對于網(wǎng)絡(luò)訪問和策略管理功能，Microsoft 的 RADIUS 服務(wù)器和代理工具是網(wǎng)絡(luò)策略服務(wù)器 (NPS)。NPS提供身份驗(yàn)證，授權(quán)和計(jì)費(fèi)（AAA），允許使用異構(gòu)網(wǎng)絡(luò)設(shè)備，并確保健康的網(wǎng)絡(luò)設(shè)備。RADIUS 協(xié)議為 NPS 功能的核心網(wǎng)絡(luò)客戶端提供身份驗(yàn)證的配置和管理。當(dāng)前版本的 NPS 可通過Windows Server 2016 和 Server 2019 中的網(wǎng)絡(luò)策略和訪問服務(wù) (NPAS) 功能安裝。本文著眼于什么是RADIUS 服務(wù)器、網(wǎng)絡(luò)策略服務(wù)器的用途、它們在網(wǎng)絡(luò)中的作用以及管理 NPS 的最佳實(shí)踐。

什么是RADIUS協(xié)議？

RADIUS 代表遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)，最初是用于撥號連接的客戶端-服務(wù)器協(xié)議。雖然撥號在企業(yè)使用中失去了光彩，但 RADIUS 服務(wù)器仍然是一種從接入點(diǎn)卸載身份驗(yàn)證的便捷方式。RADIUS 服務(wù)器可以在 Windows 或 Unix 服務(wù)器上運(yùn)行，最重要的是，它允許管理員控制誰可以連接到網(wǎng)絡(luò)。RADIUS 服務(wù)器的客戶端代表網(wǎng)絡(luò)接入點(diǎn)；用戶向 RADIUS 客戶端發(fā)出請求，然后將請求傳遞到 RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證。

RADIUS 服務(wù)器有什么作用？

在網(wǎng)絡(luò)通信協(xié)議中，如用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 或傳輸控制協(xié)議 (TCP)，RADIUS 服務(wù)器與網(wǎng)絡(luò)訪問服務(wù)器通信。客戶端設(shè)備向網(wǎng)絡(luò)訪問服務(wù)器 (NAS) 發(fā)出連接請求。NAS 與 RADIUS 服務(wù)器一起工作，依靠其 AAA 功能對用戶進(jìn)行身份驗(yàn)證并響應(yīng)正確配置的權(quán)限。

NPS 的目的是什么？

網(wǎng)絡(luò)策略服務(wù)器是使用 RADIUS 功能的 Windows 網(wǎng)絡(luò)管理員的解決方案。NPS 不僅為網(wǎng)絡(luò)訪問提供可配置的策略，而且還確保非 Microsoft 設(shè)備在通過身份驗(yàn)證后可以連接。通過將用戶和客戶端設(shè)備分組或自動分類，管理員可以控制網(wǎng)絡(luò)用戶可用的客戶端類型和權(quán)限。此控制允許對訪問策略的持續(xù)管理，還允許出于記帳目的記錄事件。NPS 還掃描請求以確保客戶端健康并維護(hù)網(wǎng)絡(luò)完整性。

NPS 的 3 個(gè)角色

• RADIUS服務(wù)器：NPS作為 RADIUS 服務(wù)器為無線、交換機(jī)、遠(yuǎn)程訪問撥號和虛擬專用網(wǎng)連接執(zhí)行AAA 。管理員將網(wǎng)絡(luò)訪問服務(wù)器（例如WAP和虛擬專用網(wǎng)服務(wù)器）配置為 RADIUS 客戶端，并在本地硬盤或SQL Server數(shù)據(jù)庫上記錄事件數(shù)據(jù)。
• RADIUS 代理：NPS 可以配置訪問策略并管理連接請求作為 RADIUS 代理傳遞的 RADIUS 服務(wù)器。這包括轉(zhuǎn)發(fā)記帳數(shù)據(jù)以在多個(gè)遠(yuǎn)程 RADIUS 服務(wù)器上復(fù)制日志以實(shí)現(xiàn)負(fù)載平衡的能力。
• 訪問保護(hù)：由于遠(yuǎn)程工作和 BYOD 策略將各種設(shè)備呈現(xiàn)給網(wǎng)絡(luò)，管理員需要知道哪些端點(diǎn)是值得信賴的。NPS 可以通過修補(bǔ)軟件、防火墻和惡意軟件定義等指標(biāo)充當(dāng)客戶端設(shè)備的健康驗(yàn)證器。