Kurs: 6421: Rešavanje problema i konfiguracija Windows Server 2008 mrežne infrastrukture Materijali vezani uz ovu lekciju: - Test konfiguracija radius klijenata i servera - Konfiguracija RADIUS klijenata i servera (PDF dokument) RADIUS je industry-standard protocol koji je opisan u RFC 2865 „Remote Authentication Dial-in User Service (RADIUS)“, i u RFC 2866 „RADIUS Accounting“. RADIUS nudi mrežnu autentifikaciju i autorizaciju i accounting servis. Sledeće komponente su delovi RADIUS autentifikacione, autorizacione i accounting infrastrukture:
Šta su RADIUS klijenti?Network Access Server (NAS) je uređaj koji nudi neki nivo pristupa u velikim mrežama. NAS koji koristi RADIUS infrastrukturu je takođe RADIUS klijent, koji šalje zahteve za konekcijama i accounting poruke ka RADIUS serveru za autentifikaciju, autorizaciju i accounting. Klijentski kompjuteri, kao što su wireless laptop kompjuteri i drugi kompjuteri na kojima rade klijentski operativni sistemi, nisu RADIUS klijenti. RADIUS klijenti su Network access serveri uključujući wireless access pointe, 802.1x autentifikacione Switch-eve, VPN serveri, Dial-up serveri – zato što oni koriste RADIUS protokol za komunikaciju sa RADIUS serverima kao što su NAP serveri.
Šta je RADIUS Proxy?Možemo da koristimo NPS kao RADIUS proxy da rutiramo poruke između RADIUS klijenata (Access servera) i RADIUS servera koji odrađuje autorizaciju, autentifikaciju i accounting za pokušaje konekcije. Kada koristimo NPS kao RADIUS Proxy, NPS je Central-switching ili Routing Point (tačka rutiranja) kroz koji RADIUS Access i Accounting poruke prolaze. NPS zapisuje informacije u Accounting log koje se odnose na prosleđene poruke. Preporučuje se izgradnja NPS-a kao RADIUS proxy kada je potrebno obezbediti autentifikaciju i autorizaciju za naloge iz šume aktivnog direktorijuma. NPS RADIUS proxy koristi Realm ime (ime koje identifikuje lokaciju korisničkog naloga) koji predstavlja deo korisničkog imena da prosledi zahteve ka RADIUS serveru u target šumi. Ovo dozvoljava da pokušaji konekcije za korisničke naloge iz jedne šume budu autentifikovani za Network Access server u drugoj šumi. Koristeći RADIUS Proxy za Inter-forest autentifikaciju nije potrebno kada obe šume rade u Windows Server 2003 funkcionalnom nivou i između dve šume postoji poverenje. Potrebno je izgraditi NPS kao RADIUS proxy kada je potrebno procesuirati veliki broj zahteva za konekcijama između RAS RADIUS klijenata i RADIUS servera. NPS RADIUS proxy može da smanji saobraćaj između više RADIUS servera, što je komplikovano konfigurisati kada na mreži imamo samo RADIUS servere i RADIUS klijente. Konfigurisanje procesuiranja zahteva za konekcijama (Connection request Procesing)Connection request Policies su setovi uslova (conditions) i postavki koje omogućavaju mrežnim administratorima određivanje RADIUS servera koji bi trebao da odrađuje autentifikaciju i autorizaciju zahteva za konekcijama koje NPS server prima od NPS klijenata. Defoltna Connection-request polisa koristi NPS kao RADIUS server i lokalno procesuira sve zahteve za konekcijama.
Imamo nekoliko mogućih konfiguracija Connection Request Processing-a, i to su:
Šta je Connection Request polisa?Connection Request polise su setovi uslova (conditions) i postavki koje dozvoljavaju mrežnim administratorima da odrede koji RADIUS serveri odrađuju autentifikaciju i autorizaciju zahteva za konekcijama koje je NPS server dobio od RADIUS klijenata. Možemo da konfigurišemo Connection request polise da odredimo koji RADIUS serveri će se koristiti za RADIUS accounting.
|