RADIUS-сервер

Сервер политики сети может использоваться в качестве RADIUS-сервера для выполнения проверки подлинности, авторизации и учета в отношении RADIUS-клиентов. В качестве RADIUS-клиента может выступать сервер доступа, например, сервер удаленного доступа или точка беспроводного доступа, а также RADIUS-прокси. Если сервер политики сети используется в качестве RADIUS-сервера, он обеспечивает следующие функции:

• Центральная служба проверки подлинности и авторизации для всех запросов на доступ, отправляемых RADIUS-клиентами.
  
  Для проверки подлинности учетных данных пользователей при попытках подключения сервер политики сети использует домен Microsoft® Windows NT® Server 4.0, домен Active Directory® либо базу данных учетных записей пользователей локального диспетчера учетных записей безопасности. Для авторизации подключения сервер политики сети использует свойства удаленного доступа учетной записи пользователя и политики сети.
  
  
• Центральная служба ведения учета для всех запросов на доступ, отправляемых RADIUS-клиентами.
  
  Запросы учета сохраняются в локальном файле журнала или в базе данных Microsoft® SQL Server™ для последующего анализа.
  
  

На рисунке ниже показана работа сервера политики сети в качестве RADIUS-сервера для разных клиентов доступа, а также работа RADIUS-прокси. Для проверки подлинности учетных данных пользователей во входящих RADIUS-сообщениях с запросом доступа сервер политики сети использует домен AD DS.

Если сервер политики сети выступает в качестве RADIUS-сервера, RADIUS-сообщения обеспечивают проверку подлинности, авторизацию и учет для подключений доступа к сети следующим образом:

1. Серверы доступа, такие как серверы удаленного доступа к сети, VPN-серверы и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.
   
   
2. Сервер доступа, на котором указано использование протокола RADIUS в качестве протокола проверки подлинности, авторизации и учета, создает сообщение с запросом доступа и направляет его на сервер политики сети.
   
   
3. Сервер политики сети оценивает сообщение с запросом доступа.
   
   
4. При необходимости сервер политики сети направляет на сервер доступа сообщение отклика доступа. Сервер доступ обрабатывает отклик и направляет на сервер политики сети обновленное сообщение с запросом доступа.
   
   
5. Выполняется проверка учетных данных пользователя и получение свойств удаленного доступа учетной записи пользователя с использованием защищенного подключения к контроллеру домена.
   
   
6. Попытка подключения проходит авторизацию как по свойствам удаленного доступа учетной записи пользователя, так и по политикам сети.
   
   
7. Если попытка подключения успешно прошла проверку подлинности и авторизацию, сервер политики сети направляет на сервер доступа сообщение разрешения доступа.
   
   Если попытка подключения не прошла проверку подлинности или авторизацию, сервер политики сети направляет на сервер доступа сообщение отказа в доступе.
   
   
8. Сервер доступа завершает процедуру подключения с клиентом доступа и направляет сообщение запроса учета на сервер политики сети, где оно помещается в журнал.
   
   
9. Сервер политики сети направляет на сервер доступа отклик об учете.
   
   

	Примечание
	Сервер доступа также направляет сообщения запроса учета при установленном подключении, при закрытии подключения клиента доступа, а также при запуске или остановке сервера доступа.

Сервер политики сети можно использовать как RADIUS-сервер в следующих случаях:

• В качестве базы данных учетных записей пользователей для клиентов доступа используется домен Windows NT Server 4.0, домен Active Directory или база данных учетных записей пользователей локального диспетчера учетных записей безопасности.
  
  
• Служба маршрутизации и удаленного доступа используется на нескольких серверах удаленного доступа, VPN-серверах или маршрутизаторах вызова по требованию, и есть необходимость централизованно выполнять настройку политик сети и ведение журнала подключений для учета.
  
  
• Удаленный доступ, доступ к виртуальной частной сети или беспроводной доступ передается на обслуживание стороннему поставщику услуг. Протокол RADIUS используется на серверах доступа для проверки подлинности и авторизации подключений, выполняемых членами организации.
  
  
• Требуется централизованно выполнять проверку подлинности, авторизацию и учет для разнородного набора серверов доступа.
  
  

	Примечание
	В службе IAS в ОС Windows Server® 2003 политики сети называются политиками удаленного доступа.