При развертывании беспроводного или проводного доступа по стандарту 802.1X с использованием сервера политики сети в качестве RADIUS-сервера необходимо выполнить следующие действия:
- Установить и настроить серверы доступа к сети
в качестве RADIUS-клиентов.
- Развернуть компоненты для методов проверки
подлинности.
- Настроить сервер политики сети в качестве
RADIUS-сервера.
Установка и настройка серверов доступа к сети (RADIUS-клиентов)
Чтобы развернуть беспроводной доступ на базе порта 802.1X, необходимо установить и настроить точки беспроводного доступа. Чтобы развернуть кабельный доступ на базе порта 802.1X, необходимо установить и настроить коммутаторы с проверкой подлинности на базе порта 802.1X.
Важно! | |
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
В любом случае эти серверы доступа к сети должны отвечать следующим требованиям:
- Поддержка стандарта IEEE для проверки
подлинности 802.1X.
- Поддержка проверки подлинности RADIUS и
RADIUS-учета.
При использовании приложений выставления счетов или учета, для которых требуется корреляция сеансов, должны соблюдаться следующие требования:
- Поддержка атрибута Class в соответствии с
документом IETF RFC 2865 «Протокол RADIUS» (документ может быть на
английском языке) с целью разрешить корреляцию сеансов работы для
записей проверки подлинности RADIUS и RADIUS-учета. Чтобы
обеспечить корреляцию сеансов, при настройке RADIUS-учета на
сервере политики сети, выступающем в качестве сервера или прокси,
необходимо включить запись в журнал всех данных учета, которые
разрешают приложениям (таким как приложения выставления счетов)
запрашивать базу данных, осуществлять корреляцию связанных полей и
возвращать в результатах запроса объединенное представление каждого
из сеансов. Как минимум, чтобы обеспечить корреляцию сеансов
работы, необходимо вести журнал по следующим данным учета на
сервере политики сети: Атрибуты NAS-IP-Address, NAS-Identifier
(требуется регистрировать как атрибут NAS-IP-Address, так и атрибут
NAS-Identifier, поскольку сервер доступа может отправлять любой из
этих атрибутов), Class, Acct-Session-Id, Acct-Multi-Session-Id,
Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port и
Event-Timestamp.
- Поддержка промежуточных запросов учета,
периодически отправляемых некоторыми серверами доступа к сети в
ходе сеанса работы пользователя, которые могут заноситься в журнал.
Этот тип запроса может использоваться в том случае, если для
RADIUS-атрибута Acct-Interim-Interval в профиле удаленного доступа
на сервере политики сети настроена поддержка периодических
запросов. Если необходимо заносить промежуточные запросы в журнал
на сервере политики сети, сервер доступа к сети должен поддерживать
использование промежуточных запросов учета.
Если используются виртуальные локальные сети, серверы доступа к сети должны поддерживать виртуальные локальные сети.
Для сред глобальной сети серверы доступа к сети должны обеспечивать такие функции, как:
- Поддержка динамической оценки времени
ожидания до отключения передачи или экспоненциального отката для
обработки перегрузки и задержек в среде глобальной сети.
В дополнение к этому есть возможности фильтрации, которые должны поддерживать серверы доступа к сети с целью обеспечить повышенную защиту сети. К этим возможностям фильтрации относятся следующие:
- DHCP-фильтрация. Серверы доступа к
сети должны выполнять фильтрацию по IP-портам с целью предотвратить
передачу сообщений DHCP-вещания, если клиентский компьютер является
DHCP-сервером. Серверы доступа к сети должны блокировать отправку
клиентами в сеть IP-пакетов с порта 68.
- DNS-фильтрация. Серверы доступа к сети
должны выполнять фильтрацию по IP-портам с целью предотвратить
работу клиентов в качестве DNS-сервера. Серверы доступа к сети
должны блокировать отправку клиентами в сеть IP-пакетов с порта
53.
При развертывании точек беспроводного доступа рекомендуется обеспечить поддержку протокола WPA. Протокол WPA поддерживается в Windows Vista® и Windows XP; с пакетом обновлений 2. Чтобы развернуть WPA, также используются беспроводные сетевые платы с поддержкой WPA.
Развертывание компонентов для методов проверки подлинности
Для беспроводного и кабельного доступа на базе порта 802.1X можно использовать следующие методы проверки подлинности:
- Протокол EAP в сочетании с протоколом TLS
(такой метод носит название EAP-TLS).
- Протокол PEAP в сочетании с протоколом
MS-CHAP v2 (такой метод носит название PEAP-MS-CHAP v2).
- Протокол PEAP в сочетании с протоколом
EAP-TLS (такой метод носит название PEAP-TLS).
При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт-карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт.
При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign.
Дополнительные сведения см. в разделах Обзор протокола EAP и Общие сведения о протоколе PEAP.
Настройка сервера политики сети в качестве RADIUS-сервера.
При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет.
Настройка RADIUS-клиентов
Настройка RADIUS-клиентов выполняется в два этапа:
- Настройка физического RADIUS-клиента, такого
как точка беспроводного доступа или коммутатор с проверкой
подлинности, путем указания сведений, которые позволят серверу
доступа к сети взаимодействовать с серверами политики сети. К таким
сведениям относится настройка IP-адреса сервера политики сети и
общего секрета в интерфейсе пользователя точки доступа или
коммутатора.
- Добавление нового RADIUS-клиента на сервере
политики сети. На сервере политики сети следует добавить в качестве
RADIUS-клиента каждую точку доступа или коммутатор с проверкой
подлинности. На сервере политики сети можно указать понятное имя
для каждого RADIUS-клиента, а также IP-адрес этого RADIUS-клиента и
общий секрет.
Дополнительные сведения см. в разделе Добавление RADIUS-клиента.
Настройка политик сети
Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться к сети.
Дополнительные сведения см. в разделе Сетевые политики.
Настройка RADIUS-учета
RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере.
Дополнительные сведения см. в разделе RADIUS-учет.