При развертывании беспроводного или проводного доступа по стандарту 802.1X с использованием сервера политики сети в качестве RADIUS-сервера необходимо выполнить следующие действия:

  • Установить и настроить серверы доступа к сети в качестве RADIUS-клиентов.

  • Развернуть компоненты для методов проверки подлинности.

  • Настроить сервер политики сети в качестве RADIUS-сервера.

Установка и настройка серверов доступа к сети (RADIUS-клиентов)

Чтобы развернуть беспроводной доступ на базе порта 802.1X, необходимо установить и настроить точки беспроводного доступа. Чтобы развернуть кабельный доступ на базе порта 802.1X, необходимо установить и настроить коммутаторы с проверкой подлинности на базе порта 802.1X.

Важно!

Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети.

В любом случае эти серверы доступа к сети должны отвечать следующим требованиям:

  • Поддержка стандарта IEEE для проверки подлинности 802.1X.

  • Поддержка проверки подлинности RADIUS и RADIUS-учета.

При использовании приложений выставления счетов или учета, для которых требуется корреляция сеансов, должны соблюдаться следующие требования:

  • Поддержка атрибута Class в соответствии с документом IETF RFC 2865 «Протокол RADIUS» (документ может быть на английском языке) с целью разрешить корреляцию сеансов работы для записей проверки подлинности RADIUS и RADIUS-учета. Чтобы обеспечить корреляцию сеансов, при настройке RADIUS-учета на сервере политики сети, выступающем в качестве сервера или прокси, необходимо включить запись в журнал всех данных учета, которые разрешают приложениям (таким как приложения выставления счетов) запрашивать базу данных, осуществлять корреляцию связанных полей и возвращать в результатах запроса объединенное представление каждого из сеансов. Как минимум, чтобы обеспечить корреляцию сеансов работы, необходимо вести журнал по следующим данным учета на сервере политики сети: Атрибуты NAS-IP-Address, NAS-Identifier (требуется регистрировать как атрибут NAS-IP-Address, так и атрибут NAS-Identifier, поскольку сервер доступа может отправлять любой из этих атрибутов), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port и Event-Timestamp.

  • Поддержка промежуточных запросов учета, периодически отправляемых некоторыми серверами доступа к сети в ходе сеанса работы пользователя, которые могут заноситься в журнал. Этот тип запроса может использоваться в том случае, если для RADIUS-атрибута Acct-Interim-Interval в профиле удаленного доступа на сервере политики сети настроена поддержка периодических запросов. Если необходимо заносить промежуточные запросы в журнал на сервере политики сети, сервер доступа к сети должен поддерживать использование промежуточных запросов учета.

Если используются виртуальные локальные сети, серверы доступа к сети должны поддерживать виртуальные локальные сети.

Для сред глобальной сети серверы доступа к сети должны обеспечивать такие функции, как:

  • Поддержка динамической оценки времени ожидания до отключения передачи или экспоненциального отката для обработки перегрузки и задержек в среде глобальной сети.

В дополнение к этому есть возможности фильтрации, которые должны поддерживать серверы доступа к сети с целью обеспечить повышенную защиту сети. К этим возможностям фильтрации относятся следующие:

  • DHCP-фильтрация. Серверы доступа к сети должны выполнять фильтрацию по IP-портам с целью предотвратить передачу сообщений DHCP-вещания, если клиентский компьютер является DHCP-сервером. Серверы доступа к сети должны блокировать отправку клиентами в сеть IP-пакетов с порта 68.

  • DNS-фильтрация. Серверы доступа к сети должны выполнять фильтрацию по IP-портам с целью предотвратить работу клиентов в качестве DNS-сервера. Серверы доступа к сети должны блокировать отправку клиентами в сеть IP-пакетов с порта 53.

При развертывании точек беспроводного доступа рекомендуется обеспечить поддержку протокола WPA. Протокол WPA поддерживается в Windows Vista® и Windows XP; с пакетом обновлений 2. Чтобы развернуть WPA, также используются беспроводные сетевые платы с поддержкой WPA.

Развертывание компонентов для методов проверки подлинности

Для беспроводного и кабельного доступа на базе порта 802.1X можно использовать следующие методы проверки подлинности:

  • Протокол EAP в сочетании с протоколом TLS (такой метод носит название EAP-TLS).

  • Протокол PEAP в сочетании с протоколом MS-CHAP v2 (такой метод носит название PEAP-MS-CHAP v2).

  • Протокол PEAP в сочетании с протоколом EAP-TLS (такой метод носит название PEAP-TLS).

При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт-карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт.

При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign.

Дополнительные сведения см. в разделах Обзор протокола EAP и Общие сведения о протоколе PEAP.

Настройка сервера политики сети в качестве RADIUS-сервера.

При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет.

Настройка RADIUS-клиентов

Настройка RADIUS-клиентов выполняется в два этапа:

  • Настройка физического RADIUS-клиента, такого как точка беспроводного доступа или коммутатор с проверкой подлинности, путем указания сведений, которые позволят серверу доступа к сети взаимодействовать с серверами политики сети. К таким сведениям относится настройка IP-адреса сервера политики сети и общего секрета в интерфейсе пользователя точки доступа или коммутатора.

  • Добавление нового RADIUS-клиента на сервере политики сети. На сервере политики сети следует добавить в качестве RADIUS-клиента каждую точку доступа или коммутатор с проверкой подлинности. На сервере политики сети можно указать понятное имя для каждого RADIUS-клиента, а также IP-адрес этого RADIUS-клиента и общий секрет.

Дополнительные сведения см. в разделе Добавление RADIUS-клиента.

Настройка политик сети

Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться к сети.

Дополнительные сведения см. в разделе Сетевые политики.

Настройка RADIUS-учета

RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере.

Дополнительные сведения см. в разделе RADIUS-учет.

См. также