RADIUS 用戶端

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

網路存取伺服器 (NAS) 是一種裝置,可提供某種層級的存取權至較大型網路。 使用 RADIUS 基礎結構的 NAS 也是 RADIUS 用戶端,會將連線要求和計量訊息傳送至 RADIUS 伺服器以進行驗證、授權和計量。

注意

用戶端電腦 (例如筆記型電腦及其他執行用戶端作業系統的電腦) 並非 RADIUS 用戶端。 RADIUS 用戶端是網路存取伺服器 (如無線存取點、支援 802.1X 的驗證交換器、虛擬私人網路 (VPN) 伺服器和撥號伺服器),因為它們使用 RADIUS 通訊協定與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 伺服器) 進行通訊。

若要將 NPS 部署為 RADIUS 伺服器或 RADIUS Proxy,您必須在 NPS 中設定 RADIUS 用戶端。

RADIUS 用戶端範例

網路存取伺服器的範例包括:

  • 提供遠端存取連線能力至組織網路或網際網路的網路存取伺服器。 例如,執行 Windows Server 2016 作業系統的電腦和遠端存取服務,可提供傳統的撥號或虛擬私人網路 (VPN) 遠端存取服務連線至組織內部網路。
  • 使用無線型傳輸和接收技術,提供實體層存取的無線存取點連線至組織網路。
  • 使用乙太網路等傳統 LAN 技術,提供實體層存取連線至組織網路的交換器。
  • RADIUS Proxy 會將連線要求轉送至 RADIUS 伺服器,這些伺服器是 RADIUS Proxy 上設定之遠端 RADIUS 伺服器群組的成員。

RADIUS Access-Request 訊息

RADIUS 用戶端會建立 RADIUS Access-Request 訊息,並將其轉送至 RADIUS Proxy 或 RADIUS 伺服器,或將 Access-Request 訊息轉送至已從另一個 RADIUS 用戶端接收但尚未自行建立的 RADIUS 伺服器。

RADIUS 用戶端不會藉由執行驗證、授權和計量來處理 Access-Request 訊息。 只有 RADIUS 伺服器會執行這些功能。

不過,NPS 可以同時設定為 RADIUS Proxy 和 RADIUS 伺服器,以便處理某些 Access-Request 訊息且轉送其他訊息。

NPS 做為 RADIUS 用戶端

當您將 NPS 設定為 RADIUS Proxy 時,NPS 會做為 RADIUS 用戶端運作,將 Access-Request 訊息轉送至其他 RADIUS 伺服器進行處理。 當您使用 NPS 作為 RADIUS Proxy 時,需要進行下列的一般設定步驟:

  1. 網路存取伺服器 (例如無線存取點和 VPN 伺服器) 會以 NPS Proxy 的 IP 位址設定為指定的 RADIUS 伺服器或驗證伺服器。 這可讓網路存取伺服器根據其從存取用戶端接收的資訊建立 Access-Request 訊息,將訊息轉送至 NPS Proxy。

  2. NPS Proxy 是藉由將每個網路存取伺服器新增為 RADIUS 用戶端來設定。 此設定步驟可讓 NPS Proxy 接收來自網路存取伺服器的訊息,並在整個驗證期間與其通訊。 此外,NPS Proxy 上的連線要求原則會設定為指定要轉送至一或多個 RADIUS 伺服器的 Access-Request 訊息。 這些原則也會設定為遠端 RADIUS 伺服器群組,這會告知 NPS 從網路存取伺服器接收訊息時,要傳送該訊息的位置。

  3. NPS Proxy 上屬於遠端 RADIUS 伺服器群組成員的 NPS 或其他 RADIUS 伺服器會設定為接收來自 NPS Proxy 的訊息。 這可藉由將 NPS Proxy 設定為 RADIUS 用戶端來完成。

RADIUS 用戶端屬性

當您透過 NPS 主控台或透過使用 NPS 或 Windows PowerShell 命令的 netsh 命令,將 RADIUS 用戶端新增至 NPS 設定時,您會設定 NPS 為接收來自網路存取伺服器或 RADIUS Proxy 的 RADIUS Access-Request 訊息。

當您在 NPS 中設定 RADIUS 用戶端時,可以指定下列屬性:

用戶端名稱

RADIUS 用戶端的易記名稱,可讓您在使用 NPS 嵌入式管理單元或 NPS 的 netsh 命令時更容易識別。

IP 位址

網際網路通訊協定第 4 版 (IPv4) 位址或 RADIUS 用戶端的網域名稱系統 (DNS) 名稱。

Client-Vendor

RADIUS 用戶端的廠商。 否則,您可以將 RADIUS 標準值用於 [Client-Vendor]。

共用密碼

在 RADIUS 用戶端、RADIUS 伺服器和 RADIUS Proxy 之間做為密碼的文字字串。 使用 [訊息驗證器] 屬性時,共用密碼也會當做用來加密 RADIUS 訊息的金鑰。 此字串必須在 RADIUS 用戶端和 NPS 嵌入式管理單元中設定。

[訊息驗證器] 屬性

如 RFC 2869「RADIUS 延伸模組」中所述,整個 RADIUS 訊息的訊息摘要 5 (MD5) 雜湊。 如果 RADIUS [訊息驗證器] 屬性存在,則會驗證它。 如果驗證失敗,則會捨棄 RADIUS 訊息。 如果用戶端設定需要 [訊息驗證器] 屬性但其不存在,則會捨棄 RADIUS 訊息。 建議使用 [訊息驗證器] 屬性。

注意

當您使用可延伸的驗證通訊協定 (EAP) 驗證時,預設會要求並啟用 [訊息驗證器] 屬性。

有關 NPS 的詳細資訊,請參閱網路原則伺服器 (NPS)