Сервер доступа к сети является устройством, которое предоставляет доступ определенного уровня к крупной сети. Сервер доступа к сети, в котором используется инфраструктура RADIUS, также является RADIUS-клиентом и направляет на RADIUS-сервер запросы на подключение и сообщения учета в ходе проверки подлинности, авторизации и учета.
|
Важно! |
|
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
Чтобы развернуть сервер политики сети в качестве RADIUS-сервера, RADIUS-прокси или сервера политики защиты доступа к сети, необходимо настроить на этом сервере RADIUS-клиентов.
Примеры RADIUS-клиентов
В качестве примеров сервера доступа к сети можно назвать следующие серверы:
- Серверы сетевого доступа, которые
обеспечивают удаленный доступ к корпоративной сети или Интернету.
Примером такого сервера является компьютер под управлением ОС
Windows Server® 2008, на котором выполняется служба
маршрутизации и удаленного доступа и который обеспечивает
традиционный удаленный доступ либо виртуальную частную сеть для
внутренней сети организации.
- Точки беспроводного доступа, которые
обеспечивают доступ к корпоративной сети на физическом уровне с
использованием беспроводных технологий приема и передачи.
- Коммутаторы, которые обеспечивают доступ к
корпоративной сети на физическом уровне с использованием
традиционных технологий локальной сети, таких как Ethernet.
- RADIUS-прокси, которые перенаправляют запросы
на подключение на RADIUS-серверы, входящие в группу удаленных
RADIUS-серверов, настроенную на RADIUS-прокси.
RADIUS-сообщения запроса доступа
RADIUS-клиенты либо создают RADIUS-сообщения запроса доступа и направляют их RADIUS-прокси или RADIUS-серверу, либо направляют на RADIUS-сервер сообщения запроса доступа, полученные ими от другого RADIUS-клиента.
RADIUS-клиенты не обрабатывают сообщения запроса доступа с использованием проверки подлинности, авторизации и учета. Эти функции выполняются только RADIUS-серверами.
Тем не менее, сервер политики сети можно настроить для работы одновременно в качестве RADIUS-прокси и RADIUS-сервера, чтобы он обрабатывал некоторые сообщения запроса доступа и перенаправлял другие сообщения.
Сервер политики сети в качестве RADIUS-клиента
Сервер политики сети выступает в качестве RADIUS-клиента в том случае, если он настроен как RADIUS-прокси и перенаправляет сообщения запроса доступа на обработку другими RADIUS-серверами. При использовании сервера политики сети в качестве RADIUS-прокси требуется выполнить следующие общие действия по настройке:
- На серверах доступа к сети, таких как точки беспроводного
доступа и VPN-серверы, требуется указать IP-адрес сервера политики
сети, выступающего в качестве прокси, как адрес назначенного
RADIUS-сервера или сервера проверки подлинности. Это позволяет
серверам доступа к сети, которые создают сообщения запроса доступа
на основе сведений, полученных от клиентов доступа, перенаправлять
сообщения на данный сервер политики сети.
- Сервер политики, играющий роль прокси, настраивается путем
добавления каждого из серверов доступа к сети в качестве
RADIUS-клиента. Это действие позволяет серверу политики сети
получать сообщения от серверов доступа к сети и взаимодействовать с
ними с использованием проверки подлинности. В дополнение к этому
требуется настроить на сервере политики сети политики запросов на
подключение, которые будут определять, какие сообщения запроса
доступа должны перенаправляться на один или несколько
RADIUS-серверов. В этих политиках также указывается группа
удаленных RADIUS-серверов, в которую сервер политики сети должен
направлять сообщения, полученные от серверов доступа к сети.
- На серверах политики сети или других RADIUS-серверах группы
удаленных RADIUS-серверов, которая настроена на сервере политики
сети, выступающем в качестве прокси, настраивается получение
сообщений от этого сервера политики сети. Данное действие
выполняется путем настройки сервера политики серверов, действующего
как прокси, в качестве RADIUS-клиента.
Свойства RADIUS-клиента
При добавлении RADIUS-клиента в конфигурацию сервера политики сети с помощью оснастки сервера политики сети или с помощью команд netsh для сервера политики сети, на данном сервере настраивается получение RADIUS-сообщений запроса доступа от сервера доступа к сети или от RADIUS-прокси.
При настройке RADIUS-клиента на сервере политики сети можно указать значения следующих свойств:
- Имя клиента
Понятное имя RADIUS-клиента, которое упрощает работу с ним в оснастке сервера политики сети или в командах netsh для сервера политики сети.
- IP-адрес
IPv4-адрес DNS-имени RADIUS-клиента.
- Клиент-поставщик
Поставщик данного RADIUS-клиента. Для свойства "Клиент-поставщик" также можно использовать стандартное значение RADIUS.
- Общий секрет
Текстовая строка, которая используется в качестве пароля при взаимодействии RADIUS-клиентов, RADIUS-серверов и RADIUS-прокси. Если используется атрибут проверки подлинности сообщения, общий секрет также служит в качестве ключа для шифрования RADIUS-сообщений. Эта строка должна быть настроена в RADIUS-клиенте и в оснастке сервера политики сети.
- Атрибут проверки подлинности сообщения
Этот атрибут описан в документе RFC 2869 под названием "Расширения RADIUS"», он представляет собой MD5-хэш всего RADIUS-сообщения. При наличии проверки подлинности RADIUS-сообщения оно проверяется. Если проверка этого RADIUS-сообщения завершает неудачей, сообщение отклоняется. Если в соответствии с параметрами клиента атрибут проверки подлинности сообщения должен присутствовать, однако он отсутствует, данное RADIUS-сообщение отклоняется. Рекомендуется использовать атрибут проверки подлинности сообщения.
Примечание Атрибут проверки подлинности является обязательным и включен по умолчанию при использовании проверки подлинности по протоколу EAP.
- На клиенте поддерживается защита доступа к
сети
Указание на то, что данный RADIUS-клиент поддерживает защиту доступа к сети, и сервер политики сети отправляет атрибуты защиты доступа к сети для RADIUS-клиента в сообщении разрешения доступа.