Эта процедура предназначена для добавления сервера доступа к сети в качестве RADIUS-клиента в оснастке сервера политики сети консоли управления (MMC).
При настройке сервера доступа к сети в качестве RADIUS-клиента в оснастке сервера политики сети консоли управления (MMC) этот RADIUS-клиент перенаправляет запросы на подключение от клиентов доступа на сервер политики сети для выполнения проверки подлинности, авторизации и учета.
Важно! | |
Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети. |
Помимо настройки нового RADIUS-клиента необходимо также настроить сервер доступа к сети таким образом, чтобы он мог взаимодействовать с сервером политики сети. Дополнительные сведения см. в документации производителя сервера доступа к сети.
Чтобы настроить нового RADIUS-клиента на сервере политики сети, необходимо выполнить мастер создания RADIUS-клиентов. Ниже указаны действия, которые требуется выполнить в мастере создания RADIUS-клиентов:
- Если сервер доступа к сети поддерживает
использование атрибута Message-Authenticator (также называемого
атрибутом подписи), в окне мастера создания RADIUS-клиентов
выберите параметр Запрос должен содержать атрибут проверки
подлинности сообщения. Если сервер доступа к сети не
поддерживает атрибут Message-Authenticator, не следует выбирать
этот параметр. Включение атрибута Message-Authenticator
обеспечивает более высокую безопасность, если в сетевых политиках в
качестве методов проверки подлинности указаны методы PAP, CHAP,
MS-CHAP и MS-CHAP v2. Протокол EAP предусматривает использование
атрибута Message-Authenticator по умолчанию; при использовании
этого метода нет необходимости включать данный атрибут.
- Если используются политики сети для
конкретных серверов доступа к сети (например, политика сети
содержит атрибуты поставщика), выберите параметр
Клиент-вендор, а затем выберите название производителя
сервера доступа к сети. Если название производителя сервера доступа
к сети неизвестно или отсутствует в списке, выберите параметр
RADIUS Standard.
Примечание | |
Если сервер политики сети получает запрос на подключение от RADIUS-прокси, он не может определить производителя сервера доступа к сети, инициировавшего данный запрос. Это может привести к проблемам, если планируется использовать условия политики доступа к сети, основанные на специфике поставщика клиентского компьютера в сети, где по меньшей мере один RADIUS-клиент выступает в качестве RADIUS-прокси. В данном случае запросы на подключение, перенаправляемые RADIUS-прокси на сервер политики сети, могут не соответствовать ни одной из политик сети, что приведет к отказу в доступе для всех запросов на подключение. По этой причине при использовании RADIUS-прокси необходимо настроить как минимум одну политику сети, не основанную на атрибутах конкретных серверов доступа к сети, например, на атрибуте поставщика. |
Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав.
Добавление нового RADIUS-клиента |
-
Откройте оснастку сервера политики сети в консоли управления (MMC) и дважды щелкните элемент Клиенты и серверы RADIUS.
-
Щелкните правой кнопкой мыши значение RADIUS-клиенты и выберите команду Новый RADIUS-клиент.
-
Выполните нужные действия в мастере создания RADIUS-клиентов