Политики запросов на подключение представляют собой наборы условий и параметров, которые позволяют администраторам сети назначать RADIUS-серверы для выполнения проверки подлинности и авторизации запросов на подключение, получаемых сервером политики сети от RADIUS-клиентов. Политики запросов на подключение можно настраивать, чтобы назначить RADIUS-серверы для RADIUS-учета.
Важно! | |
При развертывании защиты доступа к сети с использованием методов принудительной защиты на основе виртуальной частной сети или 802.1X с проверкой подлинности по протоколу PEAP необходимо настроить проверку подлинности по протоколу PEAP в политике запроса на подключение даже в том случае, если запросы на подключение обрабатываются локально. |
Можно создать такие политики запросов на подключение, чтобы RADIUS-сообщения запроса, направляемые RADIUS-клиентами, обрабатывались локально (с использованием сервера политики сети в качестве RADIUS-сервера), а другие типы сообщений перенаправлялись на другой RADIUS-сервер (с использованием сервера политики сети в качестве RADIUS-прокси).
При применении политик запросов на подключение сервер политики сети может выступать в качестве RADIUS-сервера или RADIUS-прокси в зависимости от следующих факторов:
- Время суток и день недели
- Имя области в запросе на подключение
- Тип запрашиваемого подключения
- IP-адрес RADIUS-клиента
RADIUS-сообщения запроса на доступ обрабатываются или перенаправляются сервером политики сети только в том случае, если параметры входящего сообщения соответствуют, по меньшей мере, одной из политик запросов на подключение, настроенных на данном сервере политики сети. Если произошло совпадение с параметрами политики, которая предусматривает обработку сообщения сервером политики сети, данный сервер выступает в качестве RADIUS-сервера и выполняет проверку подлинности и авторизацию запроса на подключение. Если произошло совпадение с параметрами политики, которая предусматривает перенаправление запроса сервером политики сети, данный сервер выступает в качестве RADIUS-прокси и перенаправляет полученный запрос на подключение на удаленный RADIUS-сервер для обработки.
Если параметры входящего RADIUS-сообщения запроса на подключение не соответствуют ни одной из политик запроса на подключение, RADIUS-клиенту направляется сообщение отказа в доступе, после чего доступ пользователя или компьютера, предпринимающего попытку подключиться к сети, отклоняется.
Примеры конфигурации
В следующих примерах конфигурации демонстрируется использование политик запросов на подключение.
- Сервер политики сети в качестве
RADIUS-сервера
Установленная по умолчанию политика запросов на подключение является единственной настроенной политикой. В данном примере сервер политики сети настроен как RADIUS-сервер и все запросы на подключение обрабатываются локальным сервером политики сети. Сервер политики сети может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене данного сервера или в доверенных доменах.
- Сервер политики сети в качестве
RADIUS-прокси
Установленная по умолчанию политика запросов на подключение удаляется, вместо нее создаются две новые политики запросов на подключение, предусматривающие перенаправление запросов в два разных домена. В данном примере сервер политики сети настроен в качестве RADIUS-прокси. Сервер политики сети не обрабатывает запросы на подключение на локальном сервере. Вместо этого он перенаправляет запросы на подключение на сервер политики сети или другие RADIUS-серверы, настроенные как участники групп удаленных RADIUS-серверов.
- Сервер политики сети, выступающий
одновременно в качестве RADIUS-сервера и RADIUS-прокси
В дополнение к установленной по умолчанию политике запросов на подключение создается новая политика запросов на подключение, которая предусматривает перенаправление запросов на подключение на сервер политики сети или другой RADIUS-сервер, находящийся в домене без доверия. В данном примере политика прокси отображается первой в упорядоченном списке политик. Если запрос на подключение соответствует политике прокси, данный запрос на подключение перенаправляется на RADIUS-сервер в группе удаленных RADIUS-серверов. Если запрос на подключение не соответствует политике прокси, но соответствует установленной по умолчанию политике запросов на подключение, сервер политики сети обрабатывает данный запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из этих политик, он отклоняется.
- Сервер политики сети в качестве
RADIUS-сервера с удаленными серверами учета
В данном примере локальный сервер политики сети не настроен на ведение учета, а заданная по умолчанию политика запросов на подключение пересмотрена таким образом, чтобы RADIUS-сообщения учета перенаправлялись на сервер политики сети или иной RADIUS-сервер в группе удаленных RADIUS-серверов. Несмотря на то, что сообщения учета перенаправляются, сообщения проверки подлинности и авторизации не перенаправляются, а соответствующие функции для локального домена и всех доверенных доменов осуществляются локальным сервером политики сети.
- Сервер политики сети с удаленным
сопоставлением RADIUS и пользователя Windows
В этом примере сервер политики сети выступает как в качестве RADIUS-сервера, так и в качестве RADIUS-прокси для каждого отдельного запроса на подключение, перенаправляя запрос на проверку подлинности на удаленный RADIUS-сервер и одновременно выполняя авторизацию с использованием локальной учетной записи пользователя Windows. Такая конфигурация реализуется путем установки атрибута Сопоставление удаленного сервера RADIUS пользователю Windows в качестве условия политики запросов на подключение. (Помимо этого, необходимо создать локальную учетную запись пользователя с тем же именем, что и удаленная учетная запись, по которой будет выполняться проверка подлинности удаленным RADIUS-сервером.)
Условия
Условия политики запросов на подключение определяют один или несколько RADIUS-атрибутов, которые сравниваются с атрибутами входящего RADIUS-сообщения запроса доступа. При наличии нескольких условий сервер политики сети применяет политику запросов на подключение только в случае совпадения всех условий в сообщении запроса на подключение и в данной политике.
Ниже перечислены доступные атрибуты условий, которые можно настраивать в политиках запросов на подключение.
Группа атрибутов Свойства подключения содержит следующие атрибуты.
- Протокол кадрирования. Используется
для назначения типа кадрирования входящих пакетов. В качестве
примера можно привести протоколы PPP, SLIP, Frame Relay и X.25.
- Тип службы. Используется для
назначения типа запрашиваемой службы. В качестве примеров можно
привести пакетные подключения (подключения по протоколу PPP) и вход
в систему (подключения по протоколу Telnet). Дополнительные
сведения о типах RADIUS-обслуживания см. в документе RFC 2865,
"Протокол RADIUS" (на английском языке).
- Тип туннеля. Используется для
назначения типа туннеля, создаваемого направившим запрос клиентом.
К туннельным типам относятся туннельные протоколы PPTP и L2TP.
Группа атрибутов Ограничения по дням недели и времени суток содержит атрибут Ограничения по дням недели и времени суток. С помощью этого атрибута можно назначить день недели и время суток для попытки подключения. День недели и время суток определяются на основе аналогичных параметров сервера политики сети.
Группа атрибутов Шлюз содержит следующие атрибуты.
- Идентификатор вызываемой станции.
Используется для назначения номера телефона сервера доступа к сети.
Данный атрибут представляет собой строку знаков. Для задания
региональных кодов можно использовать синтаксис соответствия
шаблону.
- Идентификатор NAS. Используется для
назначения имени сервера доступа к сети. Данный атрибут
представляет собой строку знаков. Для задания кодов NAS можно
использовать синтаксис соответствия шаблону.
- IPv4-адрес NAS. Используется для
назначения IPv4-адреса сервера доступа к сети (RADIUS-клиента).
Данный атрибут представляет собой строку знаков. Для задания
IP-сетей можно использовать синтаксис соответствия шаблону.
- IPv6-адрес NAS. Используется для
назначения IPv6-адреса сервера доступа к сети (RADIUS-клиента).
Данный атрибут представляет собой строку знаков. Для задания
IP-сетей можно использовать синтаксис соответствия шаблону.
- Тип порта NAS. Используется для
назначения типа среды, используемой клиентом доступа. В качестве
примера можно привести аналоговые телефонные линии (также
называемые асинхронными линиями), ISDN, туннельные среды или
виртуальные частные сети, беспроводные сети IEEE 802.11, а также
Ethernet-коммутаторы.
Группа атрибутов Удостоверение компьютера содержит атрибут Удостоверение компьютера. С помощью этого атрибута можно указать метод идентификации клиентов в политике.
Группа атрибутов Свойства клиента RADIUS содержит следующие атрибуты.
- Код вызывающей станции. Используется
для назначения номера телефона, используемого вызывающим
устройством (клиентом доступа). Данный атрибут представляет собой
строку знаков. Для задания региональных кодов можно использовать
синтаксис соответствия шаблону.
- Понятное имя клиента. Используется для
назначения имени компьютера RADIUS-клиента, запрашивающего проверку
подлинности. Данный атрибут представляет собой строку знаков. Для
задания клиентских имен можно использовать синтаксис соответствия
шаблону.
- IPv4-адрес клиента. Используется для
назначения IPv4-адреса сервера доступа к сети (RADIUS-клиента).
Данный атрибут представляет собой строку знаков. Для задания
IP-сетей можно использовать синтаксис соответствия шаблону.
- IPv6-адрес клиента. Используется для
назначения IPv6-адреса сервера доступа к сети (RADIUS-клиента).
Данный атрибут представляет собой строку знаков. Для задания
IP-сетей можно использовать синтаксис соответствия шаблону.
- Поставщик клиента. Используется для
назначения поставщика сервера доступа к сети, запрашивающего
проверку подлинности. Производителем сервера доступа к сети
Microsoft NAS является компьютер, на котором выполняется служба
маршрутизации и удаленного доступа. Этот атрибут можно использовать
с целью настройки разных политик для разных производителей серверов
доступа к сети. Данный атрибут представляет собой строку знаков.
Можно использовать синтаксис шаблона.
Группа атрибутов Пользователь содержит атрибут Пользователь. С помощью этого атрибута можно назначить имя пользователя или часть имени пользователя, которые должны совпасть с именем пользователя, указанным клиентом доступа в RADIUS-сообщении. Данный атрибут представляет собой строку символов, которая обычно содержит имя сферы и имя учетной записи пользователя. Для задания имен пользователей можно использовать синтаксис соответствия шаблону.
Параметры
Параметры политики запросов на подключение представляют собой набор свойств, применяемых к входящему RADIUS-сообщению. Параметры состоят из следующих групп свойств:
- Проверка подлинности
- Учет
- Работа с атрибутами
- Дополнительные
Проверка подлинности
С помощью этого параметра можно переопределять параметры проверки подлинности, заданные во всех политиках сети, а также назначать методы и типы проверки подлинности, необходимые для подключения к сети.
Важно! | |
Если метод проверки подлинности настроен в политике запросов на подключение, которая менее безопасна, чем метод, настроенный в политике сети, более безопасный метод проверки подлинности, указанный в политике сети, будет переопределен. Например, если при наличии одной политики сети, согласно которой требуется использовать протокол PEAP-MS-CHAP v2 (метод проверки подлинности на основе пароля для защищенных беспроводных сетей), была настроена политика запросов на подключение, разрешающая неавторизованный доступ, проверка подлинности клиентов с использованием протокола PEAP-MS-CHAP v2 требоваться не будет. В данном примере всем клиентам, подключающимся к сети, предоставляется доступ без проверки подлинности. |
Учет
С помощью этого параметра можно настраивать политику запросов на подключение таким образом, чтобы учетные сведения направлялись на сервер политики сети или иной RADIUS-сервер в группе удаленных RADIUS-серверов для ведения учета в этой группе.
Примечание | |
Если при наличии нескольких RADIUS-серверов требуется хранить все учетные сведения обо всех серверах в единой центральной базе данных учета RADIUS, можно воспользоваться параметром учета политики запросов на подключение на каждом из RADIUS-серверов и задать перенаправление учетных сведений со всех серверов на единый сервер политики сети или другой RADIUS-сервер, назначенный сервером учета. |
Параметры учета политики запросов на подключение действуют независимо от конфигурации учета локального сервера политики сети. Другими словами, если для локального сервера политики сети настроено ведение журнала сведений учета RADIUS в локальном файле или в базе данных Microsoft® SQL Server™, сервер будет вести журнал таким образом даже в том случае, если настроенная политика запросов на подключение предусматривает перенаправление сообщений учета в группу удаленных RADIUS-серверов.
При необходимости вести журнал сведений учета только в удаленном расположении необходимо настроить локальный сервер политики сети таким образом, чтобы он не вел учет, одновременно настроив параметры учета в политике запросов на подключение таким образом, чтобы данные учета перенаправлялись в группу удаленных RADIUS-серверов.
Работа с атрибутами
Предоставлена возможность настроить набор правил поиска и замены, предназначенных для работы с текстовыми строками одного из следующих атрибутов:
- Имя пользователя
- Идентификатор вызываемой станции
- Код вызывающей станции
Обработка в соответствии с правилом поиска и замены выполняется для одного из указанных выше атрибутов до настройки атрибутов проверки подлинности и учета в RADIUS-сообщении. Правила работы с атрибутами применяются только к отдельному атрибуту. Нельзя настроить правила работы с атрибутами для каждого из атрибутов. Помимо этого, список атрибутов для обработки является статическим; в него нельзя добавить дополнительные атрибуты для обработки.
Примечание | |
Если при использовании протокола проверки подлинности MS-CHAP v2 для перенаправления RADIUS-сообщения используется политика запросов на подключение, не допускается работа с атрибутом Пользователь. Единственное исключение – использование знака обратной косой черты (\). Обработка выполняется только в отношении данных, расположенных слева от этого знака. Знак обратной черты обычно используется для обозначения имени домена (данные слева от знака) и имени учетной записи пользователя в домене (сведения справа от знака обратной косой черты). В таком случае допускается применять только правила работы с атрибутами, предусмотренные для изменения или замены имени домена. |
Перенаправление запроса
Для RADIUS-сообщений запроса доступа можно задать следующие параметры перенаправления запросов:
Проверять подлинность запросов на этом сервере. Если этот параметр установлен, для проверки подлинности запроса на подключение на сервере политики сети можно использовать домен Windows NT 4.0, каталог Active Directory или базу данных учетных записей пользователей SAM. Этот параметр также указывает, что для авторизации запроса на подключение используется совпавшая политика сети, настроенная на сервере политики сети, вместе со свойствами набора номера учетной записи пользователя. В данном случае сервер политики сети настроен на работу в качестве RADIUS-сервера.
Перенаправлять запросы на следующую группу внешних RADIUS-серверов. Если этот параметр установлен, сервер политики сети перенаправляет запросы на подключение на указанную группу внешних RADIUS-серверов. Если сервер политики сети получает допустимое сообщение разрешения доступа, которое соответствует сообщению запроса доступа, попытка подключения считается прошедшей проверку подлинности и авторизацию. В данном случае сервер политики сети выступает в качестве RADIUS-прокси.
Принимать пользователей без проверки учетных данных. Если этот параметр установлен, сервер политики сети не выполняет проверку удостоверения пользователя, пытающегося получить доступ к сети, а также не пытается проверить наличие у данного пользователя или компьютера прав на подключение к сети. Если сервер политики сети, настроенный на предоставление доступа без проверки подлинности, получает запрос на подключение, сервер незамедлительно направляет сообщение разрешения доступа данному RADIUS-клиенту и пользователю либо компьютеру предоставляется доступ к сети. Этот параметр используется в некоторых средах принудительного туннелирования, в которых перед проверкой учетных данных пользователя для клиента доступа создается туннель.
Примечание | |
Этот параметр проверки подлинности нельзя использовать в том случае, если клиентом доступа используется протокол проверки подлинности MS-CHAP v2 или EAP-TLS (оба этих протокола требуют взаимной проверки подлинности). При взаимной проверке подлинности клиент доступа предоставляет серверу, проводящему проверку подлинности (серверу политики сети), доказательства того, что он является допустимым клиентом доступа, а проводящий проверку подлинности сервер предоставляет клиенту доступа доказательства того, что он является допустимым сервером проверки подлинности. При использовании этого метода проверки подлинности возвращается сообщение разрешения доступа. Однако сервер проверки подлинности не предоставляет подтверждение клиенту доступа, и взаимная проверка подлинности завершается неудачей. |
Дополнительные
Дополнительные свойства позволяют установить значения ряда RADIUS-атрибутов:
- Добавляемых в ответное RADIUS-сообщение при
использовании сервера сетевой политики в качестве RADIUS-сервера
проверки подлинности или учета.
При наличии атрибутов как в политике сети, так и в политике запросов на подключение, атрибуты, включаемые в ответное RADIUS-сообщение, являются сочетанием этих двух наборов атрибутов.
- Добавляемых в RADIUS-сообщение при
использовании сервера сетевой политики в качестве RADIUS-прокси
проверки подлинности или учета. Если данный атрибут уже включен в
перенаправляемое сообщение, он заменяется значением атрибута,
указанного в политике запросов на подключение.
В дополнение к этому ряд атрибутов, доступных на вкладке Параметры политики запросов на подключение в категорииДополнительно, предоставляет специальные возможности. Например, чтобы разделить проверку подлинности и авторизацию запроса на подключение между двумя базами данных учетных записей пользователей, можно воспользоваться атрибутом Сопоставление пользователей удаленного RADIUS с Windows.
Атрибут Сопоставление пользователей удаленного RADIUS с Windows указывает, что для пользователей, прошедших проверку подлинности на удаленном RADIUS-сервере, будет использоваться авторизация Windows. Другими словами, удаленный RADIUS-сервер выполняет проверку подлинности по учетной записи пользователя в удаленной базе данных учетных записей пользователя, а локальный сервер политики сети выполняет авторизацию запроса на подключение по учетной записи пользователя в локальной базе данных учетных записей пользователей. Это полезно, если требуется предоставлять доступ к сети посетителям.
Например, посетители из партнерской организации могут проходить проверку подлинности на RADIUS-сервере своей организации и использовать учетную запись пользователя Windows в организации текущего пользователя для доступа к гостевой зоне локальной сети этой организации.
К другим атрибутам, обеспечивающим специальные возможности, относятся следующие:
- MS-Quarantine-IPFilter и
MS-Quarantine-Session-Timeout. Эти атрибуты используются при
развертывании компонента управления карантином сетевого доступа
(NAQC) в среде виртуальной частной сети маршрутизации и удаленного
доступа.
- Passport-User-Mapping-UPN-Suffix. С
помощью этого атрибута можно выполнять проверку подлинности
запросов на подключение с использованием учетных данных учетной
записи пользователя Windows Live™ ID.
- Tunnel-Tag. С помощью этого атрибута
устанавливается идентификационный код, которому сервер доступа к
сети должен назначать подключение при развертывании виртуальных
локальных сетей (VLAN).
Политика запросов на подключение по умолчанию
Политика запросов на подключение по умолчанию создается при установке сервера политики сети. Эта политика имеет следующую конфигурацию:
- Параметр Проверка подлинности не
настроен.
- Для параметра Учетные данные не
установлено перенаправление учетных сведений в группу удаленных
RADIUS-серверов.
- Для параметра Атрибут не установлены
правила работы с атрибутами, предусматривающие перенаправление
запросов на подключение в группы удаленных RADIUS-серверов.
- Параметр Перенаправление запроса
настроен таким образом, чтобы запросы на подключение проходили
проверку подлинности и авторизацию на локальном сервере сетевой
политики.
- Атрибуты Дополнительно не
настроены.
В политике запросов на подключение по умолчанию сервер сетевой политики используется в качестве RADIUS-сервера. Чтобы настроить сервер сетевой политики на работу в качестве RADIUS-прокси, необходимо также настроить группу удаленных RADIUS-серверов. Группу удаленных RADIUS-серверов можно создать при создании новой политики запросов на подключение в мастере создания политики запросов на подключение. Установленную по умолчанию политику запросов на подключение можно удалить или настроить ее параметры таким образом, чтобы эта политика обрабатывалась последней.
Примечание | |
Если сервер политики сети установлен на том же компьютере, на котором выполняется служба маршрутизации и удаленного доступа, и для данной службы настроена проверка подлинности и учет Windows, запросы на проверку подлинности и учет этой службы маршрутизации и удаленного доступа могут перенаправляться на RADIUS-сервер. Такое возможно в том случае, если запросы на проверку подлинности и учет от службы маршрутизации и удаленного доступа соответствуют политике запросов на подключение, в которой настроено перенаправление таких запросов в группу удаленных RADIUS-серверов. |