Сервер доступа к сети является устройством, которое предоставляет доступ определенного уровня к крупной сети. Сервер доступа к сети, в котором используется инфраструктура RADIUS, также является RADIUS-клиентом и направляет на RADIUS-сервер запросы на подключение и сообщения учета в ходе проверки подлинности, авторизации и учета.

Важно!

Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети.

Чтобы развернуть сервер политики сети в качестве RADIUS-сервера, RADIUS-прокси или сервера политики защиты доступа к сети, необходимо настроить на этом сервере RADIUS-клиентов.

Примеры RADIUS-клиентов

В качестве примеров сервера доступа к сети можно назвать следующие серверы:

  • Серверы сетевого доступа, которые обеспечивают удаленный доступ к корпоративной сети или Интернету. Примером такого сервера является компьютер под управлением ОС Windows Server® 2008, на котором выполняется служба маршрутизации и удаленного доступа и который обеспечивает традиционный удаленный доступ либо виртуальную частную сеть для внутренней сети организации.

  • Точки беспроводного доступа, которые обеспечивают доступ к корпоративной сети на физическом уровне с использованием беспроводных технологий приема и передачи.

  • Коммутаторы, которые обеспечивают доступ к корпоративной сети на физическом уровне с использованием традиционных технологий локальной сети, таких как Ethernet.

  • RADIUS-прокси, которые перенаправляют запросы на подключение на RADIUS-серверы, входящие в группу удаленных RADIUS-серверов, настроенную на RADIUS-прокси.

RADIUS-сообщения запроса доступа

RADIUS-клиенты либо создают RADIUS-сообщения запроса доступа и направляют их RADIUS-прокси или RADIUS-серверу, либо направляют на RADIUS-сервер сообщения запроса доступа, полученные ими от другого RADIUS-клиента.

RADIUS-клиенты не обрабатывают сообщения запроса доступа с использованием проверки подлинности, авторизации и учета. Эти функции выполняются только RADIUS-серверами.

Тем не менее, сервер политики сети можно настроить для работы одновременно в качестве RADIUS-прокси и RADIUS-сервера, чтобы он обрабатывал некоторые сообщения запроса доступа и перенаправлял другие сообщения.

Сервер политики сети в качестве RADIUS-клиента

Сервер политики сети выступает в качестве RADIUS-клиента в том случае, если он настроен как RADIUS-прокси и перенаправляет сообщения запроса доступа на обработку другими RADIUS-серверами. При использовании сервера политики сети в качестве RADIUS-прокси требуется выполнить следующие общие действия по настройке:

  1. На серверах доступа к сети, таких как точки беспроводного доступа и VPN-серверы, требуется указать IP-адрес сервера политики сети, выступающего в качестве прокси, как адрес назначенного RADIUS-сервера или сервера проверки подлинности. Это позволяет серверам доступа к сети, которые создают сообщения запроса доступа на основе сведений, полученных от клиентов доступа, перенаправлять сообщения на данный сервер политики сети.

  2. Сервер политики, играющий роль прокси, настраивается путем добавления каждого из серверов доступа к сети в качестве RADIUS-клиента. Это действие позволяет серверу политики сети получать сообщения от серверов доступа к сети и взаимодействовать с ними с использованием проверки подлинности. В дополнение к этому требуется настроить на сервере политики сети политики запросов на подключение, которые будут определять, какие сообщения запроса доступа должны перенаправляться на один или несколько RADIUS-серверов. В этих политиках также указывается группа удаленных RADIUS-серверов, в которую сервер политики сети должен направлять сообщения, полученные от серверов доступа к сети.

  3. На серверах политики сети или других RADIUS-серверах группы удаленных RADIUS-серверов, которая настроена на сервере политики сети, выступающем в качестве прокси, настраивается получение сообщений от этого сервера политики сети. Данное действие выполняется путем настройки сервера политики серверов, действующего как прокси, в качестве RADIUS-клиента.

Свойства RADIUS-клиента

При добавлении RADIUS-клиента в конфигурацию сервера политики сети с помощью оснастки сервера политики сети или с помощью команд netsh для сервера политики сети, на данном сервере настраивается получение RADIUS-сообщений запроса доступа от сервера доступа к сети или от RADIUS-прокси.

При настройке RADIUS-клиента на сервере политики сети можно указать значения следующих свойств:

  • Имя клиента

    Понятное имя RADIUS-клиента, которое упрощает работу с ним в оснастке сервера политики сети или в командах netsh для сервера политики сети.

  • IP-адрес

    IPv4-адрес DNS-имени RADIUS-клиента.

  • Клиент-поставщик

    Поставщик данного RADIUS-клиента. Для свойства "Клиент-поставщик" также можно использовать стандартное значение RADIUS.

  • Общий секрет

    Текстовая строка, которая используется в качестве пароля при взаимодействии RADIUS-клиентов, RADIUS-серверов и RADIUS-прокси. Если используется атрибут проверки подлинности сообщения, общий секрет также служит в качестве ключа для шифрования RADIUS-сообщений. Эта строка должна быть настроена в RADIUS-клиенте и в оснастке сервера политики сети.

  • Атрибут проверки подлинности сообщения

    Этот атрибут описан в документе RFC 2869 под названием "Расширения RADIUS"», он представляет собой MD5-хэш всего RADIUS-сообщения. При наличии проверки подлинности RADIUS-сообщения оно проверяется. Если проверка этого RADIUS-сообщения завершает неудачей, сообщение отклоняется. Если в соответствии с параметрами клиента атрибут проверки подлинности сообщения должен присутствовать, однако он отсутствует, данное RADIUS-сообщение отклоняется. Рекомендуется использовать атрибут проверки подлинности сообщения.

    Примечание

    Атрибут проверки подлинности является обязательным и включен по умолчанию при использовании проверки подлинности по протоколу EAP.

  • На клиенте поддерживается защита доступа к сети

    Указание на то, что данный RADIUS-клиент поддерживает защиту доступа к сети, и сервер политики сети отправляет атрибуты защиты доступа к сети для RADIUS-клиента в сообщении разрешения доступа.