Планирование сервера политики сети в качестве прокси-сервера RADIUS

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

При развертывании сервера политики сети (NPS) в качестве прокси-сервера удаленной проверки подлинности службы пользователей (RADIUS) NPS получает запросы на подключение от клиентов RADIUS, таких как серверы доступа к сети или другие прокси-серверы RADIUS, а затем пересылает эти запросы подключения на серверы с NPS или другими серверами RADIUS. Эти рекомендации по планированию можно использовать для упрощения развертывания RADIUS.

Эти рекомендации по планированию не включают в себя обстоятельства, в которых требуется развернуть NPS в качестве сервера RADIUS. При развертывании NPS в качестве сервера RADIUS NPS выполняет проверку подлинности, авторизацию и учет запросов на подключение для локального домена и доменов, которые доверяют локальному домену.

Перед развертыванием NPS в качестве прокси-сервера RADIUS в сети используйте следующие рекомендации для планирования развертывания.

  • Планирование конфигурации NPS.

  • Планирование клиентов RADIUS.

  • Планирование удаленных групп серверов RADIUS.

  • Планирование правил обработки атрибутов для пересылки сообщений.

  • Планирование политик запроса на подключение.

  • Планирование учета NPS.

Планирование конфигурации NPS

При использовании NPS в качестве прокси-сервера RADIUS NPS перенаправит запросы на подключение к NPS или другим серверам RADIUS для обработки. Из-за этого членство в домене прокси-сервера NPS не имеет значения. Прокси-сервер не должен быть зарегистрирован в службах домен Active Directory (AD DS), так как он не нуждается в доступе к свойствам учетных записей пользователей. Кроме того, вам не нужно настраивать политики сети на прокси-сервере NPS, так как прокси-сервер не выполняет авторизацию для запросов на подключение. Прокси-сервер NPS может быть членом домена или может быть автономным сервером без членства в домене.

NPS необходимо настроить для взаимодействия с клиентами RADIUS, также называемыми серверами сетевого доступа, с помощью протокола RADIUS. Кроме того, можно настроить типы событий, записывающих NPS в журнале событий, и ввести описание сервера.

Ключевые шаги

При планировании конфигурации прокси-сервера NPS можно выполнить следующие действия.

  • Определите порты RADIUS, используемые прокси-сервером NPS для получения сообщений RADIUS от клиентов RADIUS и отправки сообщений RADIUS членам удаленных групп серверов RADIUS. Порты протокола UDP по умолчанию: 1812 и 1645 для сообщений проверки подлинности RADIUS и портов UDP 1813 и 1646 для сообщений учета RADIUS.

  • Если прокси-сервер NPS настроен с несколькими сетевыми адаптерами, определите адаптеры, для которых требуется разрешить трафик RADIUS.

  • Определите типы событий, которые требуется записать ВП в журнале событий. Вы можете записывать отклоненные запросы на подключение, успешные запросы на подключение или оба.

  • Определите, развертывается ли развертывание нескольких прокси-серверов NPS. Чтобы обеспечить отказоустойчивость, используйте по крайней мере два прокси-сервера NPS. Один прокси-сервер NPS используется в качестве основного прокси-сервера RADIUS, а другой используется в качестве резервной копии. Затем каждый клиент RADIUS настраивается в обоих прокси-серверах NPS. Если основной прокси-сервер NPS становится недоступным, клиенты RADIUS отправляют сообщения Access-Request на альтернативный прокси-сервер NPS.

  • Запланируйте сценарий, используемый для копирования одной конфигурации прокси-сервера NPS в другие прокси-серверы NPS, чтобы сэкономить на административных затратах и предотвратить неправильную конфигурацию сервера. NPS предоставляет команды Netsh, позволяющие копировать все или часть конфигурации прокси-сервера NPS для импорта в другой прокси-сервер NPS. Команды можно выполнять вручную в строке Netsh. Однако при сохранении последовательности команд в качестве скрипта можно запустить скрипт позже, если вы решите изменить конфигурации прокси-сервера.

Планирование клиентов RADIUS

Клиенты RADIUS — это серверы доступа к сети, такие как беспроводные точки доступа, серверы виртуальной частной сети (VPN), коммутаторы с поддержкой 802.1X и серверы с поддержкой телефонного подключения. Прокси-серверы RADIUS, которые пересылают сообщения о подключении к серверам RADIUS, также являются клиентами RADIUS. NPS поддерживает все серверы доступа к сети и прокси-серверы RADIUS, соответствующие протоколу RADIUS, как описано в RFC 2865, "Служба удаленной проверки подлинности с телефонным подключением (RADIUS)" и RFC 2866, "Учет RADIUS".

Кроме того, точки беспроводного доступа и коммутаторы должны иметь возможность проверки подлинности 802.1X. Если вы хотите развернуть расширяемый протокол проверки подлинности (EAP) или защищенный протокол расширенной проверки подлинности (PEAP), точки доступа и коммутаторы должны поддерживать использование EAP.

Чтобы проверить базовое взаимодействие подключений PPP для беспроводных точек доступа, настройте точку доступа и клиент доступа для использования протокола проверки подлинности паролей (PAP). Используйте дополнительные протоколы проверки подлинности на основе PPP, такие как PEAP, пока вы не протестируете те, которые вы планируете использовать для сетевого доступа.

Ключевые шаги

Во время планирования клиентов RADIUS можно выполнить следующие действия.

  • Задокументируйте атрибуты, относящиеся к поставщику (VSAs), необходимо настроить в NPS. Если для NAS требуются vsAs, зайдите в журнал сведения VSA для последующего использования при настройке политик сети в NPS.

  • Задокументируйте IP-адреса клиентов RADIUS и прокси-сервер NPS, чтобы упростить настройку всех устройств. При развертывании клиентов RADIUS необходимо настроить их для использования протокола RADIUS с IP-адресом прокси-сервера NPS, введенным в качестве сервера проверки подлинности. При настройке NPS для взаимодействия с клиентами RADIUS необходимо ввести IP-адреса клиента RADIUS в оснастку NPS.

  • Создайте общие секреты для настройки клиентов RADIUS и в оснастке NPS. Необходимо настроить клиенты RADIUS с общим секретом или паролем, которые также будут входить в оснастку NPS при настройке клиентов RADIUS в NPS.

Планирование групп удаленных серверов RADIUS

При настройке удаленной группы серверов RADIUS на прокси-сервере NPS вы сообщаете прокси-серверу NPS, где отправляются некоторые или все сообщения запроса на подключение, полученные от серверов доступа к сети и прокси-серверов NPS или других прокси-серверов RADIUS.

NPS можно использовать в качестве прокси-сервера RADIUS для пересылки запросов на подключение к одной или нескольким удаленным группам серверов RADIUS, а каждая группа может содержать один или несколько серверов RADIUS. Если вы хотите, чтобы прокси-сервер NPS перенаправил сообщения в несколько групп, настройте одну политику запроса подключения для каждой группы. Политика запроса подключения содержит дополнительные сведения, такие как правила манипуляции атрибутами, которые сообщают прокси-серверу NPS, какие сообщения отправляются в удаленную группу серверов RADIUS, указанную в политике.

Группы удаленных серверов RADIUS можно настроить с помощью команд Netsh для NPS, настроив группы непосредственно в оснастке NPS в группах удаленных серверов RADIUS или выполнив мастер создания политики запросов Подключение ion.

Ключевые шаги

Во время планирования для удаленных групп серверов RADIUS можно выполнить следующие действия.

  • Определите домены, содержащие серверы RADIUS, к которым требуется, чтобы прокси-сервер NPS перенаправил запросы на подключение. Эти домены содержат учетные записи пользователей, которые подключаются к сети через развернутые клиенты RADIUS.

  • Определите, нужно ли добавлять новые серверы RADIUS в доменах, где RADIUS еще не развернут.

  • Задокументируйте IP-адреса серверов RADIUS, которые необходимо добавить в удаленные группы серверов RADIUS.

  • Определите, сколько удаленных групп серверов RADIUS необходимо создать. В некоторых случаях рекомендуется создать одну удаленную группу серверов RADIUS на домен, а затем добавить серверы RADIUS для домена в группу. Однако могут возникнуть случаи, когда у вас есть большое количество ресурсов в одном домене, включая большое количество пользователей с учетными записями пользователей в домене, большое количество контроллеров домена и большое количество серверов RADIUS. Или ваш домен может охватывать большую географическую область, что приводит к тому, что у вас есть серверы доступа к сети и серверы RADIUS в расположениях, удаленных друг от друга. В этих и, возможно, других случаях можно создать несколько удаленных групп серверов RADIUS на домен.

  • Создайте общие секреты для настройки на прокси-сервере NPS и на удаленных серверах RADIUS.

Планирование правил обработки атрибутов для пересылки сообщений

Правила манипуляции атрибутами, настроенные в политиках запроса подключения, позволяют определить сообщения access-Request, которые необходимо перенаправлять в определенную удаленную группу серверов RADIUS.

NPS можно настроить для пересылки всех запросов подключения к одной удаленной группе серверов RADIUS без использования правил обработки атрибутов.

Если у вас несколько расположений, в которые требуется пересылать запросы на подключение, необходимо создать политику запроса подключения для каждого расположения, а затем настроить политику с удаленной группой серверов RADIUS, в которую нужно пересылать сообщения, а также с правилами обработки атрибутов, которые сообщают NPS, какие сообщения следует пересылать.

Вы можете создать правила для следующих атрибутов.

  • Вызываемая станция-идентификатор. Номер телефона сервера доступа к сети (NAS). Значение этого атрибута представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.

  • Вызывающий идентификатор станции. Номер телефона, используемый вызывающим абонентом. Значение этого атрибута представляет собой символьную строку. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.

  • Имя пользователя. Имя пользователя, предоставленное клиентом доступа и включенным NAS в сообщение RADIUS Access-Request. Значение этого атрибута — это символьная строка, которая обычно содержит имя области и имя учетной записи пользователя.

Чтобы правильно заменить или преобразовать имена областей в имени пользователя запроса на подключение, необходимо настроить правила обработки атрибутов для атрибута User-Name в соответствующей политике запроса подключения.

Ключевые шаги

Во время планирования правил обработки атрибутов можно выполнить следующие действия.

  • Запланируйте маршрутизацию сообщений из NAS через прокси-серверы на удаленные серверы RADIUS, чтобы убедиться, что у вас есть логический путь, с помощью которого можно пересылать сообщения на серверы RADIUS.

  • Определите один или несколько атрибутов, которые необходимо использовать для каждой политики запроса подключения.

  • Задокументируйте правила манипуляции атрибутами, которые планируется использовать для каждой политики запроса подключения, и сопоставляйте правила с удаленной группой серверов RADIUS, в которую пересылаются сообщения.

Планирование политик запроса подключения

Политика запроса подключения по умолчанию настраивается для NPS при использовании в качестве сервера RADIUS. Дополнительные политики запросов на подключение можно использовать для определения более конкретных условий, создания правил обработки атрибутов, которые указывают NPS, какие сообщения пересылают в удаленные группы серверов RADIUS, а также для указания дополнительных атрибутов. Используйте мастер создания политики запросов Подключение ion для создания общих или настраиваемых политик запроса подключения.

Ключевые шаги

Во время планирования политик запросов на подключение можно выполнить следующие действия.

  • Удалите политику запроса подключения по умолчанию на каждом сервере под управлением NPS, которая работает исключительно в качестве прокси-сервера RADIUS.

  • Планирование дополнительных условий и параметров, необходимых для каждой политики, объединение этих сведений с удаленной группой серверов RADIUS и правилами обработки атрибутов, запланированными для политики.

  • Создайте план для распространения общих политик запросов на подключение ко всем прокси-серверам NPS. Создайте политики, общие для нескольких прокси-серверов NPS на одном NPS, а затем используйте команды Netsh для NPS, чтобы импортировать политики запросов на подключение и конфигурацию сервера во всех остальных прокси-серверах.

Планирование учета NPS

При настройке NPS в качестве прокси-сервера RADIUS его можно настроить для учета RADIUS с помощью файлов журналов формата NPS, файлов журналов, совместимых с базами данных, или журналов NPS SQL Server.

Вы также можете пересылать сообщения учета в удаленную группу серверов RADIUS, которая выполняет учет с помощью одного из этих форматов ведения журнала.

Ключевые шаги

Во время планирования учета NPS можно выполнить следующие действия.

  • Определите, требуется ли прокси-сервер NPS выполнять службы бухгалтерского учета или пересылать сообщения учета в удаленную группу серверов RADIUS для учета.

  • Планируйте отключение локального учета прокси-сервера NPS, если планируется пересылать сообщения об учете на другие серверы.

  • Планирование действий по настройке политики запроса на подключение, если планируется перенаправить сообщения учета на другие серверы. Если отключить локальную учетную запись для прокси-сервера NPS, каждая политика запроса подключения, настроенная на этом прокси-сервере, должна иметь включенную и настроенную правильно настроенную учетную запись.

  • Определите формат ведения журнала, который вы хотите использовать: файлы журналов формата IAS, файлы журналов, совместимые с базами данных, или журналы NPS SQL Server.

Сведения о настройке балансировки нагрузки для NPS в качестве прокси-сервера RADIUS см. в разделе "Балансировка нагрузки прокси-сервера NPS".