Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een netwerktoegangsserver (NAS) is een apparaat dat een bepaald niveau van toegang tot een groter netwerk biedt. Een NAS die gebruikmaakt van een RADIUS-infrastructuur is ook een RADIUS-client, waarbij verbindingsaanvragen en boekhoudberichten naar een RADIUS-server worden verzonden voor verificatie, autorisatie en accounting.
Note
Clientcomputers, zoals laptopcomputers en andere computers waarop clientbesturingssystemen worden uitgevoerd, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-verificatieswitches, VPN-servers (virtueel particulier netwerk) en inbelservers, omdat ze gebruikmaken van het RADIUS-protocol om te communiceren met RADIUS-servers zoals NPS-servers (Network Policy Server).
Als u NPS wilt implementeren als een RADIUS-server of een RADIUS-proxy, moet u RADIUS-clients configureren in NPS.
Voorbeelden van RADIUS-client
Voorbeelden van netwerktoegangsservers zijn:
- Netwerktoegangsservers die externe toegang bieden tot een organisatienetwerk of internet. Een voorbeeld hiervan is een computer waarop het Besturingssysteem Windows Server 2016 en de RAS-service worden uitgevoerd die traditionele services voor inbelverbinding of VPN (Virtual Private Network) biedt voor externe toegang tot een organisatieintranet.
- Draadloze toegangspunten die fysieke laagtoegang bieden tot een organisatienetwerk met behulp van draadloze transmissie- en ontvangsttechnologieën.
- Switches die fysieke laagtoegang bieden tot het netwerk van een organisatie, met behulp van traditionele LAN-technologieën, zoals Ethernet.
- RADIUS-proxy's die verbindingsaanvragen doorsturen naar RADIUS-servers die lid zijn van een externe RADIUS-servergroep die is geconfigureerd op de RADIUS-proxy.
RADIUS-Access-Request-berichten
RADIUS-clients maken RADIUS-Access-Request-berichten en sturen ze door naar een RADIUS-proxy of RADIUS-server, of ze sturen Access-Request berichten door naar een RADIUS-server die ze van een andere RADIUS-client hebben ontvangen, maar niet zelf hebben gemaakt.
RADIUS-clients verwerken Access-Request berichten niet door verificatie, autorisatie en boekhouding uit te voeren. Alleen RADIUS-servers voeren deze functies uit.
NPS kan echter tegelijkertijd worden geconfigureerd als een RADIUS-proxy en een RADIUS-server, zodat sommige Access-Request berichten worden verwerkt en andere berichten worden doorgestuurd.
NPS als RADIUS-client
NPS fungeert als een RADIUS-client wanneer u deze configureert als een RADIUS-proxy om Access-Request berichten door te sturen naar andere RADIUS-servers voor verwerking. Wanneer u NPS als EEN RADIUS-proxy gebruikt, zijn de volgende algemene configuratiestappen vereist:
Netwerktoegangsservers, zoals draadloze toegangspunten en VPN-servers, worden geconfigureerd met het IP-adres van de NPS-proxy als de aangewezen RADIUS-server of verificatieserver. Hierdoor kunnen de netwerktoegangsservers, die Access-Request berichten maken op basis van informatie die ze ontvangen van toegangsclients, berichten doorsturen naar de NPS-proxy.
De NPS-proxy wordt geconfigureerd door elke netwerktoegangsserver toe te voegen als een RADIUS-client. Met deze configuratiestap kan de NPS-proxy berichten ontvangen van de netwerktoegangsservers en met hen communiceren tijdens de verificatie. Daarnaast worden beleidsregels voor verbindingsaanvragen op de NPS-proxy geconfigureerd om op te geven welke Access-Request berichten die moeten worden doorgestuurd naar een of meer RADIUS-servers. Deze beleidsregels worden ook geconfigureerd met een externe RADIUS-servergroep, waarmee NPS wordt aangegeven waar de berichten moeten worden verzonden die worden ontvangen van de netwerktoegangsservers.
De NPS- of andere RADIUS-servers die lid zijn van de externe RADIUS-servergroep in de NPS-proxy, zijn geconfigureerd voor het ontvangen van berichten van de NPS-proxy. Dit wordt bereikt door de NPS-proxy te configureren als een RADIUS-client.
Eigenschappen van RADIUS-client
Wanneer u een RADIUS-client toevoegt aan de NPS-configuratie via de NPS-console of via het gebruik van de netsh-opdrachten voor NPS- of Windows PowerShell-opdrachten, configureert u NPS voor het ontvangen van RADIUS-Access-Request-berichten van een netwerktoegangsserver of een RADIUS-proxy.
Wanneer u een RADIUS-client in NPS configureert, kunt u de volgende eigenschappen aanwijzen:
Clientnaam
Een gebruiksvriendelijkere naam voor de RADIUS-client, waardoor het makkelijker is om deze te identificeren wanneer u de NPS-module of netsh-opdrachten voor NPS gebruikt.
IP address
Het IPv4-adres (Internet Protocol versie 4) of de DNS-naam (Domain Name System) van de RADIUS-client.
Client-Vendor
De leverancier van de RADIUS-client. Anders kunt u de RADIUS-standaardwaarde voor Client-Vendor gebruiken.
Gedeeld geheim
Een tekenreeks die wordt gebruikt als wachtwoord tussen RADIUS-clients, RADIUS-servers en RADIUS-proxy's. Wanneer het kenmerk Message Authenticator wordt gebruikt, wordt het gedeelde geheim ook gebruikt als sleutel voor het versleutelen van RADIUS-berichten. Deze tekenreeks moet worden geconfigureerd op de RADIUS-client en in de NPS-module.
Kenmerk Message Authenticator
Beschreven in RFC 2869, 'RADIUS-extensies', een MD5-hash (Message Digest 5) van het volledige RADIUS-bericht. Als het kenmerk RADIUS Message Authenticator aanwezig is, wordt dit geverifieerd. Als de verificatie mislukt, wordt het RADIUS-bericht verwijderd. Als voor de clientinstellingen het kenmerk Message Authenticator is vereist en deze niet aanwezig is, wordt het RADIUS-bericht verwijderd. Het gebruik van het kenmerk Message Authenticator wordt aanbevolen.
Note
Het kenmerk Message Authenticator is vereist en standaard ingeschakeld wanneer u EAP-verificatie (Extensible Authentication Protocol) gebruikt.
Zie NETWORK Policy Server (NPS)voor meer informatie over NPS.