網路原則伺服器(Network Policy Server)是網路原則和存取服務伺服器角色的一部分, 它能為連線請求身份驗證和請求授權去建立和執行組織範圍的網路存取原則, 還可以將網路原則伺服器用作 RADIUS代理, 將連線請求轉發到另一個網路原則伺服器或在遠端 RADIUS伺服器群組中設定的其他 RADIUS伺服器
w-studio.idv.tw
網路原則伺服器對無線、驗證交換器、撥號和VPN連線執行集中式連線驗證、授權和計量, 將網路原則伺服器作為 RADIUS伺服器時, 可以將網路存取伺服器(例如無線存取點和 VPN伺服器)設置為網路原則伺服器中的 RADIUS用戶端, 還可以設置網路原則伺服器用來授權連線請求的網路原則, 並可以設置 RADIUS計量以便網路原則伺服器將計量資訊記錄到本機硬碟或 SQL Server資料庫的日誌文件中
當網路原則伺服器是 ADDS網域成員時, 網路原則伺服器使用 ADDS作為其用戶帳號資料庫並提供單點登錄(SSO), 這意味著用戶使用同一組憑證進行網路存取控制(身份驗證和授權對網路的存取), 就像他們訪問 ADDS網域中的資源一樣w-studio.idv.tw
維護網路存取的組織, 例如 ISP, 必須從單一管理點管理各種網路存取方法, 無論他們使用何種類型的網路存取設備, RADIUS標準支援這一要求, RADIUS是一種用戶端-伺服器協定, 它使網路接入設備(用作 RADIUS用戶端)能夠向 RADIUS伺服器提交身份驗證和計量請求
RADIUS伺服器可以存取用戶帳號資訊, 並且可以驗證網路存取身份驗證憑證, 如果用戶的憑證通過驗證, 並且 RADIUS授權連線, 則 RADIUS伺服器然後根據設定的條件授權用戶存取, 並將網路存取連線記錄在計量日誌中, 使用 RADIUS可以在一個中心位置收集和維護網路存取用戶身份驗證、授權和計量資料, 而不用在每個存取伺服器上
RADIUS proxy:
將網路原則伺服器用作 RADIUS proxy時, 可以設定連線請求原則, 以指示網路原則伺服器將哪些連線請求轉發到其他 RADIUS伺服器, 以及要將連線請求轉發到哪些 RADIUS伺服器, 還可以將網路原則伺服器設定為轉發計量資料, 以便遠端 RADIUS伺服器群組中的一台或多台電腦進行日誌記錄w-studio.idv.tw
借助網路原則伺服器, 組織還可以將其遠端存取基礎架構外包給服務提供商, 同時保留對用戶身份驗證、授權和記量的控制
網路原則伺服器的原則:
1. 連線要求原則(Connection request policies):
-用於當網路原則伺服器作為 RADIUS伺服器或 RADIUS代理時所使用
-在通過此項要求連線原則後, 還必須要通過網路原則才能夠連線
安裝網路原則伺服器, 預設連線要求原則會在以下條件下建立:
。未設定身份驗證w-studio.idv.tw
。計量未設定為將計量資訊轉發到遠端 RADIUS伺服器群組
。屬性操作未設定更改轉發連線要求中的屬性的規則
。轉發要求開啟, 這表示本地網路原則伺服器對連線要求進行身份驗證和授權
。未設定高級屬性
。預設連線要求原則使用網路原則伺服器作為 RADIUS伺服器
2. 網路原則(Network policies):
-用於驗證和授權連線嘗試 (此為遠端存取的基本原則)
網路原則4個屬性:
。概觀: 概觀屬性允許是否啟用原則, 原則是允許還是拒絕存取, 以及連線請求是否需要特定的網路連線方法或網路存取伺服器類型, 概觀屬性還能夠指定是否忽略 ADDS 中用戶帳戶的撥入屬性, 如果選擇此選項, 網路原則伺服器僅使用網路原則的設置來確定是否授權連線
。條件: 這些屬性允許指定連線要求必須符合網路原則的條件, 如果原則中設定的條件與連線要求相同, 網路原則伺服器會將網路原則設定應用於連線, 例如如果將網路存取伺服器 IPv4位址(NAS IPv4位址)指定為網路原則的條件, 並且網路原則伺服器收到來自具有指定 IP 位址的網路存取伺服器的連線要求, 則原則中的條件與連線要求相同w-studio.idv.tw
。限制: 限制是配對連線要求所需的網路原則的附加參數, 如果連線要求不同於限制, 網路原則伺服器會自動拒絕該請求, 與網路原則伺服器對網路原則中不匹配條件的回應不同, 如果限制不匹配, 網路原則伺服器不會評估其他網路原則並且連線要求被拒絕
。設定: 如果所有原則的網路原則條件都匹配並且請求被接受, 則設定屬性允許指定網路原則伺服器應用於連線請求的設定
w-studio.idv.tw
當網路原則伺服器執行連線請求的授權時, 它將請求與原則有列表中的每個網路原則進行比較, 從第一個原則開始並向下移動列表, 如果網路原則伺服器找到條件匹配連線請求的原則, 網路原則伺服器使用匹配原則和用戶帳號的撥入屬性來執行授權, 如果將用戶帳號的撥入屬性設定為透過網路原則授予或控制存取權限, 並且如果連線請求被授權, 則網路原則伺服器會將在網路原則中的設定應用於連線:
。如果網路原則伺服器未找到與連線要求匹配的網路原則, 網路原則伺服器將拒絕連線, 除非用戶帳號的撥入屬性設定為授予存取權限
。如果用戶帳號的撥入屬性設定為拒絕存取, 網路原則伺服器將拒絕連線要求
首次部署網路原則伺服器角色時, 兩個預設網路原則拒絕遠端存取所有連線, 必須至少設定一個原則以允許存取
有些設定在之後操作VPN時再說明
沒有留言:
張貼留言