Vue d’ensemble du serveur de stratégie réseau

Cet article fournit une vue d’ensemble du serveur de stratégie réseau (NPS) dans Windows Server. Vous pouvez utiliser NPS pour créer et appliquer des stratégies d’accès réseau à l’échelle de l’organisation pour l’authentification et l’autorisation de demande de connexion. Vous pouvez également configurer NPS en tant que proxy RADIUS (Remote Authentication Dial-In User Service). Lorsque vous utilisez NPS comme proxy RADIUS, NPS transfère les demandes de connexion à un serveur RADIUS NPS distant ou à d’autres serveurs RADIUS. Vous pouvez utiliser la configuration du proxy pour équilibrer la charge des demandes de connexion et les transférer vers le domaine approprié pour l’authentification et l’autorisation. NPS est installé lorsque vous installez le rôle NPAS (Network Policy and Access Services) dans Windows Server.

Fonctionnalités NPS

Vous pouvez utiliser NPS pour configurer et gérer de manière centralisée l’authentification, l’autorisation et la comptabilité de l’accès réseau. NPS offre les fonctionnalités suivantes à cet effet :

• Serveur RADIUS. Le serveur NPS effectue de façon centralisée les processus d’authentification, d’autorisation et de gestion des comptes pour les connexions sans fil, par commutateur d’authentification, par accès à distance et réseau privé virtuel (VPN). Lorsque vous utilisez NPS comme serveur RADIUS, vous configurez les composants suivants :

  • Serveurs d’accès réseau, tels que les points d’accès sans fil et les serveurs VPN. Vous les configurez en tant que clients RADIUS dans NPS.
  • Stratégies réseau que NPS utilise pour autoriser les demandes de connexion.
  • Comptabilité RADIUS. Ce composant est facultatif. Si vous le configurez, NPS enregistre les informations de comptabilité dans des fichiers de journal sur le disque dur local ou dans une base de données Microsoft SQL Server.

  Pour plus d’informations, consultez le serveur RADIUS.

• Proxy RADIUS. Lorsque vous utilisez NPS comme proxy RADIUS, vous configurez des stratégies de demande de connexion qui indiquent à NPS :

  • Spécifiez les demandes de connexion à transférer vers d’autres serveurs RADIUS.
    • Définissez les serveurs RADIUS cibles auxquels ces demandes de connexion sont transférées.

  En outre, vous pouvez configurer NPS pour transférer des données comptables à des fins de journalisation vers un ou plusieurs ordinateurs au sein d’un groupe de serveurs RADIUS distant. Pour configurer NPS en tant que serveur proxy RADIUS, consultez les ressources suivantes :

  • Proxy RADIUS
  • Configurer des stratégies de demande de connexion

• Comptabilité RADIUS. Vous pouvez configurer NPS pour journaliser les événements sur un fichier journal local ou sur une instance locale ou distante de SQL Server. Pour plus d’informations, consultez NPS logging.

Vous pouvez configurer NPS avec n’importe quelle combinaison de ces fonctionnalités. Par exemple, vous pouvez configurer un déploiement NPS en tant que serveur RADIUS pour les connexions VPN. Vous pouvez également configurer ce même déploiement qu’un proxy RADIUS pour transférer certaines demandes de connexion. Plus précisément, il peut transférer certaines demandes aux membres d’un groupe de serveurs RADIUS distant pour l’authentification et l’autorisation dans un autre domaine.

Options d’installation de Windows Server et NPS

La disponibilité des fonctionnalités NPS dépend des options que vous sélectionnez lors de l’installation de Windows Server :

• Lorsque vous utilisez l’option d’installation du serveur avec expérience utilisateur, le rôle NPAS est disponible sur Windows Server. Le rôle est disponible sur les éditions Standard et Datacenter.
• Lorsque vous utilisez l’option d’installation server Core, le rôle NPAS n’est pas disponible.

Serveur RADIUS et proxy

Vous pouvez utiliser NPS comme serveur RADIUS, proxy RADIUS ou les deux. Les sections suivantes fournissent des informations détaillées sur ces utilisations.

Serveur RADIUS

NPS est l’implémentation Microsoft de la norme RADIUS spécifiée par le Groupe de travail d’ingénierie Internet (IETF) dans request for comments (RFCs) 2865 et 2866. En tant que serveur RADIUS, NPS effectue une authentification de connexion centralisée, une autorisation et une comptabilité pour de nombreux types d’accès réseau. Parmi les types d’accès au réseau, citons l’accès sans fil, l’authentification des commutateurs, l’accès à distance par ligne commutée et VPN, ainsi que les connexions de routeur à routeur.

NPS prend en charge l’utilisation d’un ensemble hétérogène d’équipements sans fil, commutateur, accès à distance ou VPN. Vous pouvez utiliser NPS avec le service d’accès à distance, disponible dans Windows Server.

NPS utilise un domaine services de domaine Active Directory (AD DS) ou la base de données de comptes d’utilisateur du Gestionnaire de comptes de sécurité (SAM) locale pour authentifier les informations d’identification de l’utilisateur pour les tentatives de connexion. Lorsqu’un serveur exécutant NPS est membre d’un domaine AD DS, NPS utilise le service d’annuaire comme base de données de compte d’utilisateur. Dans ce cas, NPS fait partie d’une solution d’authentification unique. Le même ensemble d’informations d’identification est utilisé pour le contrôle d’accès réseau (authentification et autorisation de l’accès à un réseau) et pour se connecter à un domaine AD DS.

Les fournisseurs de services Internet (ISP) et les organisations qui maintiennent l’accès réseau ont un défi accru. Ils doivent gérer tous les types d’accès réseau à partir d’un point d’administration unique, quel que soit le type d’équipement d’accès réseau utilisé. La norme RADIUS prend en charge cette fonctionnalité dans les environnements homogènes et hétérogènes. RADIUS est un protocole client-serveur qui permet aux équipements d’accès réseau (utilisés en tant que clients RADIUS), d’envoyer des demandes d’authentification et de gestion des comptes à un serveur RADIUS.

Un serveur RADIUS a accès aux informations de compte d’utilisateur et peut vérifier les informations d’authentification d’accès réseau. Si les informations d’identification de l’utilisateur sont authentifiées et que la tentative de connexion est autorisée, le serveur RADIUS autorise l’accès utilisateur en fonction des conditions spécifiées. Ensuite, le serveur RADIUS enregistre la connexion d’accès réseau dans un journal de comptabilité. L’utilisation de RADIUS permet aux données d’authentification, d’autorisation et de comptabilité de l’utilisateur d’accès réseau d’être collectées et conservées dans un emplacement central, plutôt que sur chaque serveur d’accès.

Utiliser NPS en tant que serveur RADIUS

Vous pouvez utiliser NPS comme serveur RADIUS dans les cas suivants :

• Vous utilisez un domaine AD DS ou la base de données des comptes d’utilisateur SAM locaux comme base de données de compte d’utilisateur pour les clients d’accès.
• Vous utilisez l'accès à distance sur plusieurs serveurs d'accès commuté, serveurs VPN ou routeurs de numérotation à la demande, et vous souhaitez centraliser à la fois la configuration des stratégies réseau et l'enregistrement des connexions.
• Vous externalisez votre accès par modem, VPN ou sans fil à un fournisseur de services. Les serveurs d’accès utilisent RADIUS pour authentifier et autoriser les connexions effectuées par les membres de votre organisation.
• Vous souhaitez centraliser l’authentification, l’autorisation et la comptabilité pour un ensemble hétérogène de serveurs d’accès.

Le diagramme suivant montre NPS en tant que serveur RADIUS pour différents clients d’accès.

Proxy RADIUS

En tant que proxy RADIUS, NPS transfère les messages d’authentification et de comptabilité aux serveurs RADIUS NPS et à d’autres serveurs RADIUS. Lorsque vous utilisez NPS comme proxy RADIUS, il route les messages RADIUS entre les clients RADIUS et les serveurs RADIUS. Les clients RADIUS sont également appelés serveurs d’accès réseau. Les serveurs RADIUS effectuent l’authentification, l’autorisation et la comptabilité de l’utilisateur pour la tentative de connexion.

Vous pouvez configurer un nombre illimité de clients RADIUS et de groupes de serveurs RADIUS distants dans NPS. Vous pouvez également configurer des clients RADIUS en spécifiant une plage d’adresses IP.

Lorsque vous utilisez NPS comme proxy RADIUS, il sert de point de basculement ou de routage central via lequel les messages d’accès RADIUS et de comptabilité circulent. NPS enregistre des informations dans un journal de comptabilité sur les messages transférés.

Utiliser NPS comme proxy RADIUS

Vous pouvez utiliser NPS comme proxy RADIUS dans les cas suivants :

• Vous êtes un fournisseur de services qui propose des services externalisés d'accès commuté, VPN, ou d'accès réseau sans fil à plusieurs clients. Vos systèmes nas (Network-attached Storage) envoient des demandes de connexion au proxy RADIUS NPS. En fonction de la partie domaine du nom d’utilisateur dans la demande de connexion, le proxy RADIUS NPS transfère la demande de connexion à un serveur RADIUS. Le client gère ce serveur, qui peut authentifier et autoriser la tentative de connexion.

• Vous souhaitez fournir l’authentification et l’autorisation pour les comptes d’utilisateur qui ne sont pas membres de l’un des domaines suivants :

  • Domaine auquel le déploiement NPS est membre.
  • Domaine qui a une approbation bidirectionnelle avec le domaine dans auquel le déploiement NPS est membre.

  Par exemple, les comptes d’utilisateur incluent des comptes dans des domaines non approuvés, des domaines approuvés unidirectionnels et d’autres forêts. Au lieu de configurer vos serveurs d’accès pour envoyer leurs demandes de connexion à un serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de connexion à un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie nom de domaine du nom d’utilisateur et transfère la requête à un serveur RADIUS NPS dans le domaine ou la forêt appropriés. Les tentatives de connexion pour les comptes d’utilisateur d’un domaine ou d’une forêt peuvent être authentifiées pour les systèmes NAS d’un autre domaine ou forêt.

• Vous souhaitez effectuer l’authentification et l’autorisation à l’aide d’une base de données qui n’est pas une base de données de compte Windows. Dans ce cas, les demandes de connexion qui correspondent à un nom de domaine spécifié sont transférées à un serveur RADIUS qui a accès à une autre base de données de comptes d’utilisateur et de données d’autorisation. Parmi les autres bases de données utilisateur figurent les bases de données NetIQ eDirectory et SQL (Structured Query Language).

• Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de configurer vos clients RADIUS pour tenter d’équilibrer leurs demandes de connexion et de comptabilité sur plusieurs serveurs RADIUS, vous pouvez les configurer pour envoyer leurs demandes de connexion et de comptabilité à un proxy RADIUS NPS. Le proxy RADIUS NPS équilibre dynamiquement la charge des demandes de connexion et de comptabilité sur plusieurs serveurs RADIUS et augmente le traitement d’un grand nombre de clients RADIUS et d’authentifications par seconde.

• Vous souhaitez fournir l’authentification et l’autorisation RADIUS pour les fournisseurs de services externalisés et réduire la configuration du pare-feu intranet. Un pare-feu intranet se trouve entre votre intranet et votre réseau de périmètre (le réseau entre votre intranet et Internet). Si vous placez NPS sur votre réseau de périmètre, le pare-feu entre votre réseau de périmètre et l’intranet doit autoriser le trafic à circuler entre NPS et plusieurs contrôleurs de domaine. Si vous remplacez le déploiement NPS par un proxy NPS, le pare-feu doit autoriser uniquement le trafic RADIUS à circuler entre le proxy NPS et un ou plusieurs déploiements NPS au sein de votre intranet.

Le diagramme suivant montre NPS en tant que proxy RADIUS entre les clients RADIUS et les serveurs RADIUS.

Avec NPS, les organisations peuvent également externaliser leur infrastructure d’accès à distance à un fournisseur de services, tout en conservant le contrôle de l’authentification, de l’autorisation et de la gestion des comptes utilisateur.

Vous pouvez créer des configurations NPS pour les scénarios suivants :

• Accès sans fil
• Accès à distance par modem de l’organisation ou par VPN
• Accès à distance externalisé ou accès sans fil
• Accès à internet
• Accès authentifié aux ressources extranet pour les partenaires commerciaux

Exemples de configuration de serveur RADIUS et de proxy RADIUS

Les exemples de configuration suivants montrent comment configurer NPS en tant que serveur RADIUS et proxy RADIUS.

NPS en tant que serveur RADIUS

Cet exemple utilise la configuration suivante :

• NPS est configuré en tant que serveur RADIUS.
• La stratégie de demande de connexion par défaut est la seule stratégie configurée.
• Le serveur RADIUS NPS local traite toutes les demandes de connexion.

Le serveur RADIUS NPS peut authentifier et autoriser les comptes d’utilisateur qui se trouvent dans le domaine du serveur RADIUS NPS et dans les domaines approuvés.

NPS en tant que proxy RADIUS

Dans cet exemple, NPS est configuré en tant que proxy RADIUS qui transfère les demandes de connexion. Les requêtes sont transférées vers des groupes de serveurs RADIUS distants dans deux domaines non approuvés.

La stratégie de demande de connexion par défaut est supprimée. Deux nouvelles stratégies de demande de connexion sont créées pour transférer des demandes à chacun des deux domaines non approuvés.

Dans cet exemple, NPS ne traite aucune demande de connexion sur le serveur local.

NPS en tant que serveur RADIUS et proxy RADIUS

Cet exemple utilise deux stratégies de demande de connexion :

• Stratégie de demande de connexion par défaut, qui désigne que les demandes de connexion sont traitées localement.
• Nouvelle stratégie de demande de connexion. Il transfère les demandes de connexion à un serveur RADIUS NPS ou à un autre serveur RADIUS dans un domaine non approuvé.

La deuxième stratégie est nommée stratégie proxy. Il apparaît d’abord dans la liste triée des stratégies.

• Si une demande de connexion correspond à la stratégie proxy, la demande de connexion est transférée au serveur RADIUS dans le groupe de serveurs RADIUS distant.
• Si la demande de connexion ne correspond pas à la stratégie proxy, mais qu’elle correspond à la stratégie de demande de connexion par défaut, NPS traite la demande de connexion sur le serveur local.
• Si la demande de connexion ne correspond pas à une stratégie, elle est ignorée.

NPS en tant que serveur RADIUS avec des serveurs de comptabilité distants

Dans cet exemple, le serveur RADIUS NPS local n’est pas configuré pour effectuer la comptabilité. La stratégie de demande de connexion par défaut est révisée afin que les messages de comptabilité RADIUS soient transférés à un serveur RADIUS NPS ou à un autre serveur RADIUS dans un groupe de serveurs RADIUS distant.

Bien que les messages de comptabilité soient transférés dans cet exemple, les messages d’authentification et d’autorisation ne sont pas transférés. Le serveur RADIUS NPS local exécute les fonctions d’authentification et d’autorisation pour le domaine local et tous les domaines approuvés.

NPS avec un mappage entre les utilisateurs RADIUS distants et les utilisateurs Windows locaux

Dans cet exemple, NPS agit à la fois en tant que serveur RADIUS et en tant que proxy RADIUS. NPS gère chaque demande de connexion individuelle de la manière suivante :

• La demande d’authentification est transférée vers un serveur RADIUS distant.
• Un compte d’utilisateur Windows local est utilisé pour l’autorisation.

Pour implémenter cette configuration, vous devez configurer l’attribut Remote RADIUS to Windows User Mapping comme condition de la stratégie de demande de connexion. Vous créez également un compte d’utilisateur localement sur le serveur RADIUS. Ce compte doit avoir le même nom que le compte d’utilisateur distant sur lequel le serveur RADIUS distant effectue l’authentification.

Configuration

Pour configurer NPS en tant que serveur RADIUS, vous pouvez utiliser la configuration standard ou la configuration avancée dans la console NPS ou dans le Gestionnaire de serveur. Pour configurer NPS en tant que proxy RADIUS, vous devez utiliser la configuration avancée.

Configuration standard

Avec la configuration standard, des assistants sont fournis pour vous aider à configurer le service NPS dans les scénarios suivants :

• Serveur RADIUS pour les connexions d’accès à distance ou de réseau privé virtuel (VPN)
• Serveur RADIUS pour les connexions sans fil 802.1X ou câblées

Pour configurer NPS à l’aide d’un Assistant, ouvrez la console NPS, sélectionnez l’un des scénarios précédents, puis sélectionnez le lien de l’Assistant.

Configuration avancée

Lorsque vous utilisez la configuration avancée, vous configurez manuellement NPS en tant que serveur RADIUS ou proxy RADIUS.

Pour configurer NPS à l’aide de la configuration avancée, ouvrez la console NPS, puis développez Configuration avancée.

Les sections suivantes décrivent les éléments de configuration avancés fournis.

Configurer un serveur RADIUS

Pour configurer NPS en tant que serveur RADIUS, vous devez configurer les clients RADIUS, les stratégies réseau et la comptabilité RADIUS.

Pour obtenir des instructions sur la création de ces configurations, consultez les articles suivants :

• Configurer des clients RADIUS
• Configurer des stratégies réseau
• Configurer la comptabilité du serveur de stratégie réseau

Configurer un proxy RADIUS

Pour configurer NPS en tant que proxy RADIUS, vous devez configurer des clients RADIUS, des groupes de serveurs RADIUS distants et des stratégies de demande de connexion.

Pour obtenir des instructions sur la création de ces configurations, consultez les articles suivants :

• Configurer des clients RADIUS
• Configurer des groupes de serveurs RADIUS distants
• Configurer des stratégies de demande de connexion

Journalisation de NPS

La journalisation NPS est également appelée comptabilité RADIUS. Vous pouvez configurer la journalisation NPS pour répondre à vos besoins si NPS est utilisé comme serveur RADIUS, proxy ou combinaison de ces configurations.

Pour configurer la journalisation NPS, vous devez configurer les événements que vous souhaitez journaliser et afficher avec l’Observateur d’événements, puis déterminer les autres informations que vous souhaitez journaliser. En outre, vous devez décider où stocker les journaux d’informations comptables et d’authentification des utilisateurs. Les options suivantes sont disponibles :

• Fichiers journaux texte stockés sur l’ordinateur local
• Une base de données SQL Server sur l’ordinateur local ou un ordinateur distant

Pour plus d’informations, consultez Configurer la comptabilité du serveur de stratégie réseau.

Contenu connexe

• Bonnes pratiques relatives au serveur de stratégie de réseau
• Bien démarrer avec le serveur de stratégie réseau
• Planifier un serveur NPS (Network Policy Server)
• Déployer le serveur de stratégie réseau (NPS)
• Gérer le serveur de stratégie réseau (NPS)
• Applets de commande NPS dans Windows PowerShell