對這文章發表回應
發表限制: 非會員 可以發表
讓我們來看看 M$ 官方的說法:
RADIUS 伺服器
適用於: Windows Server 2008
網路原則伺服器 (NPS) 可用來做為遠端驗證撥號使用者服務 (RADIUS) 伺服器,為 RADIUS 用戶端執行驗證、授權以及帳戶處理。RADIUS 用戶端可以是存取伺服器 (例如撥號伺服器或無線存取點) 或 RADIUS Proxy。當 NPS 做為 RADIUS 伺服器時,可提供下列功能:
- 針對 RADIUS 用戶端所傳送的所有存取要求,提供集中的驗證與授權服務。
NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 網域、Active Directory(R) 網域服務 (AD DS) 網域或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫,來驗證嘗試連線的使用者認證。NPS 使用使用者帳戶的撥入內容以及網路原則來授權連線。 - 針對 RADIUS 用戶端所傳送的所有帳戶處理要求,提供集中的帳戶處理記錄服務。
帳戶處理要求會儲存在本機記錄檔或 Microsoft(R) SQL Server(TM) 資料庫中以供分析。
以下圖例顯示做為各種存取用戶端之 RADIUS 伺服器的 NPS,同時還顯示 RADIUS Proxy。NPS 使用 Active Directory(R) 網域對傳入的 RADIUS Access-Request 訊息進行使用者認證驗證。
當 NPS 做為 RADIUS 伺服器時,RADIUS 訊息會以下列方式,為網路存取連線提供驗證、授權以及帳戶處理:
- 存取伺服器,例如撥號網路存取伺服器、VPN 伺服器以及無線存取點,都會從存取用戶端接收連線要求。
- 設定使用 RADIUS 做為驗證、授權以及帳戶處理通訊協定的存取伺服器,會建立 Access-Request 訊息並將它傳送到 NPS 伺服器。
- NPS 伺服器會評估 Access-Request 訊息。
- 必要時,NPS 伺服器會傳送一份 Access-Challenge 訊息給存取伺服器。存取伺服器會處理挑戰,並傳送更新的 Access-Request 給 NPS 伺服器。
- 檢查使用者認證以及取得使用者帳戶的撥入內容時,是透過連到網域控制站的安全連線。
- 授權連線嘗試時,是同時透過使用者帳戶的撥入內容以及網路原則。
- 如果連線嘗試同時通過驗證與授權,NPS 伺服器就會傳送 Access-Challenge 訊息給存取伺服器。
如果連線嘗試未通過驗證或授權,NPS 伺服器就會傳送 Access-Reject 訊息給存取伺服器。 - 存取伺服器會完成與存取用戶端的連線程序,然後傳送 Accounting-Request 訊息給記錄訊息的 NPS 伺服器。
- NPS 伺服器則會傳送 Accounting-Response 給存取伺服器。
 備註 |
|---|
| 當存取用戶端連線關閉時,以及當存取伺服器啟動和停止時,存取伺服器也會在建立連線期間傳送 Accounting-Request 訊息。 |
您可以在下列情況使用 NPS 做為 RADIUS 伺服器:
- 您使用 Windows NT Server 4.0 網域、AD DS 網域或是本機 SAM 使用者帳戶資料庫,做為存取用戶端的使用者帳戶資料庫。
- 您在多個撥號伺服器、VPN 伺服器或指定撥號路由器上使用路由及遠端存取,而想要集中管理網路原則的設定以及帳戶處理的連線記錄。
- 您將撥號、VPN 或無線存取外包給服務提供者。存取伺服器使用 RADIUS 來驗證和授權您組織成員所建立的連線。
- 您想要集中管理一組異質存取伺服器的驗證、授權以及帳戶處理。
| 備註 |
|---|
| 在 Windows Server(R) 2003 作業系統的網際網路驗證服務 (IAS) 中,網路原則又稱為遠端存取原則。 |
原文出處: RADIUS 伺服器
802.1X 無線或有線連線的 RADIUS 伺服器
適用於: Windows Server 2008
當您使用網路原則伺服器 (NPS) 做為遠端驗證撥號使用者服務 (RADIUS) 伺服器來部署 802.1X 有線或無線存取時,必須採取下列步驟:
- 安裝和設定網路存取伺服器 (NAS) 做為 RADIUS 用戶端。
- 部署驗證方法的元件。
- 將 NPS 設定為 RADIUS 伺服器。
安裝和設定網路存取伺服器 (RADIUS 用戶端)
若要部署 802.1X 無線存取,必須安裝和設定無線存取點。若要部署 802.1X 有線存取,必須安裝和設定 802.1X 驗證交換器。
 重要 |
|---|
| 用戶端電腦 (例如無線可攜式電腦及其他執行用戶端作業系統的電腦) 不屬於 RADIUS 用戶端。RADIUS 用戶端是使用 RADIUS 通訊協定來與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 等伺服器) 進行通訊,因此 RADIUS 用戶端是一種網路存取伺服器,例如無線存取點、802.1X 型交換器、虛擬私人網路 (VPN) 伺服器及撥號伺服器等。 |
這兩種情況的網路存取伺服器都必須符合下列需求:
- 支援國際電機電子工程師學會 (IEEE) 標準 802.1X 驗證
- 支援 RADIUS 驗證與 RADIUS 帳戶處理
如果您使用需要工作階段相互關聯的收費或帳戶應用程式,則需要下列項目:
- 支援網際網路工程任務推動小組 (IETF) 在 RFC 2865「遠端驗證撥入使用者服務 (RADIUS)」中定義的類別屬性,以允許 RADIUS 驗證與帳戶處理記錄的工作階段相互關聯。就工作階段相互關聯而言,當您在 NPS 伺服器或 Proxy 設定 RADIUS 帳戶處理時,必須記錄所有的帳戶處理資料,以允許應用程式 (例如收費應用程式) 查詢資料庫、關聯相關的欄位,然後在查詢結果中傳回每個工作階段的彙總檢視。為了至少能夠提供工作階段相互關聯,您必須記錄下列 NPS 帳戶處理資料:NAS-IP-Address;NAS-Identifier (您需要 NAS-IP-Address 與 NAS-Identifier,因為存取伺服器可以傳送任一屬性);Class;Acct-Session-Id;Acct-Multi-Session-Id;Packet-Type;Acct-Status-Type;Acct-Interim-Interval;NAS-Port;以及 Event-Timestamp。
- 支援帳戶處理暫時要求,這些要求會在使用者工作階段期間由部分網路存取伺服器 (NAS) 定期傳送,並加以記錄。將 Acct-Interim-Interval RADIUS 屬性設定成支援 NPS 伺服器遠端存取設定檔中的定期要求時,可以使用此類型的要求。如果您要在 NPS 伺服器記錄暫時要求,NAS 必須支援使用帳戶處理暫時要求。
如果您使用虛擬區域網路 (VLAN),則 NAS 必須支援 VLAN。
網路存取伺服器應該針對廣域網路 (WAN) 環境提供下列項目:
- 支援動態重新傳輸逾時 (RTO) 預估或指數退後,以處理 WAN 環境中的壅塞與延遲。
此外,還有網路存取伺服器應該支援的篩選功能,以便為網路提供增強的安全性。這些篩選選項包括:
- DHCP 篩選。NAS 必須篩選 IP 連接埠,以防止用戶端若為動態主機設定通訊協定 (DHCP) 伺服器時,傳輸 DHCP 廣播訊息。網路存取伺服器必須封鎖用戶端從連接埠 68 傳送 IP 封包到網路。
- DNS 篩選。NAS 必須篩選 IP 連接埠,以防止用戶端以 DNS 伺服器的方式執行。NAS 必須封鎖用戶端從連接埠 53 傳送 IP 封包到網路。
如果您正在部署無線存取點,最好採用支援 Wi-Fi 保護的存取 (WPA)。Windows Vista® 與 Windows XP Service Pack 2 皆支援 WPA。若要部署 WPA,請同時使用支援 WPA 的無線網路介面卡。
部署驗證方法的元件
您可以針對 802.1X 無線與有線使用下列驗證方法:
- 具有傳輸層安全性 (TLS) 之可延伸的驗證通訊協定 (EAP),又稱為 EAP-TLS。
- 具有 Microsoft Challenge Handshake 驗證通訊協定版本 2 (MS-CHAP v2) 的受保護 EAP (PEAP),又稱為 PEAP-MS-CHAP v2。
- 具有 EAP-TLS 的 PEAP,又稱為 PEAP-TLS。
如果是 EAP-TLS 與 PEAP-TLS,您必須安裝和設定 Active Directory(R) 憑證服務 (AD CS),發行憑證給網域成員用戶端電腦和 NPS 伺服器,以部署公開金鑰基礎結構 (PKI)。這些憑證是在驗證程序期間做為用戶端與 NPS 伺服器的識別證明。您也可以部署智慧卡,而不使用用戶端電腦憑證。在此情況下,您必須發行智慧卡與智慧卡讀取裝置給組織員工。
如果是 PEAP-MS-CHAP v2,您可以使用 AD CS 部署自己的憑證授權單位 (CA),以便將憑證簽發給 NPS 伺服器,或者,您可以向用戶端信任的公開受信任的根 CA 購買伺服器憑證,例如 VeriSign。
將 NPS 設定為 RADIUS 伺服器
當您將 NPS 設定為 RADIUS 伺服器時,必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。
設定 RADIUS 用戶端
設定 RADIUS 用戶端有兩個階段:
- 透過可允許網路存取伺服器與 NPS 伺服器通訊的資訊設定實體 RADIUS 用戶端,例如無線存取點或是驗證交換器。此資訊包括設定 NPS 伺服器的 IP 位址以及在存取點或交換器使用者介面中的共用密碼。
- 在 NPS 中,新增 RADIUS 用戶端。在 NPS 伺服器上,將每個存取點或驗證交換器新增為 RADIUS 用戶端。NPS 可讓您為每個 RADIUS 用戶端提供好記的名稱,以及 RADIUS 用戶端的 IP 位址與共用密碼。
如需相關資訊,請參閱 新增 RADIUS 用戶端。
設定網路原則
網路原則是條件、限制和設定的集合,可讓您指定獲得連線到網路之授權的對象以及可進行連線的情況。
如需相關資訊,請參閱 網路原則。
設定 RADIUS 帳戶處理
RADIUS 帳戶處理可讓您將使用者驗證及帳戶處理要求記錄在本機記錄檔中,或記錄在本機電腦或遠端電腦上的 Microsoft(R) SQL Server(R) 資料庫中。
如需相關資訊,請參閱 RADIUS 帳戶處理。
另請參閱
原文出處: 802.1X 無線或有線連線的 RADIUS 伺服器
撥號或 VPN 連線的 RADIUS 伺服器
適用於: Windows Server 2008
部署與網路原則伺服器 (NPS) 的撥號或虛擬私人網路 (VPN) 連線做為 RADIUS 伺服器時,必須採取下列步驟:
- 安裝和設定網路存取伺服器 (NAS) 做為 RADIUS 用戶端。
- 部署驗證方法的元件。
- 將 NPS 設定為 RADIUS 伺服器。
安裝和設定網路存取伺服器 (RADIUS 用戶端)
若要部署撥號存取,您必須安裝和設定 [路由及遠端存取] 做為撥號伺服器。若要部署 VPN 存取,您必須安裝和設定 [路由及遠端存取] 做為 VPN 伺服器。
| 重要 |
|---|
| 用戶端電腦 (例如無線可攜式電腦及其他執行用戶端作業系統的電腦) 不屬於 RADIUS 用戶端。RADIUS 用戶端是使用 RADIUS 通訊協定來與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 等伺服器) 進行通訊,因此 RADIUS 用戶端是一種網路存取伺服器,例如無線存取點、802.1X 型交換器、虛擬私人網路 (VPN) 伺服器及撥號伺服器等。 |
您可以在本機 NPS 伺服器或遠端電腦上安裝 [路由及遠端存取]。
部署驗證方法的元件
如果是 VPN,您可以使用下列驗證方法:
- 具有傳輸層安全性 (TLS) 之可延伸的驗證通訊協定 (EAP),又稱為 EAP-TLS。
- Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2) 的受保護 EAP (PEAP),又稱為 PEAP-MS-CHAP v2。
- 具有傳輸層安全性 (TLS) 的 PEAP,又稱為 PEAP-TLS。
如果是 EAP-TLS 與 PEAP-TLS,您必須安裝和設定 Active Directory(R) 憑證服務 (AD CS),發行憑證給網域成員用戶端電腦和 NPS 伺服器,以部署公開金鑰基礎結構 (PKI)。這些憑證是在驗證程序期間做為用戶端與 NPS 伺服器的識別證明。您也可以部署智慧卡,而不使用用戶端電腦憑證。在此情況下,您必須發行智慧卡與智慧卡讀取裝置給組織員工。
如果是 PEAP-MS-CHAP v2,您可以使用 AD CS 部署自己的憑證授權單位 (CA),以便將憑證簽發給 NPS 伺服器,或者,您可以向用戶端信任的公開受信任的根 CA 購買伺服器憑證,例如 VeriSign。
將 NPS 設定為 RADIUS 伺服器
當您將 NPS 設定為 RADIUS 伺服器時,必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。
設定 RADIUS 用戶端
設定 RADIUS 用戶端有兩個階段:
- 透過可允許網路存取伺服器與 NPS 伺服器通訊的資訊設定實體 RADIUS 用戶端,例如 VPN 伺服器或撥號伺服器。此資訊包括設定 NPS 伺服器的 IP 位址以及在 VPN 伺服器或撥號伺服器使用者介面中的共用密碼。
- 在 NPS 中,新增 RADIUS 用戶端。在 NPS 伺服器上,新增每部 VPN 伺服器或撥號伺服器做為 RADIUS 用戶端。NPS 可讓您為每個 RADIUS 用戶端提供好記的名稱,以及 RADIUS 用戶端的 IP 位址與共用密碼。
如需相關資訊,請參閱 新增 RADIUS 用戶端。
設定網路原則
網路原則是條件、限制和設定的集合,可讓您指定獲得連線到網路之授權的對象以及可進行連線的情況。
如需相關資訊,請參閱 網路原則。
設定 RADIUS 帳戶處理
RADIUS 帳戶處理可讓您將使用者驗證及帳戶處理要求記錄在本機記錄檔中,或記錄在本機電腦或遠端電腦上的 Microsoft(R) SQL Server(R) 資料庫中。
原文出處: 撥號或 VPN 連線的 RADIUS 伺服器