Resource Limit Is Reached

The website is temporarily unable to service your request as it exceeded resource limit. Please try again later. RADIUS-прокси

508 Resource Limit Is Reached

Resource Limit Is Reached

The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.

Сервер политики сети можно использовать в качестве RADIUS-прокси, что обеспечивает маршрутизацию RADIUS-сообщений между серверами доступа RADIUS-клиентов и RADIUS-серверами, выполняющими проверку подлинности, авторизацию и учет пользователей для попытки подключения. При использовании в качестве RADIUS-прокси сервер политики сети является центральной точкой коммутации или маршрутизации, через которую проходят RADIUS-сообщения доступа и учета. Сервер политики сети заносит в журнал учета сведения о перенаправляемых сообщениях.

На рисунке ниже показан сервер политики сети, выступающий в качестве RADIUS-прокси между RADIUS-клиентами (серверами доступа) и RADIUS-серверами либо другим RADIUS-прокси.

Сервер политики сети в качестве RADIUS-прокси

Если сервер политики сети используется в качестве RADIUS-прокси между RADIUS-клиентом и RADIUS-сервером, RADIUS-сообщения, относящиеся к попыткам подключиться к сети, перенаправляются следующим образом:

  1. Серверы доступа, такие как серверы удаленного доступа к сети, VPN-серверы и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.

  2. Сервер доступа, на котором указано использование протокола RADIUS в качестве протокола проверки подлинности, авторизации и учета, создает сообщение запроса доступа и направляет его на сервер политики сети, который используется как RADIUS-прокси.

  3. Сервер политики сети в качестве RADIUS-прокси получает это сообщение запроса доступа и на основе настроенных на нем политик запросов на подключение определяет, куда должно быть перенаправлено это сообщение запроса доступа.

  4. Сервер политики сети в качестве RADIUS-прокси перенаправляет сообщение запроса доступа на соответствующий RADIUS-сервер.

  5. RADIUS-сервер оценивает сообщение запроса доступа.

  6. При необходимости RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение отклика доступа, которое затем перенаправляется на сервер доступа. Сервер доступа обрабатывает отклик с участием клиента доступа и направляет обновленный запрос доступа на сервер политики сети в качестве RADIUS-прокси, который перенаправляет его на RADIUS-сервер.

  7. RADIUS-сервер выполняет проверку подлинности и авторизацию попытки подключения.

  8. Если подключение успешно прошло проверку подлинности и авторизацию, RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение разрешения доступа, которое затем перенаправляется на сервер доступа.

    Если подключение не прошло проверку подлинности или авторизацию, RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение отказа в доступе, которое затем перенаправляется на сервер доступа.

  9. Сервер доступа завершает процедуру подключения с клиентом доступа и направляет на сервер политики сети в качестве RADIUS-прокси сообщение запроса учета. Сервер политики сети в качестве RADIUS-прокси заносит в журнал учетные данные и перенаправляет сообщение на RADIUS-сервер.

  10. RADIUS-сервер направляет на сервер политики сети в качестве RADIUS-прокси сообщение с ответом учетных данных, которое затем перенаправляется на сервер доступа.

Сервер политики сети можно использовать как RADIUS-прокси в следующих случаях:

  • Если речь идет о поставщике услуг, который предоставляет удаленный доступ, доступ к виртуальной частной сети или беспроводной доступ для нескольких клиентов. Серверы доступа к сети направляют запросы на подключение на сервер политики сети, выступающий в качестве RADIUS-прокси. На основе части имени пользователя в запросе на подключение, отражающей область, сервер политики сети в качестве RADIUS-прокси перенаправляет запрос на подключение на RADIUS-сервер, который обслуживается заказчиком и способен выполнить проверку подлинности и авторизацию попытки подключения.

  • Требуется обеспечить проверку подлинности и авторизацию для учетных записей пользователей, которые не являются ни членами домена, в который входит сервер политики сети, ни членами другого домена, обладающего двусторонним доверием с доменом, в который входит сервер политики сети. Сюда относятся учетные записи в доменах без доверия, доменах с односторонним доверием и других лесах. Вместо настройки для серверов доступа отправки запросов на подключение на сервер политики сети в качестве RADIUS-сервера можно настроить для них отправку запросов на подключение на сервер политики сети в качестве RADIUS-прокси. Сервер политики сети в качестве RADIUS-прокси использует часть имени пользователя, которая является именем области, чтобы перенаправить запрос на сервер политики сети в верном домене или лесу. Попытки подключений для учетных записей пользователей в одном лесу или домене могут проходить проверку подлинности на серверах доступа к сети в другом домене или лесу.

  • Требуется выполнять проверку подлинности и авторизацию с использованием базы данных, которая не является базой данных учетных записей Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на RADIUS-сервер, который обладает доступом к базе данных учетных записей пользователей и сведений для авторизации. К примерам таких баз данных относятся базы данных Novell Directory Services (NDS) и Structured Query Language (SQL).

  • Требуется обрабатывать большое количество запросов на подключение. В этом случае вместо настройки RADIUS-клиентов с целью сбалансировать их запросы на подключение и учет между несколькими RADIUS-серверами можно настроить для них отправку запросов на подключение и учет на сервер политики сети в качестве RADIUS-прокси. Сервер политики сети в качестве RADIUS-прокси динамически балансирует нагрузку запросами на подключение и учет между несколькими RADIUS-серверами и повышает эффективность обработки для большого количества RADIUS-клиентов и больших объемов проверок подлинности.

  • Требуется обеспечить проверку подлинности и авторизацию RADIUS для внешних поставщиков услуг и свести к минимуму настройку брандмауэра внутренней сети. Брандмауэр внутренней сети расположен между сетью периметра (сеть между внутренней сетью и Интернетом) и внутренней сетью. Если серверы политики сети размещены в демилитаризованной зоне, брандмауэр между демилитаризованной зоной и внутренней сетью должен разрешать прохождение трафика между сервером политики сети и несколькими контроллерами домена. После замены сервера политики сети на сервер политики сети, выступающий в качестве прокси-сервера, на брандмауэре требуется разрешить только прохождение RADIUS-трафика между данным сервером политики сети, выступающим в качестве прокси, и одним или несколькими серверами политики сети, расположенными во внутренней сети.


508 Resource Limit Is Reached

Resource Limit Is Reached

The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.