Network Policy Serverکد 642-70

RADIUS Server چیست و چگونه کار می کند؟

همانطور که می دانید با GPO می توان Policy برای یوزرها و کامپیوترها تعریف کرد. اما آیا می توان یوزرهایی که از طریق کابل و یا وایرلس و با هر سیستمی به شبکه متصل می شوند را authenticate کرد؟ آیا می توان در صورت وجود چندین Access point به آنها policy اعمال کرد؟NPS  به شما اجازه می دهد تا با ایجاد policy از سلامت سیستم هایی که قصد اتصال به شبکه را دارند مطلع شوید و اجازه نمی دهد یوزر با هر سیستمی که توانست، به شبکه متصل شود. همچنین اگر در شبکه چندین RAS server یا (Remote access service) مثل چندین VPN server و یا چندین Access point وجود داشته باشد (خود این سرورها و access point ها authentication را نیز انجام می دهند) می توان با ایجاد RADIUS Server از طریق NPS ، کار احراز هویت همه این سرورها و access point ها را در یکجا و با امنیت بالاتر و تنظیمات بیشتر انجام داد.

RADIUS Server

NPS می تواند به عنوان Remote Authentication Dial-In User Service (RADIUS) server استفاده شود که سه وظیفه عمده دارد که به AAA معروف بوده و Authentication ، Authorization و Accounting را برای RADIUS client انجام می دهد. در بحث RADIUS ، منظور یک کلاینت ساده که یوزر با آن کار می کند نیست ، بلکه منظور Access Server Network هایی (NAS) مانند Dial-up server ، VPN server ، Wireless access point و یا p-r-0-*y server بوده که چندین کلاینت معمولی (یوزر عادی) به آنها متصل می شوند. تمام این سرورها به تنهایی کار احرازهویت ازکلاینت ها را انجام می دهند ولی با RADIUS server این کار متمرکز خواهد بود. در RADIUS ،Server عمل Authentication به معنای اینست که آیا یوزری که قصد اتصال به شبکه را دارد جزو یوزرهای شما در active directory است یا خیر؟ حال اگر یوزر احراز هویت شده و وارد شبکه شد، به چه منابع و در چه سطحی به آنها دسترسی داشته باشد که توسط Authorization مشخص می شود .سپس Accounting مشخص می کند در چه زمان هایی کلاینت ها می توانند به چه میزان از منابع دسترسی داشته باشند.

NPS از سربرگ Dial-in در properties یوزر و policy هایی که در Network policy تعریف شده اند برای Authorize و از AD DS برای authentication استفاده میکند.

تفاوتهایی نیز در نسخه های ویندوز 2008 R2 در RADIUS وجود دارد:

در نسخه Windows web server 2008 R2 سرویس NPS وجود ندارد. در نسخه Standard حداکثر 50 ، RADIUS client و 2 گروه Remote RADIUS server بوده و از ایجاد گروه های RADIUS client از طریق IP range پشتیبانی نمی کند.فقط نسخه های Enterprise و Data center محدودیتی ندارند.

شکل زیر NPS را به عنوان RADIUS server برای چندین  RADIUS client نشان می دهد.

RADIUS

هنگامی که از NPS به عنوان RADIUS  سرور استفاده می کنید، از طریق راه های زیر درخواست هایAAA   برای تمام کلاینت های RADIUS در شبکه ایجاد می شود.

– به سرور هایی مانندDial-in  سرور ،VPN  سرور و wireless access point ها Access سرور می گویند که پیام درخواست ارتباط را از کلاینت ها (Access clients) دریافت می کنند.

Access  سرور هایی که برای Authentication , authorization و Accounting کانفیگ شده اند تا از RADIUS استفاده کنند ، پیام درخواست دسترسی (Access-request message) را ساخته و به RADIUS  سرور می فرستد.

RADIUS  سرور پیام درخواست را می سنجد.

– اگر نیاز بود، RADIUS  سرور درخواستAccess-Challenge  را به access  سرور می فرستد تا از درخواست مطمعن شود. Access سرور این موضوع را پردازش کرده و updated Access-Request را بهRADIUS  سرور ارسال می کند.

– اطلاعات امنیتی کاربر (user credential) و اطلاعات سربرگ Dial-in در properties آن که با استفاده از ارتباطی امن  با domain controller صورت می پذیرد، بررسی می شود.

– درخواست ارتباط براساس سربرگ Dial-in کاربر و network policies ، احراز هویت می شود.

– اگر درخواست ارتباط هم Authorize و هم Authenticate شود ، RADIUS  سرور پیام Access-Accept  را به Access  سرور می فرستد.

حال اگر این درخواست احراز هویت نشود ، RADIUS پیام Access-Reject  را بهaccess  سرور ارسال می کند.

Access  سرور فرآیند ارتباط را با کلاینت کامل کرده و پیام Accounting-Request به RADIUS ، جایی که پیام ها Log می شوند، می فرستد.

– در پایان RADIUS پیام Accounting-Response را به access  سرور ارسال می کند.

به خاطر داشته باشید که access  سرور همیشه پیام Accounting-Request را ارسال می کند ، چه در زمانی که کلاینت با سرور در ارتباط بوده و چه زمانی که ارتباط بسته شده و یا زمانی که access  سرور شروع بکار کرده و یا stop می شود.

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید
بستن
دکمه بازگشت به بالا