинности, настроенный в политике сети. Например, если у вас есть одна сетевая политика, требующая использования протокола проверки подлинности Secure Extensible Authentication Protocol-Microsoft Challenge Handshake Protocol версии 2 (PEAP-MS-CHAP версии 2), которая является методом проверки подлинности на основе паролей для безопасной беспроводной сети, а также настраивается политика запроса подключения для разрешения доступа без проверки подлинности, результатом является то, что для проверки подлинности с помощью PEAP-MS-CHAP версии 2 не требуется. В этом примере всем клиентам, подключающимся к сети, предоставляется доступ без проверки подлинности.

Учет

С помощью этого параметра можно настроить политику запроса подключения для пересылки сведений об учете на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS, чтобы удаленная группа серверов RADIUS выполняла учет.

Примечание.

Если у вас несколько серверов RADIUS и требуется учетная информация для всех серверов, хранящихся в одной базе данных учета RADIUS, можно использовать параметр учета политики запроса подключения в политике на каждом сервере RADIUS для пересылки данных учета со всех серверов на один NPS или другой сервер RADIUS, назначенный в качестве сервера учета.

Подключение параметры учета политики запроса на запросы не зависят от конфигурации учета локального NPS. Другими словами, если вы настроите локальный NPS для записи сведений об учете RADIUS в локальный файл или в базу данных Microsoft SQL Server, это будет делать независимо от того, настроена ли политика запроса на подключение для пересылки сообщений учета в удаленную группу серверов RADIUS.

Если вы хотите, чтобы данные учета регистрировались удаленно, но не локально, необходимо настроить локальный NPS для нее, а также настроить учет в политике запроса подключения для пересылки данных учета в удаленную группу серверов RADIUS.

Манипуляция атрибутами

Можно настроить набор правил поиска и замены, которые управляют текстовыми строками одного из следующих атрибутов.

• Имя пользователя
• Идентификатор вызываемой станции
• Идентификатор вызываемой станции

Обработка правил поиска и замены выполняется для одного из предыдущих атрибутов, прежде чем сообщение RADIUS подлежит проверке подлинности и параметрам учета. Правила манипуляции атрибутами применяются только к одному атрибуту. Нельзя настроить правила манипуляции атрибутами для каждого атрибута. Кроме того, список атрибутов, которые можно управлять, является статическим списком; нельзя добавить в список атрибутов, доступных для манипуляции.

Примечание.

Если вы используете протокол проверки подлинности MS-CHAP версии 2, нельзя управлять атрибутом имени пользователя, если политика запроса подключения используется для пересылки сообщения RADIUS. Единственное исключение возникает, когда используется символ обратной косой черты (), а манипуляция влияет только на информацию слева от нее. Символ обратной косой черты обычно используется для указания имени домена (сведения слева от символа обратной косой черты) и имени учетной записи пользователя в домене (сведения справа от символа обратной косой черты). В этом случае разрешены только правила манипуляции атрибутами, изменяющие или заменяющие доменное имя.

Примеры управления именем области в атрибуте имени пользователя см. в разделе "Примеры манипуляции с именем области в атрибуте имени пользователя" в разделе "Использование регулярных выражений в NPS".

Запрос пересылки

Вы можете задать следующие параметры запроса пересылки, которые используются для сообщений RADIUS Access-Request:

• Проверка подлинности запросов на этом сервере. С помощью этого параметра NPS использует домен Windows NT 4.0, Active Directory или локальную базу данных учетных записей пользователей диспетчера учетных записей безопасности (SAM) для проверки подлинности запроса на подключение. Этот параметр также указывает, что соответствующая сетевая политика, настроенная в NPS, а также свойства учетной записи пользователя, используются NPS для авторизации запроса на подключение. В этом случае NPS настроен на выполнение в качестве сервера RADIUS.

• Переадресация запросов в следующую удаленную группу серверов RADIUS. С помощью этого параметра NPS перенаправит запросы на подключение к указанной удаленной группе серверов RADIUS. Если NPS получает допустимое сообщение Access-Accept, соответствующее сообщению Access-Request, попытка подключения считается проверенной и авторизованной. В этом случае NPS выступает в качестве прокси-сервера RADIUS.

• Примите пользователей без проверки учетных данных. С помощью этого параметра NPS не проверяет удостоверение пользователя, пытающегося подключиться к сети, и NPS не пытается проверить, имеет ли пользователь или компьютер право подключиться к сети. Если NPS настроен для разрешения доступа без проверки подлинности и получает запрос на подключение, NPS немедленно отправляет сообщение Access-Accept клиенту RADIUS, а пользователю или компьютеру предоставляется сетевой доступ. Этот параметр используется для некоторых типов обязательного туннелирования, когда клиент доступа туннелируется перед проверкой подлинности учетных данных пользователя.

Примечание.

Этот параметр проверки подлинности нельзя использовать, если протокол проверки подлинности клиента доступа — MS-CHAP версии 2 или расширяемая проверка подлинности protocol-Transport Layer Security (EAP-TLS), оба из которых обеспечивают взаимную проверку подлинности. При взаимной проверке подлинности клиент доступа подтверждает, что он является допустимым клиентом доступа к серверу проверки подлинности (NPS), а сервер проверки подлинности подтверждает, что он является допустимым сервером проверки подлинности для клиента доступа. При использовании этого параметра проверки подлинности возвращается сообщение Access-Accept. Однако проверка подлинности сервера не предоставляется клиенту доступа, а взаимная проверка подлинности завершается ошибкой.

Примеры использования регулярных выражений для создания правил маршрутизации, которые перенаправляют сообщения RADIUS с указанным именем области в удаленную группу серверов RADIUS, см. в разделе "Пример перенаправления сообщений RADIUS прокси-сервера" в разделе "Использование регулярных выражений в NPS".

Расширенные

Дополнительные свойства можно задать для указания ряда атрибутов RADIUS, которые:

• Добавлено в сообщение ответа RADIUS, когда NPS используется в качестве сервера проверки подлинности RADIUS или сервера учета. Если существуют атрибуты, указанные как в политике сети, так и в политике запроса подключения, атрибуты, отправляемые в ответном сообщении RADIUS, являются сочетанием двух наборов атрибутов.
• Добавлено в сообщение RADIUS, когда NPS используется в качестве проверки подлинности RADIUS или прокси-сервера учета. Если атрибут уже существует в сообщении, который пересылается, он заменяется значением атрибута, указанного в политике запроса подключения.

Кроме того, некоторые атрибуты, доступные для настройки на вкладке "Политика запроса подключения", Параметры в категории "Дополнительно" предоставляют специализированные функциональные возможности. Например, можно настроить атрибут удаленного RADIUS для сопоставления пользователей Windows, если требуется разделить проверку подлинности и авторизацию запроса на подключение между двумя базами данных учетных записей пользователей.

Атрибут сопоставления удаленных пользователей RADIUS для Windows указывает, что авторизация Windows возникает для пользователей, прошедших проверку подлинности удаленным сервером RADIUS. Другими словами, удаленный сервер RADIUS выполняет проверку подлинности с учетной записью пользователя в базе данных удаленных учетных записей пользователей, но локальный NPS авторизует запрос на подключение к учетной записи пользователя в базе данных локальных учетных записей пользователей. Это полезно, если вы хотите разрешить посетителям доступ к сети.

Например, посетители из партнерских организаций могут проходить проверку подлинности собственным сервером RADIUS партнерской организации, а затем использовать учетную запись пользователя Windows в вашей организации для доступа к гостевой локальной сети (LAN) в сети.

Другие атрибуты, предоставляющие специализированные функциональные возможности:

• MS-Quarantine-IPFilter и MS-Quarantine-Session-Timeout. Эти атрибуты используются при развертывании управления карантином доступа к сети (NAQC) с развертыванием VPN маршрутизации и удаленного доступа.
• Passport-User-Mapping-UPN-Suffix. Этот атрибут позволяет выполнять проверку подлинности запросов на подключение с учетными данными учетной записи пользователя Windows Live™ ID.
• Тег туннеля. Этот атрибут указывает номер идентификатора виртуальной локальной сети, которому при развертывании виртуальных сетей локальных сетей (VLAN) следует назначать подключение.

Политика запроса подключения по умолчанию

Политика запроса подключения по умолчанию создается при установке NPS. Эта политика имеет следующую конфигурацию.

• Проверка подлинности не настроена.
• Учет не настроен для пересылки сведений об учете в удаленную группу серверов RADIUS.
• Атрибут не настроен с правилами обработки атрибутов, которые перенаправяют запросы на подключение к удаленным группам серверов RADIUS.
• Запрос пересылки настроен таким образом, чтобы запросы на подключение прошли проверку подлинности и авторизованы на локальных NPS.
• Дополнительные атрибуты не настроены.

Политика запроса подключения по умолчанию использует NPS в качестве сервера RADIUS. Чтобы настроить сервер под управлением NPS для работы в качестве прокси-сервера RADIUS, необходимо также настроить удаленную группу серверов RADIUS. Вы можете создать новую удаленную группу серверов RADIUS при создании новой политики запроса подключения с помощью мастера создания политики запросов Подключение ion. Вы можете удалить политику запроса подключения по умолчанию или убедиться, что политика запроса подключения по умолчанию является последней, обработанной NPS, поместив ее в последний список упорядоченных политик.

Примечание.

Если NPS и служба удаленного доступа установлены на одном компьютере, а служба удаленного доступа настроена для проверка подлинности Windows и учета, то можно перенаправить запросы на проверку подлинности удаленного доступа и учетные запросы на сервер RADIUS. Это может произойти, когда запросы удаленного доступа и учетные запросы соответствуют политике запроса подключения, настроенной для пересылки в удаленную группу серверов RADIUS.