Сервер политики сети можно использовать в качестве RADIUS-прокси, что обеспечивает маршрутизацию RADIUS-сообщений между серверами доступа RADIUS-клиентов и RADIUS-серверами, выполняющими проверку подлинности, авторизацию и учет пользователей для попытки подключения. При использовании в качестве RADIUS-прокси сервер политики сети является центральной точкой коммутации или маршрутизации, через которую проходят RADIUS-сообщения доступа и учета. Сервер политики сети заносит в журнал учета сведения о перенаправляемых сообщениях.
На рисунке ниже показан сервер политики сети, выступающий в качестве RADIUS-прокси между RADIUS-клиентами (серверами доступа) и RADIUS-серверами либо другим RADIUS-прокси.
Если сервер политики сети используется в качестве RADIUS-прокси между RADIUS-клиентом и RADIUS-сервером, RADIUS-сообщения, относящиеся к попыткам подключиться к сети, перенаправляются следующим образом:
- Серверы доступа, такие как серверы удаленного доступа к сети,
VPN-серверы и точки беспроводного доступа, получают запросы на
подключение от клиентов доступа.
- Сервер доступа, на котором указано использование протокола
RADIUS в качестве протокола проверки подлинности, авторизации и
учета, создает сообщение запроса доступа и направляет его на сервер
политики сети, который используется как RADIUS-прокси.
- Сервер политики сети в качестве RADIUS-прокси получает это
сообщение запроса доступа и на основе настроенных на нем политик
запросов на подключение определяет, куда должно быть перенаправлено
это сообщение запроса доступа.
- Сервер политики сети в качестве RADIUS-прокси перенаправляет
сообщение запроса доступа на соответствующий RADIUS-сервер.
- RADIUS-сервер оценивает сообщение запроса доступа.
- При необходимости RADIUS-сервер направляет на сервер политики
сети в качестве RADIUS-прокси сообщение отклика доступа, которое
затем перенаправляется на сервер доступа. Сервер доступа
обрабатывает отклик с участием клиента доступа и направляет
обновленный запрос доступа на сервер политики сети в качестве
RADIUS-прокси, который перенаправляет его на RADIUS-сервер.
- RADIUS-сервер выполняет проверку подлинности и авторизацию
попытки подключения.
- Если подключение успешно прошло проверку подлинности и
авторизацию, RADIUS-сервер направляет на сервер политики сети в
качестве RADIUS-прокси сообщение разрешения доступа, которое затем
перенаправляется на сервер доступа.
Если подключение не прошло проверку подлинности или авторизацию, RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение отказа в доступе, которое затем перенаправляется на сервер доступа.
- Сервер доступа завершает процедуру подключения с клиентом
доступа и направляет на сервер политики сети в качестве
RADIUS-прокси сообщение запроса учета. Сервер политики сети в
качестве RADIUS-прокси заносит в журнал учетные данные и
перенаправляет сообщение на RADIUS-сервер.
- RADIUS-сервер направляет на сервер политики сети в качестве
RADIUS-прокси сообщение с ответом учетных данных, которое затем
перенаправляется на сервер доступа.
Сервер политики сети можно использовать как RADIUS-прокси в следующих случаях:
- Если речь идет о поставщике услуг, который
предоставляет удаленный доступ, доступ к виртуальной частной сети
или беспроводной доступ для нескольких клиентов. Серверы доступа к
сети направляют запросы на подключение на сервер политики сети,
выступающий в качестве RADIUS-прокси. На основе части имени
пользователя в запросе на подключение, отражающей область, сервер
политики сети в качестве RADIUS-прокси перенаправляет запрос на
подключение на RADIUS-сервер, который обслуживается заказчиком и
способен выполнить проверку подлинности и авторизацию попытки
подключения.
- Требуется обеспечить проверку подлинности и
авторизацию для учетных записей пользователей, которые не являются
ни членами домена, в который входит сервер политики сети, ни
членами другого домена, обладающего двусторонним доверием с
доменом, в который входит сервер политики сети. Сюда относятся
учетные записи в доменах без доверия, доменах с односторонним
доверием и других лесах. Вместо настройки для серверов доступа
отправки запросов на подключение на сервер политики сети в качестве
RADIUS-сервера можно настроить для них отправку запросов на
подключение на сервер политики сети в качестве RADIUS-прокси.
Сервер политики сети в качестве RADIUS-прокси использует часть
имени пользователя, которая является именем области, чтобы
перенаправить запрос на сервер политики сети в верном домене или
лесу. Попытки подключений для учетных записей пользователей в одном
лесу или домене могут проходить проверку подлинности на серверах
доступа к сети в другом домене или лесу.
- Требуется выполнять проверку подлинности и
авторизацию с использованием базы данных, которая не является базой
данных учетных записей Windows. В этом случае запросы на
подключение, соответствующие указанному имени области,
перенаправляются на RADIUS-сервер, который обладает доступом к базе
данных учетных записей пользователей и сведений для авторизации. К
примерам таких баз данных относятся базы данных Novell Directory
Services (NDS) и Structured Query Language (SQL).
- Требуется обрабатывать большое количество
запросов на подключение. В этом случае вместо настройки
RADIUS-клиентов с целью сбалансировать их запросы на подключение и
учет между несколькими RADIUS-серверами можно настроить для них
отправку запросов на подключение и учет на сервер политики сети в
качестве RADIUS-прокси. Сервер политики сети в качестве
RADIUS-прокси динамически балансирует нагрузку запросами на
подключение и учет между несколькими RADIUS-серверами и повышает
эффективность обработки для большого количества RADIUS-клиентов и
больших объемов проверок подлинности.
- Требуется обеспечить проверку подлинности и
авторизацию RADIUS для внешних поставщиков услуг и свести к
минимуму настройку брандмауэра внутренней сети. Брандмауэр
внутренней сети расположен между сетью периметра (сеть между
внутренней сетью и Интернетом) и внутренней сетью. Если серверы
политики сети размещены в демилитаризованной зоне, брандмауэр между
демилитаризованной зоной и внутренней сетью должен разрешать
прохождение трафика между сервером политики сети и несколькими
контроллерами домена. После замены сервера политики сети на сервер
политики сети, выступающий в качестве прокси-сервера, на
брандмауэре требуется разрешить только прохождение RADIUS-трафика
между данным сервером политики сети, выступающим в качестве прокси,
и одним или несколькими серверами политики сети, расположенными во
внутренней сети.