Проверка подлинности RADIUS, авторизация и учет
Примечание
Служба проверки подлинности в Интернете (IAS) была переименована в сервер политики сети (NPS), начиная с Windows Server 2008. Содержание этого раздела относится как к IAS, так и к NPS. В тексте NPS используется для обозначения всех версий службы, включая версии, первоначально называемые IAS.
NPS полностью поддерживает протокол RADIUS. Протокол RADIUS является фактическим стандартом для удаленной проверки подлинности пользователей и задокументирован в RFC 2865 и RFC 2866.
Проверка подлинности и авторизация RADIUS
На следующей схеме показан клиент проверки подлинности ("Пользователь"), подключающийся к серверу доступа к сети (NAS) через коммутируемое подключение по протоколу "точка — точка" (PPP). Для проверки подлинности пользователя NAS связывается с удаленным сервером, на котором выполняется NPS. Nas и NPS-сервер обмениваются данными по протоколу RADIUS.
NAS работает в качестве клиента сервера или серверов, поддерживающих протокол RADIUS. Серверы, поддерживающие протокол RADIUS, обычно называются серверами RADIUS. Клиент RADIUS, то есть NAS, передает сведения о пользователе назначенным серверам RADIUS, а затем действует на ответ, возвращаемый серверами. Запрос, отправляемый NAS серверу RADIUS для проверки подлинности пользователя, обычно называется запросом проверки подлинности.
Если radius-сервер успешно проходит проверку подлинности пользователя, сервер RADIUS возвращает сведения о конфигурации nas, чтобы предоставить пользователю сетевую службу. Эти сведения о конфигурации состоят из "авторизации" и содержат, среди прочего, тип службы NAS может предоставить пользователю (например, PPP или telnet).
Пока СЕРВЕР RADIUS обрабатывает запрос проверки подлинности, он может выполнять такие функции авторизации, как проверка номера телефона пользователя и проверка наличия у пользователя сеанса. СЕРВЕР RADIUS может определить, есть ли у пользователя уже запущенный сеанс, связавсь с сервером состояний.
Дополнительные сведения о проверке подлинности и авторизации RADIUS см. в статье RFC 2865.
Учет RADIUS
Сервер RADIUS также собирает различные сведения, отправляемые NAS, которые можно использовать для учета и создания отчетов о сетевой активности. Клиент RADIUS отправляет сведения на назначенные серверы RADIUS, когда пользователь входит в систему и выключается. Клиент RADIUS может периодически отправлять дополнительные сведения об использовании во время сеанса. Запросы, отправляемые клиентом на сервер для записи сведений о входе и выходе из системы и использовании, обычно называются запросами учета.
Дополнительные сведения об учете RADIUS см. в статье RFC 2866.
RADIUS-прокси
СЕРВЕР RADIUS может выступать в качестве клиента-посредника для других radius-серверов. В таких случаях СЕРВЕР RADIUS, с которым связался NAS, передает запрос проверки подлинности или учета другому серверу RADIUS, который фактически выполняет проверку подлинности или задачу учета.
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по