Клиенты RADIUS

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Сервер сетевого доступа (NAS) — это устройство, которое предоставляет некоторый уровень доступа к более крупной сети. NAS, использующий инфраструктуру RADIUS, также является клиентом RADIUS, отправляя запросы на подключение и учетные сообщения на сервер RADIUS для проверки подлинности, авторизации и учета.

Примечание.

Клиентские компьютеры, такие как ноутбуки и другие компьютеры под управлением клиентских операционных систем, не являются клиентами RADIUS. Клиенты RADIUS — это серверы доступа к сети , такие как беспроводные точки доступа, коммутаторы проверки подлинности 802.1X, серверы виртуальной частной сети (VPN) и серверы с телефонным подключением, так как они используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как серверы NPS.

Чтобы развернуть NPS в качестве сервера RADIUS или прокси-сервера RADIUS, необходимо настроить клиенты RADIUS в NPS.

Примеры клиента RADIUS

Примерами серверов доступа к сети являются:

  • Серверы сетевого доступа, обеспечивающие подключение удаленного доступа к сети организации или Интернету. Примером является компьютер под управлением операционной системы Windows Server 2016 и службы удаленного доступа, которая предоставляет либо традиционные службы удаленного доступа по телефону или виртуальной частной сети (VPN) в интрасети организации.
  • Точки беспроводного доступа, обеспечивающие доступ физического уровня к сети организации с помощью беспроводных технологий передачи и приема.
  • Коммутаторы, обеспечивающие доступ физического уровня к сети организации, используя традиционные технологии локальной сети, такие как Ethernet.
  • Прокси-серверы RADIUS, которые перенаправляют запросы на подключение к серверам RADIUS, которые являются членами удаленной группы серверов RADIUS, настроенной на прокси-сервере RADIUS.

Сообщения RADIUS Access-Request

Клиенты RADIUS либо создают сообщения RADIUS Access-Request и перенаправляют их на прокси-сервер RADIUS или СЕРВЕР RADIUS, либо перенаправляют сообщения access-request на сервер RADIUS, полученный от другого клиента RADIUS, но не создали себя.

Клиенты RADIUS не обрабатывают сообщения Access-Request, выполняя проверку подлинности, авторизацию и учет. Только серверы RADIUS выполняют эти функции.

Однако NPS можно настроить как прокси-сервер RADIUS, так и сервер RADIUS одновременно, чтобы он обрабатывал некоторые сообщения Access-Request и пересылал другие сообщения.

NPS в качестве клиента RADIUS

NPS выступает в качестве клиента RADIUS при настройке его в качестве прокси-сервера RADIUS для пересылки сообщений Access-Request на другие серверы RADIUS для обработки. При использовании NPS в качестве прокси-сервера RADIUS необходимо выполнить следующие общие действия по настройке:

  1. Серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются с IP-адресом прокси-сервера NPS в качестве назначенного сервера RADIUS или проверки подлинности сервера. Это позволяет серверам доступа к сети, которые создают сообщения Access-Request на основе информации, полученной от клиентов доступа, для пересылки сообщений в прокси-сервер NPS.

  2. Прокси-сервер NPS настраивается путем добавления каждого сервера доступа к сети в качестве клиента RADIUS. Этот шаг конфигурации позволяет прокси-серверу NPS получать сообщения от серверов доступа к сети и взаимодействовать с ними во время проверки подлинности. Кроме того, политики запросов на подключение на прокси-сервере NPS настраиваются для указания сообщений Access-Request для пересылки на один или несколько серверов RADIUS. Эти политики также настраиваются с удаленной группой серверов RADIUS, которая сообщает NPS, где отправлять сообщения, полученные от серверов доступа к сети.

  3. NPS или другие серверы RADIUS, которые являются членами удаленной группы серверов RADIUS на прокси-сервере NPS, настроены для получения сообщений от прокси-сервера NPS. Это достигается путем настройки прокси-сервера NPS в качестве клиента RADIUS.

Свойства клиента RADIUS

При добавлении клиента RADIUS в конфигурацию NPS через консоль NPS или с помощью команд netsh для команд NPS или Windows PowerShell вы настраиваете NPS для получения сообщений RADIUS Access-Request от сервера доступа к сети или прокси-сервера RADIUS.

При настройке клиента RADIUS в NPS можно указать следующие свойства:

имя клиента;

Понятное имя клиента RADIUS, что упрощает идентификацию при использовании оснастки NPS или команд netsh для NPS.

IP-адрес

Адрес протокола Интернета версии 4 (IPv4) или DNS-имя клиента RADIUS.

Клиент-поставщик

Поставщик клиента RADIUS. В противном случае можно использовать стандартное значение RADIUS для client-Vendor.

Общий секрет

Текстовая строка, используемая в качестве пароля между клиентами RADIUS, серверами RADIUS и прокси-серверами RADIUS. При использовании атрибута Message Authenticator общий секрет также используется в качестве ключа для шифрования сообщений RADIUS. Эта строка должна быть настроена на клиенте RADIUS и в оснастке NPS.

Атрибут Authenticator message

Описано в RFC 2869, "Расширения RADIUS", хэш хэша сообщения 5 (MD5) всего сообщения RADIUS. Если присутствует атрибут RADIUS Message Authenticator, он проверяется. Если проверка завершается ошибкой, сообщение RADIUS не карта. Если для параметров клиента требуется атрибут Authenticator Message Authenticator и он отсутствует, сообщение RADIUS отключено карта. Рекомендуется использовать атрибут Message Authenticator.

Примечание.

Атрибут Message Authenticator является обязательным и включен по умолчанию при использовании проверки подлинности EAP.

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).