Что такое windows nps

Обновлено: 02.07.2024

Для доступа к сети и возможностей управления политиками сервер Microsoft RADIUS и прокси-сервер – это сервер политики сети (NPS). NPS обеспечивает проверку подлинности, авторизацию и учет (AAA), позволяет использовать гетерогенное сетевое оборудование и обеспечивает работоспособность сетевых устройств.

Протокол RADIUS обеспечивает настройку и управление проверкой подлинности для сетевых клиентов, центральную часть функциональных возможностей NPS. Текущие выпуски NPS можно установить с помощью функции сетевых политик и служб доступа (NPAS) в Windows Server 2016 и Server 2019.

В этой статье рассматривается, что такое серверы RADIUS, назначение серверов политик сети, их роль в сети и рекомендации по управлению NPS.

Узнайте больше о различных типах серверов, их функциях и назначении в нашем Руководстве по серверам .

Что такое протокол RADIUS?

RADIUS расшифровывается как Remote Authentication Dial-In User Service и изначально был клиент-серверным протоколом для коммутируемых подключений. В то время как коммутируемое соединение утратило свою привлекательность в корпоративном использовании, серверы RADIUS остаются удобным способом разгрузить аутентификацию от точек доступа.

Серверы RADIUS могут работать на серверах Windows или Unix и, что наиболее важно, позволяют администраторам контролировать, кто может подключаться к сети. Клиенты для сервера RADIUS представляют собой точки доступа к сети; пользователи отправляют запросы клиентам RADIUS, которые передают запрос на сервер RADIUS для проверки подлинности.

Что делают серверы RADIUS?

В протоколах связи для сетей, таких как протокол пользовательских дейтаграмм (UDP) или протокол управления передачей (TCP), серверы RADIUS взаимодействуют с серверами доступа к сети.

Клиентское устройство отправляет запрос на подключение к серверу доступа к сети (NAS). NAS работает с сервером RADIUS, полагаясь на его возможности AAA для аутентификации пользователя и предоставления разрешения для правильной настройки.

Какова цель NPS?

Network Policy Server — это решение для сетевых администраторов Windows, использующее возможности RADIUS. NPS не только предлагает настраиваемые политики доступа к сети, но и гарантирует возможность подключения устройств сторонних производителей после проверки подлинности.

Размещая пользователей и клиентские устройства в группы или автоматизируя классификацию, администраторы могут управлять типами клиентов и разрешениями, доступными для пользователей сети. Этот элемент управления позволяет постоянно управлять политиками доступа, а также позволяет вести журнал событий для целей учета. NPS также сканирует запросы, чтобы убедиться в работоспособности клиентов и поддерживать целостность сети.

Три роли NPS

RADIUS-сервер

NPS выполняет AAA для беспроводных подключений, коммутаторов, подключений удаленного доступа и VPN в качестве сервера RADIUS. Администраторы настраивают серверы доступа к сети, например серверы WAP и VPN, в качестве клиентов RADIUS и регистрируют данные о событиях на локальном жестком диске или в базе данных SQL Server.

RADIUS-прокси

NPS может настраивать политики доступа и управлять тем, какой RADIUS-сервер запрос на подключение доставляет в качестве прокси-сервера RADIUS. Это включает в себя возможность пересылки данных учета для репликации журналов на несколько удаленных серверов RADIUS для балансировки нагрузки.

Защита доступа

Поскольку удаленная работа и политики BYOD представляют различные устройства в сетях, администраторам необходимо знать, какие конечные точки заслуживают доверия. NPS может выступать в качестве средства проверки работоспособности клиентских устройств с помощью таких индикаторов, как исправленное программное обеспечение, брандмауэры и определения вредоносных программ.

Рекомендации по NPS

Microsoft выделяет семь областей передового опыта при использовании Network Policy Server. Они представлены в таблице ниже.

Графика, демонстрирующая передовой опыт для управления NPS, таких как учет, проверка подлинности, настройка клиента, установка, настройка производительности, безопасность и способы развертывания систем NPS в крупных организациях.

Чтобы узнать больше о последних обновлениях Network Policy Server, см. документацию Microsoft NPS .

Вы можете использовать этот раздел для обзора Network Policy Server в Windows Server 2016 и Windows Server 2019. NPS устанавливается при установке функции Network Policy and Access Services (NPAS) в Windows Server 2016 и Server 2019.

В дополнение к этому разделу доступна следующая документация по NPS.

Сервер политики сети (NPS) позволяет создавать и применять политики сетевого доступа в масштабах всей организации для проверки подлинности и авторизации запросов на подключение.

Вы также можете настроить сервер политики сети в качестве прокси-сервера службы удаленной аутентификации пользователей (RADIUS) для перенаправления запросов на подключение на удаленный сервер политики сети или другой сервер RADIUS, чтобы можно было сбалансировать нагрузку запросов на подключение и перенаправить их в правильный домен для проверки подлинности. и авторизация.

NPS позволяет централизованно настраивать и управлять проверкой подлинности, авторизацией и учетом сетевого доступа с помощью следующих функций:

  • RADIUS-сервер. Сервер политики сети выполняет централизованную проверку подлинности, авторизацию и учет для беспроводных сетей, коммутаторов с проверкой подлинности, удаленного доступа и подключений к виртуальной частной сети (VPN). При использовании NPS в качестве RADIUS-сервера вы настраиваете серверы сетевого доступа, такие как точки беспроводного доступа и VPN-серверы, в качестве RADIUS-клиентов в NPS. Вы также настраиваете сетевые политики, которые NPS использует для авторизации запросов на подключение, и можете настроить учет RADIUS, чтобы NPS регистрировал учетную информацию в файлах журнала на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. в разделе Сервер RADIUS.
  • RADIUS-прокси. Когда вы используете NPS в качестве прокси-сервера RADIUS, вы настраиваете политики запросов на подключение, которые сообщают NPS, какие запросы на подключение следует пересылать на другие серверы RADIUS и на какие серверы RADIUS вы хотите перенаправлять запросы на подключение. Вы также можете настроить NPS для пересылки данных учета для регистрации одним или несколькими компьютерами в группе удаленных серверов RADIUS. Чтобы настроить NPS в качестве прокси-сервера RADIUS, см. следующие разделы. Дополнительные сведения см. в разделе прокси-сервер RADIUS.

Защита доступа к сети (NAP), центр регистрации работоспособности (HRA) и протокол авторизации учетных данных хоста (HCAP) устарели в Windows Server 2012 R2 и недоступны в Windows Server 2016. Если у вас есть развертывание NAP с использованием операционной системах, предшествующих Windows Server 2016, вы не можете перенести развертывание NAP на Windows Server 2016.

Вы можете настроить NPS с любой комбинацией этих функций. Например, вы можете настроить один NPS в качестве сервера RADIUS для VPN-подключений, а также в качестве прокси-сервера RADIUS для пересылки некоторых запросов на подключение членам группы удаленных серверов RADIUS для проверки подлинности и авторизации в другом домене.

Выпуски Windows Server и NPS

NPS предоставляет различные функции в зависимости от установленной версии Windows Server.

Windows Server 2016 или Windows Server 2019 Standard/Datacenter Edition

С помощью NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное количество клиентов RADIUS и групп удаленных серверов RADIUS. Кроме того, вы можете настроить клиентов RADIUS, указав диапазон IP-адресов.

Функция сетевых политик и служб доступа WIndows недоступна в системах, на которых установлена ​​опция установки Server Core.

В следующих разделах представлена ​​более подробная информация о NPS в качестве RADIUS-сервера и прокси-сервера.

RADIUS-сервер и прокси

Вы можете использовать NPS в качестве сервера RADIUS, прокси-сервера RADIUS или того и другого.

RADIUS-сервер

NPS — это реализация Майкрософт стандарта RADIUS, указанная Инженерной группой Интернета (IETF) в документах RFC 2865 и 2866. Будучи сервером RADIUS, NPS выполняет централизованную проверку подлинности, авторизацию и учет при подключении для многих типов доступа к сети, включая беспроводную связь, коммутатор с проверкой подлинности, коммутируемый доступ и удаленный доступ к виртуальной частной сети (VPN), а также соединения маршрутизатор-маршрутизатор.

Информацию о развертывании NPS в качестве сервера RADIUS см. в разделе Развертывание сервера политик сети.

NPS позволяет использовать разнородный набор оборудования для беспроводной связи, коммутаторов, удаленного доступа или VPN. Вы можете использовать NPS со службой удаленного доступа, доступной в Windows Server 2016.

NPS использует домен доменных служб Active Directory (AD DS) или локальную базу данных учетных записей пользователей Security Accounts Manager (SAM) для аутентификации учетных данных пользователя при попытках подключения. Когда сервер, на котором работает NPS, является членом домена AD DS, NPS использует службу каталогов в качестве своей базы данных учетных записей пользователей и является частью решения единого входа. Один и тот же набор учетных данных используется для управления доступом к сети (проверка подлинности и авторизация доступа к сети) и для входа в домен AD DS.

NPS использует свойства коммутируемого доступа учетной записи пользователя и сетевых политик для авторизации подключения.

Провайдеры интернет-услуг (ISP) и организации, обеспечивающие доступ к сети, сталкиваются с повышенной проблемой управления всеми типами доступа к сети из единой точки администрирования, независимо от типа используемого оборудования для доступа к сети. Стандарт RADIUS поддерживает эту функциональность как в гомогенных, так и в гетерогенных средах. RADIUS – это протокол клиент-сервер, который позволяет оборудованию доступа к сети (используемому в качестве клиентов RADIUS) отправлять запросы аутентификации и учета на сервер RADIUS.

Сервер RADIUS имеет доступ к информации об учетной записи пользователя и может проверять учетные данные для аутентификации при доступе к сети. Если учетные данные пользователя аутентифицированы и попытка подключения разрешена, сервер RADIUS разрешает доступ пользователя на основе указанных условий, а затем регистрирует подключение к сети в журнале учета.Использование RADIUS позволяет собирать и хранить данные аутентификации, авторизации и учета пользователей сетевого доступа в центральном расположении, а не на каждом сервере доступа.

Использование NPS в качестве сервера RADIUS

Вы можете использовать NPS в качестве RADIUS-сервера, когда:

  • Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетных записей пользователей для клиентов доступа.
  • Вы используете удаленный доступ на нескольких серверах удаленного доступа, VPN-серверах или маршрутизаторах вызова по требованию и хотите централизовать как настройку сетевых политик, так и ведение журнала подключений и учет.
  • Вы передаете коммутируемый доступ, VPN или беспроводной доступ на аутсорсинг поставщику услуг. Серверы доступа используют RADIUS для проверки подлинности и авторизации соединений, установленных членами вашей организации.
  • Вы хотите централизовать аутентификацию, авторизацию и учет для разнородного набора серверов доступа.

На следующем рисунке показан сервер политики сети в качестве RADIUS-сервера для различных клиентов доступа.

Сервер политики сети как сервер RADIUS

RADIUS-прокси

Являясь прокси-сервером RADIUS, сервер политики сети пересылает сообщения проверки подлинности и учета на сервер политики сети и другие серверы RADIUS. Вы можете использовать NPS в качестве прокси-сервера RADIUS, чтобы обеспечить маршрутизацию сообщений RADIUS между клиентами RADIUS (также называемыми серверами доступа к сети) и серверами RADIUS, которые выполняют проверку подлинности пользователей, авторизацию и учет попыток подключения.

При использовании в качестве прокси-сервера RADIUS NPS представляет собой центральную точку коммутации или маршрутизации, через которую проходят сообщения доступа и учета RADIUS. Сервер политики сети записывает в журнал учета информацию о пересылаемых сообщениях.

Использование NPS в качестве прокси-сервера RADIUS

Вы можете использовать NPS в качестве прокси-сервера RADIUS, когда:

  • Вы являетесь поставщиком услуг, который предлагает аутсорсинговые услуги коммутируемого доступа, VPN или доступа к беспроводной сети нескольким клиентам. Ваши NAS отправляют запросы на подключение к прокси-серверу NPS RADIUS. На основе области имени пользователя в запросе на подключение прокси-сервер NPS RADIUS перенаправляет запрос на подключение на сервер RADIUS, который обслуживается клиентом, и может аутентифицировать и авторизовать попытку подключения.
  • Вы хотите обеспечить проверку подлинности и авторизацию для учетных записей пользователей, которые не являются членами домена, членом которого является NPS, или другого домена, имеющего двустороннее доверие с доменом, членом которого является NPS. Сюда входят учетные записи в недоверенных доменах, односторонних доверенных доменах и других лесах. Вместо того чтобы настраивать серверы доступа для отправки запросов на подключение к серверу NPS RADIUS, вы можете настроить их для отправки запросов на подключение к прокси-серверу NPS RADIUS. Прокси-сервер NPS RADIUS использует часть имени области имени пользователя и перенаправляет запрос серверу политики сети в правильном домене или лесу. Попытки подключения для учетных записей пользователей в одном домене или лесу могут быть аутентифицированы для NAS в другом домене или лесу.
  • Вы хотите выполнить аутентификацию и авторизацию с использованием базы данных, отличной от базы данных учетных записей Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данных авторизации. Примеры других пользовательских баз данных включают службы каталогов Novell (NDS) и базы данных Structured Query Language (SQL).
  • Вы хотите обработать большое количество запросов на подключение. В этом случае вместо того, чтобы настраивать RADIUS-клиенты так, чтобы они пытались сбалансировать свои запросы на подключение и учетные данные между несколькими серверами RADIUS, вы можете настроить их для отправки своих запросов на подключение и учетные данные на прокси-сервер NPS RADIUS. Прокси-сервер NPS RADIUS динамически распределяет нагрузку запросов на подключение и учетные данные между несколькими серверами RADIUS и увеличивает скорость обработки большого количества клиентов RADIUS и проверок подлинности в секунду.
  • Вы хотите обеспечить аутентификацию и авторизацию RADIUS для сторонних поставщиков услуг и свести к минимуму настройку брандмауэра интрасети. Брандмауэр интрасети находится между вашей сетью периметра (сеть между вашей интрасетью и Интернетом) и интрасетью. При размещении сервера политики сети в сети периметра брандмауэр между сетью периметра и интрасетью должен разрешать трафик между сервером политики сети и несколькими контроллерами домена. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешать только трафик RADIUS между прокси-сервером NPS и одним или несколькими NPS в вашей интрасети.

На следующем рисунке показан NPS в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.

NPS как прокси-сервер RADIUS

С помощью NPS организации также могут передать инфраструктуру удаленного доступа поставщику услуг, сохраняя при этом контроль над аутентификацией, авторизацией и учетом пользователей.

Конфигурации NPS можно создавать для следующих сценариев:

  • Беспроводной доступ
  • Коммутируемый доступ организации или удаленный доступ к виртуальной частной сети (VPN)
  • Аутсорсинг коммутируемого или беспроводного доступа
  • Доступ в Интернет
  • Аутентифицированный доступ к ресурсам экстрасети для деловых партнеров

Примеры конфигурации сервера RADIUS и прокси-сервера RADIUS

В следующих примерах конфигурации показано, как настроить NPS в качестве сервера RADIUS и прокси-сервера RADIUS.

NPS в качестве RADIUS-сервера. В этом примере сервер политики сети настроен как сервер RADIUS, политика запросов на подключение по умолчанию является единственной настроенной политикой, и все запросы на подключение обрабатываются локальным сервером политики сети. NPS может аутентифицировать и авторизовать пользователей, чьи учетные записи находятся в домене NPS и в доверенных доменах.

NPS в качестве прокси-сервера RADIUS. В этом примере сервер политики сети настроен как прокси-сервер RADIUS, который перенаправляет запросы на подключение к группам удаленных серверов RADIUS в двух ненадежных доменах. Политика запросов на подключение по умолчанию удаляется, и создаются две новые политики запросов на подключение для пересылки запросов в каждый из двух ненадежных доменов. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.

NPS как сервер RADIUS и прокси-сервер RADIUS. В дополнение к политике запросов на подключение по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запросов на подключение, которая перенаправляет запросы на подключение на сервер политики сети или другой сервер RADIUS в недоверенном домене. Эта вторая политика называется политикой прокси. В этом примере политика прокси появляется первой в упорядоченном списке политик. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется на сервер RADIUS в группе удаленных серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запросов на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из политик, он отклоняется.

NPS в качестве RADIUS-сервера с удаленными серверами учета. В этом примере локальный сервер политики сети не настроен для выполнения учета, а политика запросов на подключение по умолчанию изменена таким образом, что сообщения учета RADIUS перенаправляются на сервер политики сети или другой сервер RADIUS в группе удаленных серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным сопоставлением пользователей RADIUS и Windows. В этом примере NPS действует как сервер RADIUS и как прокси-сервер RADIUS для каждого отдельного запроса на подключение, перенаправляя запрос проверки подлинности на удаленный сервер RADIUS, используя для авторизации локальную учетную запись пользователя Windows. Эта конфигурация реализуется путем настройки атрибута Remote RADIUS to Windows User Mapping в качестве условия политики запросов на подключение. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS с тем же именем, что и у учетной записи удаленного пользователя, для которой удаленный сервер RADIUS выполняет аутентификацию.)

Конфигурация

Чтобы настроить NPS в качестве RADIUS-сервера, можно использовать либо стандартную, либо расширенную конфигурацию в консоли NPS или в диспетчере серверов. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную настройку.

Стандартная конфигурация

При стандартной конфигурации предоставляются мастера, помогающие настроить NPS для следующих сценариев:

  • RADIUS-сервер для удаленного доступа или VPN-подключений
  • RADIUS-сервер для беспроводных и проводных подключений 802.1X

Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев, а затем щелкните ссылку, открывающую мастер.

Расширенная настройка

При использовании расширенной конфигурации вы вручную настраиваете NPS в качестве сервера RADIUS или прокси-сервера RADIUS.

Чтобы настроить сервер политики сети с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с элементом "Дополнительная конфигурация", чтобы развернуть этот раздел.

Предоставляются следующие расширенные элементы конфигурации.

Настроить сервер RADIUS

Чтобы настроить NPS в качестве RADIUS-сервера, необходимо настроить RADIUS-клиенты, сетевую политику и учет RADIUS.

Инструкции по настройке этих параметров см. в следующих разделах.

Настроить прокси-сервер RADIUS

Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, группы удаленных серверов RADIUS и политики запросов на подключение.

Инструкции по настройке этих параметров см. в следующих разделах.

Ведение журнала NPS

Ведение журнала NPS также называется учетом RADIUS. Настройте ведение журнала NPS в соответствии со своими требованиями, используется ли NPS в качестве RADIUS-сервера, прокси-сервера или любой комбинации этих конфигураций.

Чтобы настроить ведение журнала NPS, необходимо указать, какие события вы хотите регистрировать и просматривать с помощью средства просмотра событий, а затем определить, какую другую информацию вы хотите регистрировать. Кроме того, вы должны решить, хотите ли вы регистрировать информацию об аутентификации и учетных данных пользователей в текстовых файлах журнала, хранящихся на локальном компьютере, или в базе данных SQL Server на локальном или удаленном компьютере.

Что такое Microsoft® Windows® NPS (сервер политики сети)? Сетевая безопасность является важнейшим требованием для современных ИТ-организаций. Таким образом, ИТ-администраторы рассматривают варианты управления доступом к сети, включая использование Windows NPS. Но что это?

Что такое Microsoft Windows NPS?

Сервер политики сети Windows — это подмножество функций программного обеспечения Windows Server. По сути, роль NPS для Windows Server заключается в том, чтобы действовать как сервер RADIUS, который аутентифицирует доступ к сети с помощью поставщика удостоверений, Microsoft Active Directory® (AD). Для тех, кто знаком с FreeRADIUS , подумайте о Windows NPS как о собственной реализации Microsoft FreeRADIUS (хотя неясно, использовала ли Microsoft кодовую базу FreeRADIUS, но имеет довольно похожие функции).

Microsoft создала Network Policy Server, чтобы дать ИТ-организациям возможность аутентифицировать клиентские устройства через различные точки доступа к сети, т.е. WiFi, VPN, коммутаторы 802.1x и т. д. Как правило, оборудование для доступа к сети, такое как VPN и точки беспроводного доступа, предпочитает протокол RADIUS, поэтому Microsoft по существу использует NPS в качестве преобразователя для окончательной аутентификации доступа к сети через AD. Если сервер NPS размещен в домене Active Directory, он может легко интегрироваться и, в конечном счете, аутентифицировать доступ к сети через AD.

По сути, логический процесс заключается в том, что пользователь получает доступ к точке доступа Wi-Fi или VPN и отправляет свое имя пользователя и пароль, которые пересылаются на сервер Microsoft NPS по протоколу RADIUS. Затем сервер NPS сверит учетные данные с Active Directory, чтобы определить, разрешен ли пользователю доступ или нет. Такой подход позволяет ИТ-администраторам беспрепятственно интегрировать свое оборудование для доступа к сети, отличное от Windows, для аутентификации с помощью AD.

Недостатки NPS

Хотя этот подход хорошо работал в течение нескольких лет, по мере того, как ИТ-ландшафт перемещается в облако, возникает большое беспокойство по поводу того, действительно ли нужен сервер Microsoft Windows NPS.

Видите ли, отказ от привязки к поставщику и переход к облачным технологиям отталкивают ИТ-организации от традиционных форм управления сетью, таких как AD и NPS. Этот сдвиг в парадигме увеличивает количество предложений «как услуга» на рынке, но возможности управления сетью как услуги ограничены.

К счастью, новое поколение облачных средств управления идентификацией заменяет такие компоненты, как сервер политики сети и Active Directory, на RADIUS-as-a-Service. Более того, этот RADIUS-as-a-Service является частью более крупного поставщика удостоверений SaaS под названием Directory-as-a-Service ® ​​от JumpCloud ® .

Замените NPS на RADIUS-as-a-Service

Администраторы, использующие RADIUS-as-a-Service от JumpCloud, могут аутентифицировать доступ конечных пользователей к сети независимо от используемой системы (Windows, Mac ® , Linux ® ) или местоположения, в котором они его используют. RADIUS-as-a-Service также рекламирует другие функции, такие как MFA для RADIUS или теги VLAN, позволяющие ИТ-организациям полностью защитить доступ своих пользователей к сети.

Поскольку RADIUS-as-a-Service является частью более крупного каталога «Каталог как услуга», он полностью интегрирован с поставщиком облачных удостоверений, что делает его полноценной заменой Windows NPS и Active Directory. Directory-as-a-Service также аутентифицирует доступ пользователей к их системам, приложениям, серверам и многому другому из единой консоли браузера.

Попробовать RADIUS как услугу бесплатно

Ваша организация может абсолютно бесплатно использовать преимущества RADIUS-as-a-Service и остальных продуктов Directory-as-a-Service для десяти пользователей. Просто зарегистрируйтесь в JumpCloud и начните исследовать бесплатно. Вы также можете приобрести только RADIUS со скидкой. Пожалуйста, не стесняйтесь обращаться к нам, если вам нужна дополнительная информация.

Network Policy Server (NPS) — это реализация Microsoft сервера службы удаленной аутентификации пользователей (RADIUS). NPS предоставляет возможности централизованной проверки подлинности, авторизации и учета (AAA) для вашей сети. При такой настройке ваш сервер доступа к сети (NAS) действует как RADIUS-клиент и отправляет все запросы на подключение от пользователей на RADIUS-сервер, на котором запущен NPS в Windows, который затем предоставляет информацию об аутентификации и авторизации обратно в NAS.Пока пользователи подключены к вашей сети, сервер политики сети регистрирует их действия в рамках своей роли учета RADIUS.

Что такое протокол RADIUS?

RADIUS — это сетевой протокол клиент-сервер с функциями управления AAA, который использует протокол пользовательских дейтаграмм (UDP) без установления соединения в качестве транспортного уровня и использует порт 1812 для аутентификации и порт 1813 для авторизации.

Поскольку UDP не требует надежного подключения к сети, использование RADIUS означает минимальную нагрузку на сеть. Однако это также может привести к тайм-аутам запросов в случае плохого качества сети. Когда это происходит, клиент RADIUS отправляет другой запрос на сервер. Чтобы гарантировать, что RADIUS работает на безопасном сетевом соединении, в прошлом были инициативы заставить его работать с протоколом управления передачей (TCP), но они не вышли за рамки экспериментальной стадии.

Процесс аутентификации

Являясь сетевым протоколом клиент-сервер, RADIUS имеет клиентский и серверный компоненты. В типичной сети, использующей RADIUS, процесс аутентификации и авторизации выглядит следующим образом:

  1. NAS выступает в качестве клиента RADIUS и передает запросы аутентификации на сервер RADIUS, который работает как фоновый процесс в Windows или любой другой серверной операционной системе.
    1. Сервер RADIUS аутентифицирует учетные данные пользователя и проверяет права доступа пользователя по своей центральной базе данных, которая может быть в формате плоского файла или храниться во внешнем источнике хранения, таком как SQL Server или Active Directory Server.
      1. Когда RADIUS-сервер находит пользователей и связанные с ними привилегии в своей базе данных, он возвращает сообщение аутентификации и авторизации обратно в NAS, который затем разрешает пользователю доступ к сети и ее набору приложений и служб.
        1. NAS, по-прежнему работающий как клиент RADIUS, передает запросы учета обратно на сервер RADIUS, пока пользователи подключены к сети. Эти запросы регистрируют все действия пользователей на сервере RADIUS.

        RADIUS поддерживает различные механизмы аутентификации, в том числе:

        • Протокол проверки подлинности с вызовом-рукопожатием (CHAP)
        • Протокол аутентификации по паролю (PAP)
        • Расширяемый протокол аутентификации (EAP)

        Совместная проверка подлинности и авторизация в RADIUS сводит к минимуму поток трафика и повышает эффективность сети. RADIUS также поддерживает многофакторную аутентификацию (MFA) с использованием одноразовых паролей или других механизмов, которые часто требуют от клиентов и серверов передачи большего количества сообщений, чем обычно.

        В больших сетях сервер RADIUS также может выступать в качестве прокси-клиента для других серверов RADIUS.

        RADIUS или LDAP: что использовать для централизованной аутентификации?

        Как и RADIUS, облегченный протокол доступа к каталогам (LDAP) используется для аутентификации и авторизации пользователей. LDAP выполняет эту роль, получая доступ и управляя службами каталогов, такими как проприетарная служба Microsoft Active Directory. Что лучше, зависит от ваших конкретных требований.

        Поскольку LDAP использует TLS, соединения и сообщения между клиентом и сервером всегда шифруются. Более того, поскольку LDAP использует TCP, шансы на отбрасывание запросов равны нулю, хотя это часто означает увеличение нагрузки на сеть. Кроме того, LDAP проще настроить, чем RADIUS.

        С другой стороны, LDAP не поддерживает учет пользователей, хотя это можно сделать с помощью других инструментов, таких как Syslog. Он также не поддерживает многофакторную аутентификацию по умолчанию, хотя вы можете использовать другие решения, если вам нужна эта функция.

        РАДИУС

        По умолчанию RADIUS не шифрует никаких других атрибутов, передаваемых между клиентом и сервером, за исключением паролей. Он поддерживает другие механизмы аутентификации, такие как EAP, что позволяет обойти эту слабость. Вы также можете реализовать другие механизмы безопасности, такие как размещение серверов и клиентов за виртуальными частными сетями (VPN) с помощью RADIUS.

        Хотя RADIUS сложнее, он поддерживает учет пользователей и многофакторную аутентификацию, что делает его идеальным для использования на крупных предприятиях. Однако он также полезен для небольших организаций, стремящихся защитить свои сети.

        Сервер политики сети как сервер RADIUS

        В более ранних версиях Windows служба NPS называлась службой проверки подлинности в Интернете (IAS). Начиная с Windows 2008, IAS стал NPS, а Microsoft добавила в этот компонент новые функции, включая защиту доступа к сети и поддержку IPv6. NPS работает со многими типами сетей.

        Для аутентификации учетных данных пользователя в сети Windows NPS использует домен доменных служб Active Directory (AD DS) или локальную базу данных учетных записей пользователей Security Accounts Manager (SAM). Вы можете использовать NPS как часть решения единого входа, если сервер, на котором он запущен, принадлежит домену AD DS. В этом случае NPS выполняет аутентификацию пользователей через базу данных учетных записей пользователей службы каталогов, регистрируя пользователей, прошедших проверку подлинности, в домене AD DS.

        При использовании RADIUS NPS выступает в качестве центрального хранилища пользовательских данных, связанных с аутентификацией, авторизацией и учетом, а не NAS. Если вы объединяете NPS со службами удаленного доступа, вы можете использовать RADIUS для проверки подлинности и авторизации пользователей в ваших сетях удаленного доступа.

        Сервер политики сети как прокси-сервер RADIUS

        Помимо использования NPS в качестве RADIUS-сервера в Windows, вы также можете использовать NPS в качестве прокси-клиента RADIUS, который перенаправляет сообщения проверки подлинности или учетные данные на другие RADIUS-серверы.

        Некоторые сценарии, в которых этот вариант использования полезен, это если вы:

        • Предоставление внешних услуг доступа к сети. Затем вы можете перенаправлять запросы на подключение на серверы RADIUS, которые обслуживают ваши клиенты.
        • Есть учетные записи пользователей, которые не принадлежат к тому же домену, что и RADIUS-сервер Windows, или принадлежат другому домену с двусторонними доверительными отношениями с доменом RADIUS-сервера NPS.
        • Используйте базу данных учетных записей, отличных от Windows.
        • Наличие большого количества пользователей, запрашивающих подключение.
        • Предоставьте своим поставщикам аутентификацию и авторизацию RADIUS.

        Защитите доступ к приложению с помощью Parallels RAS

        Parallels® Remote Application Server (RAS) обладает широким набором функций, помогающих защитить доступ к вашим приложениям и данным, включая поддержку MFA с использованием любого сервера RADIUS.

        Parallels RAS обеспечивает поддержку конфигурации высокой доступности для двух серверов RADIUS. Режимы высокой доступности для серверов RADIUS могут быть установлены как Active-Active для одновременного использования обоих серверов или как Active-Passive для аварийного переключения.

        Кроме того, с помощью Parallels RAS вы можете создавать правила фильтрации для пользователей на основе пользователя, IP-адреса, MAC-адреса и шлюза. С помощью клиентских политик вы можете группировать пользователей и передавать различные настройки Parallels Client на свои пользовательские устройства.

        Parallels RAS поддерживает:

        • Аутентификация с помощью смарт-карты
        • Режим киоска
        • Аутентификация единого входа (SAML SSO) на языке разметки безопасности.

        Parallels RAS также поддерживает шифрование протокола Secure Sockets Layer (SSL) или Федерального стандарта обработки информации (FIPS) 140-2 в соответствии с Общим регламентом по защите данных (GDPR), Законом о переносимости и подотчетности медицинского страхования (HIPAA) и Стандарт безопасности данных индустрии платежных карт (PCI DSS).

        Parallels RAS поставляется со стандартным модулем отчетов, который позволяет преобразовывать необработанные данные в наглядные и интуитивно понятные отчеты.

        Узнайте, как Parallels RAS может защитить ваши сети, загрузив пробную версию.

        Читайте также: