Сервер политики сети можно использовать в качестве RADIUS-прокси, что обеспечивает маршрутизацию RADIUS-сообщений между серверами доступа RADIUS-клиентов и RADIUS-серверами, выполняющими проверку подлинности, авторизацию и учет пользователей для попытки подключения. При использовании в качестве RADIUS-прокси сервер политики сети является центральной точкой коммутации или маршрутизации, через которую проходят RADIUS-сообщения доступа и учета. Сервер политики сети заносит в журнал учета сведения о перенаправляемых сообщениях.

На рисунке ниже показан сервер политики сети, выступающий в качестве RADIUS-прокси между RADIUS-клиентами (серверами доступа) и RADIUS-серверами либо другим RADIUS-прокси.

Сервер политики сети в качестве RADIUS-прокси

Если сервер политики сети используется в качестве RADIUS-прокси между RADIUS-клиентом и RADIUS-сервером, RADIUS-сообщения, относящиеся к попыткам подключиться к сети, перенаправляются следующим образом:

  1. Серверы доступа, такие как серверы удаленного доступа к сети, VPN-серверы и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.

  2. Сервер доступа, на котором указано использование протокола RADIUS в качестве протокола проверки подлинности, авторизации и учета, создает сообщение запроса доступа и направляет его на сервер политики сети, который используется как RADIUS-прокси.

  3. Сервер политики сети в качестве RADIUS-прокси получает это сообщение запроса доступа и на основе настроенных на нем политик запросов на подключение определяет, куда должно быть перенаправлено это сообщение запроса доступа.

  4. Сервер политики сети в качестве RADIUS-прокси перенаправляет сообщение запроса доступа на соответствующий RADIUS-сервер.

  5. RADIUS-сервер оценивает сообщение запроса доступа.

  6. При необходимости RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение отклика доступа, которое затем перенаправляется на сервер доступа. Сервер доступа обрабатывает отклик с участием клиента доступа и направляет обновленный запрос доступа на сервер политики сети в качестве RADIUS-прокси, который перенаправляет его на RADIUS-сервер.

  7. RADIUS-сервер выполняет проверку подлинности и авторизацию попытки подключения.

  8. Если подключение успешно прошло проверку подлинности и авторизацию, RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение разрешения доступа, которое затем перенаправляется на сервер доступа.

    Если подключение не прошло проверку подлинности или авторизацию, RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение отказа в доступе, которое затем перенаправляется на сервер доступа.

  9. Сервер доступа завершает процедуру подключения с клиентом доступа и направляет на сервер политики сети в качестве RADIUS-прокси сообщение запроса учета. Сервер политики сети в качестве RADIUS-прокси заносит в журнал учетные данные и перенаправляет сообщение на RADIUS-сервер.

  10. RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение с ответом учетных данных, которое затем перенаправляется на сервер доступа.

Сервер политики сети можно использовать как RADIUS-прокси в следующих случаях:

  • Если речь идет о поставщике услуг, который предоставляет удаленный доступ, доступ к виртуальной частной сети или беспроводной доступ для нескольких клиентов. Серверы доступа к сети направляют запросы на подключение на сервер политики сети, выступающий в качестве RADIUS-прокси. На основе части имени пользователя в запросе на подключение, отражающей область, сервер политики сети в качестве RADIUS-прокси перенаправляет запрос на подключение на RADIUS-сервер, который обслуживается заказчиком и способен выполнить проверку подлинности и авторизацию попытки подключения.

  • Требуется обеспечить проверку подлинности и авторизацию для учетных записей пользователей, которые не являются ни членами домена, в который входит сервер политики сети, ни членами другого домена, обладающего двусторонним доверием с доменом, в который входит сервер политики сети. Сюда относятся учетные записи в доменах без доверия, доменах с односторонним доверием и других лесах. Вместо настройки для серверов доступа отправки запросов на подключение на сервер политики сети в качестве RADIUS-сервера можно настроить для них отправку запросов на подключение на сервер политики сети в качестве RADIUS-прокси. Сервер политики сети в качестве RADIUS-прокси использует часть имени пользователя, которая является именем области, чтобы перенаправить запрос на сервер политики сети в верном домене или лесу. Попытки подключений для учетных записей пользователей в одном лесу или домене могут проходить проверку подлинности на серверах доступа к сети в другом домене или лесу.

  • Требуется выполнять проверку подлинности и авторизацию с использованием базы данных, которая не является базой данных учетных записей Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на RADIUS-сервер, который обладает доступом к базе данных учетных записей пользователей и сведений для авторизации. К примерам таких баз данных относятся базы данных Novell Directory Services (NDS) и Structured Query Language (SQL).

  • Требуется обрабатывать большое количество запросов на подключение. В этом случае вместо настройки RADIUS-клиентов с целью сбалансировать их запросы на подключение и учет между несколькими RADIUS-серверами можно настроить для них отправку запросов на подключение и учет на сервер политики сети в качестве RADIUS-прокси. Сервер политики сети в качестве RADIUS-прокси динамически балансирует нагрузку запросами на подключение и учет между несколькими RADIUS-серверами и повышает эффективность обработки для большого количества RADIUS-клиентов и больших объемов проверок подлинности.

  • Требуется обеспечить проверку подлинности и авторизацию RADIUS для внешних поставщиков услуг и свести к минимуму настройку брандмауэра внутренней сети. Брандмауэр внутренней сети расположен между сетью периметра (сеть между внутренней сетью и Интернетом) и внутренней сетью. Если серверы политики сети размещены в демилитаризованной зоне, брандмауэр между демилитаризованной зоной и внутренней сетью должен разрешать прохождение трафика между сервером политики сети и несколькими контроллерами домена. После замены сервера политики сети на сервер политики сети, выступающий в качестве прокси-сервера, на брандмауэре требуется разрешить только прохождение RADIUS-трафика между данным сервером политики сети, выступающим в качестве прокси, и одним или несколькими серверами политики сети, расположенными во внутренней сети.