Сервер политики сети может использоваться в качестве RADIUS-сервера для выполнения проверки подлинности, авторизации и учета в отношении RADIUS-клиентов. В качестве RADIUS-клиента может выступать сервер доступа, например, сервер удаленного доступа или точка беспроводного доступа, а также RADIUS-прокси. Если сервер политики сети используется в качестве RADIUS-сервера, он обеспечивает следующие функции:

  • Центральная служба проверки подлинности и авторизации для всех запросов на доступ, отправляемых RADIUS-клиентами.

    Для проверки подлинности учетных данных пользователей при попытках подключения сервер политики сети использует домен Microsoft® Windows NT® Server 4.0, домен Active Directory® либо базу данных учетных записей пользователей локального диспетчера учетных записей безопасности. Для авторизации подключения сервер политики сети использует свойства удаленного доступа учетной записи пользователя и политики сети.

  • Центральная служба ведения учета для всех запросов на доступ, отправляемых RADIUS-клиентами.

    Запросы учета сохраняются в локальном файле журнала или в базе данных Microsoft® SQL Server™ для последующего анализа.

На рисунке ниже показана работа сервера политики сети в качестве RADIUS-сервера для разных клиентов доступа, а также работа RADIUS-прокси. Для проверки подлинности учетных данных пользователей во входящих RADIUS-сообщениях с запросом доступа сервер политики сети использует домен AD DS.

Сервер политики сети в качестве RADIUS-сервера

Если сервер политики сети выступает в качестве RADIUS-сервера, RADIUS-сообщения обеспечивают проверку подлинности, авторизацию и учет для подключений доступа к сети следующим образом:

  1. Серверы доступа, такие как серверы удаленного доступа к сети, VPN-серверы и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.

  2. Сервер доступа, на котором указано использование протокола RADIUS в качестве протокола проверки подлинности, авторизации и учета, создает сообщение с запросом доступа и направляет его на сервер политики сети.

  3. Сервер политики сети оценивает сообщение с запросом доступа.

  4. При необходимости сервер политики сети направляет на сервер доступа сообщение отклика доступа. Сервер доступ обрабатывает отклик и направляет на сервер политики сети обновленное сообщение с запросом доступа.

  5. Выполняется проверка учетных данных пользователя и получение свойств удаленного доступа учетной записи пользователя с использованием защищенного подключения к контроллеру домена.

  6. Попытка подключения проходит авторизацию как по свойствам удаленного доступа учетной записи пользователя, так и по политикам сети.

  7. Если попытка подключения успешно прошла проверку подлинности и авторизацию, сервер политики сети направляет на сервер доступа сообщение разрешения доступа.

    Если попытка подключения не прошла проверку подлинности или авторизацию, сервер политики сети направляет на сервер доступа сообщение отказа в доступе.

  8. Сервер доступа завершает процедуру подключения с клиентом доступа и направляет сообщение запроса учета на сервер политики сети, где оно помещается в журнал.

  9. Сервер политики сети направляет на сервер доступа отклик об учете.

Примечание

Сервер доступа также направляет сообщения запроса учета при установленном подключении, при закрытии подключения клиента доступа, а также при запуске или остановке сервера доступа.

Сервер политики сети можно использовать как RADIUS-сервер в следующих случаях:

  • В качестве базы данных учетных записей пользователей для клиентов доступа используется домен Windows NT Server 4.0, домен Active Directory или база данных учетных записей пользователей локального диспетчера учетных записей безопасности.

  • Служба маршрутизации и удаленного доступа используется на нескольких серверах удаленного доступа, VPN-серверах или маршрутизаторах вызова по требованию, и есть необходимость централизованно выполнять настройку политик сети и ведение журнала подключений для учета.

  • Удаленный доступ, доступ к виртуальной частной сети или беспроводной доступ передается на обслуживание стороннему поставщику услуг. Протокол RADIUS используется на серверах доступа для проверки подлинности и авторизации подключений, выполняемых членами организации.

  • Требуется централизованно выполнять проверку подлинности, авторизацию и учет для разнородного набора серверов доступа.

Примечание

В службе IAS в ОС Windows Server® 2003 политики сети называются политиками удаленного доступа.