Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das einem größeren Netzwerk eine bestimmte Zugriffsebene ermöglicht. Ein Netzwerkzugriffsserver, der eine RADIUS-Infrastruktur verwendet, ist auch ein RADIUS-Client, der Verbindungsanforderungen und Kontoführungsnachrichten für die Authentifizierung, Autorisierung und Kontoführung an einen RADIUS-Server sendet.

Wichtig

Clientcomputer wie drahtlose tragbare und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte, 802.1X-fähige Switches, VPN-Server (Virtual Private Network) und Einwählserver), da sie über das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren.

Um Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server, RADIUS-Proxy oder NAP-Richtlinienserver (Network Access Protection, Netzwerkzugriffschutz) bereitzustellen, müssen Sie RADIUS-Clients in NPS konfigurieren.

Beispiele für RADIUS-Clients

Es folgen Beispiele für Netzwerkzugriffsserver:

  • Netzwerkzugriffsserver, die RAS-Konnektivität für das Netzwerk einer Organisation oder für das Internet ermöglichen. Ein Beispiel hierfür wäre ein Computer unter Windows Server® 2008, auf dem der Routing- und RAS-Dienst ausgeführt wird und der dem Intranet einer Organisation traditionelle DFÜ- oder VPN-Remotezugriffsdienste zur Verfügung stellt.

  • Drahtloszugriffspunkte, die auf physikalischer Ebene mithilfe drahtloser Sende- und Empfangstechnologien den Zugriff auf das Netzwerk einer Organisation ermöglichen.

  • Switches, die auf physikalischer Ebene mithilfe traditioneller LAN-Technologien (z. B. Ethernet) den Zugriff auf das Netzwerk einer Organisation ermöglichen.

  • RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten, die Mitglied einer Remote-RADIUS-Servergruppe sind, die für den RADIUS-Proxy konfiguriert ist.

"Access-Request"-RADIUS-Meldungen

RADIUS-Clients erstellen entweder Access-Request-RADIUS-Meldungen und leiten sie an einen RADIUS-Proxy oder RADIUS-Server weiter oder sie leiten Access-Request-Nachrichten an einen RADIUS-Server weiter, den sie von einem anderen RADIUS-Client erhalten haben, aber nicht selbst erstellt haben.

Access-Request-Nachrichten werden von RADIUS-Clients nicht durch Ausführen der Authentifizierung, Autorisierung und Kontoführung verarbeitet. Diese Funktionen werden nur von RADIUS-Servern ausgeführt.

NPS kann jedoch gleichzeitig als RADIUS-Proxy und RADIUS-Server konfiguriert werden, sodass bestimmte Access-Request-Nachrichten verarbeitet und andere Nachrichten weitergeleitet werden.

NPS als RADIUS-Client

NPS dient als RADIUS-Client, wenn Sie ihn als RADIUS-Proxy konfigurieren, um Access-Request-Nachrichten zur Verarbeitung an andere RADIUS-Server weiterzuleiten. Wenn Sie NPS als RADIUS-Proxy verwenden, sind die folgenden allgemeinen Konfigurationsschritte erforderlich:

  1. Für Netzwerkzugriffsserver, wie z. B. Drahtloszugriffspunkte und VPN-Server, wird die IP-Adresse des NPS-Proxy als designierter RADIUS-Server oder Authentifizierungsserver konfiguriert. Auf diese Weise können die Netzwerkzugriffsserver, die Access-Request-Nachrichten basierend auf den von Zugriffsclients empfangenen Informationen erstellen, um Nachrichten an den NPS-Proxy weiterleiten.

  2. Der NPS-Proxy wird konfiguriert, indem jeder Netzwerkzugriffsserver als RADIUS-Client hinzugefügt wird. Dank dieses Konfigurationsschritts kann der NPS-Proxy Nachrichten von den Netzwerkzugriffsservern empfangen und während der Authentifizierung mit ihnen kommunizieren. Darüber hinaus werden Verbindungsanforderungsrichtlinien auf dem NPS-Proxy konfiguriert, um anzugeben, welche Access-Request-Nachrichten an RADIUS-Server weitergeleitet werden sollen. Für diese Richtlinie wird außerdem eine Remote-RADIUS-Servergruppe konfiguriert, wodurch NPS angewiesen wird, wohin die von den Netzwerkzugriffsservern empfangenen Nachrichten gesendet werden sollen.

  3. Die NPS- oder sonstigen RADIUS-Server, die Mitglied der Remote-RADIUS-Servergruppe auf dem NPS-Proxy sind, werden so konfiguriert, dass Nachrichten vom NPS-Proxy empfangen werden. Zu diesem Zweck wird der NPS-Proxy als RADIUS-Client konfiguriert.

RADIUS-Clienteigenschaften

Wenn Sie über das NPS-Snap-In oder mit den netsh-Befehlen für NPS der NPS-Konfiguration einen RADIUS-Client hinzufügen, konfigurieren Sie NPS für den Empfang von Access-Request-RADIUS-Meldungen von einem Netzwerkzugriffsserver oder einem RADIUS-Proxy.

Wenn Sie einen RADIUS-Client in NPS konfigurieren, können Sie die folgenden Eigenschaften festlegen:

  • Clientname

    Ein Anzeigename für den RADIUS-Client, der die Identifizierung der Verwendung des NPS-Snap-Ins oder der netsh-Befehle für NPS vereinfacht.

  • IP-Adresse

    Die IPv4-Adresse (Internet Protocol Version 4) oder der DNS-Name (Domain Name System) des RADIUS-Clients.

  • Clienthersteller

    Der Hersteller des RADIUS-Clients. Sie können auch den RADIUS-Standardwert für Clienthersteller verwenden.

  • Gemeinsamer geheimer Schlüssel

    Eine Textzeichenfolge, die als Kennwort zwischen RADIUS-Clients, RADIUS-Servern und RADIUS-Proxys verwendet wird. Wenn das Message Authenticator-Attribut verwendet wird, wird der gemeinsame geheime Schlüssel auch als Schlüssel zum Verschlüsseln von RADIUS-Meldungen verwendet. Diese Zeichenfolge muss auf dem RADIUS-Client und im NPS-Snap-In konfiguriert werden.

  • Message Authenticator-Attribut

    Dieses Attribut ist in RFC 2869, "RADIUS Extensions", beschrieben und stellt ein MD5-Hash (Message Digest 5) der gesamten RADIUS-Meldung dar. Wenn das Message Authenticator-RADIUS-Attribut vorhanden ist, wird es überprüft. Wenn bei der Überprüfung ein Fehler gemeldet wird, wird die RADIUS-Meldung verworfen. Wenn die Clienteinstellungen das Message Authenticator-Attribut erfordern, es aber nicht vorhanden ist, wird die RADIUS-Meldung verworfen. Die Verwendung des Message Authenticator-Attributs wird empfohlen.

    Hinweis

    Das Message Authenticator-Attribut ist erforderlich und standardmäßig aktiviert, wenn Sie die EAP-Authentifizierung verwenden.

  • Client ist NAP-fähig

    Dies ist ein Hinweis darauf, dass der RADIUS-Client mit dem Netzwerkzugriffsschutz (Network Access Protection, NAP) kompatibel ist, und NPS sendet in der Access-Accept-Nachricht NAP-Attribute an den RADIUS-Client.


Inhaltsverzeichnis