При развертывании подключений удаленного доступа или виртуальной частной сети (virtual private network, VPN) с сервером политики сети, выступающим в качестве RADIUS-сервера, необходимо выполнить следующие действия:
- Установить и настроить серверы доступа к сети
в качестве RADIUS-клиентов.
- Развернуть компоненты для методов проверки
подлинности.
- Настроить сервер политики сети в качестве
RADIUS-сервера.
Установка и настройка серверов доступа к сети (RADIUS-клиентов)
Чтобы развернуть удаленный доступ, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве сервера удаленного доступа. Чтобы развернуть доступ VPN, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве VPN-сервера.
Важно! | |
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
Службу маршрутизации и удаленного доступа можно установить как на локальном сервере политики сети, так и на удаленном компьютере.
Развертывание компонентов для методов проверки подлинности
Для VPN можно использовать следующие методы проверки подлинности:
- Протокол EAP в сочетании с протоколом TLS,
что носит название EAP-TLS.
- Протокол PEAP в сочетании с протоколом
MS-CHAP v2, что носит название PEAP-MS-CHAP v2.
- Протокол PEAP в сочетании с протоколом TLS,
что носит название PEAP-TLS.
При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт-карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт.
При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign.
Дополнительные сведения см. в разделах Обзор протокола EAP и Общие сведения о протоколе PEAP.
Настройка сервера политики сети в качестве RADIUS-сервера.
При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет.
Настройка RADIUS-клиентов
Настройка RADIUS-клиентов выполняется в два этапа:
- Настройка физического RADIUS-клиента, такого
как сервер виртуальной частной сети или удаленного доступа, путем
указания сведений, которые позволят серверу доступа к сети
взаимодействовать с серверами политики сети. К таким сведениям
относится настройка IP-адреса сервера политики сети и общего
секрета в интерфейсе пользователя сервера виртуальной частной сети
или удаленного доступа.
- Добавление нового RADIUS-клиента на сервере
политики сети. На сервере политики сети следует добавить в качестве
RADIUS-клиента каждый сервер виртуальной частной сети или
удаленного доступа. На сервере политики сети можно указать понятное
имя для каждого RADIUS-клиента, а также IP-адрес этого
RADIUS-клиента и общий секрет.
Дополнительные сведения см. в разделе Добавление RADIUS-клиента.
Настройка политик сети
Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться.
Дополнительные сведения см. в разделе Сетевые политики.
Настройка RADIUS-учета
RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере.