КабельщикСервер политики сети

Джозеф Дейвис (Joseph Davies)

В этой статье приведены сведения на основе предварительной версии Windows Server 2008. Любые такие сведения могут быть изменены.

Служба сервера политики сети (NPS) в операционной системе Windows Server 2008 замещает службу проверки подлинности в Интернете (IAS) в Windows Server 2003. С помощью службы сервера политики сети компьютер с операционной системой Windows Server 2008 может работать в качестве сервера RADIUS (Remote Authentication Dial-In User Service) и RADIUS-прокси. Протокол RADIUS является одним из стандартов рабочей группы проектирования Интернета

(IETF), описанным в документах RFC 2865 и 2866, и обеспечивает централизованную проверку подлинности, авторизацию и аудит для сетевых устройств, таких как беспроводные точки доступа. Серверы RADIUS выполняют проверку подлинности, авторизацию и аудит сетевых устройств. RADIUS-прокси пересылают сообщения RADIUS между клиентами RADIUS (сетевыми устройствами) и серверами RADIUS.

Служба сервера политики сети упрощает развертывание доступа к сети с проверкой подлинности, обеспечивает возможности расширения для компонентов сторонних производителей и поддерживает самые современные сетевые технологии и платформы. Новая оснастка службы NPS показана на рис. 1.

Figure 1** The new NPS snap-in **(Щелкните изображение, чтобы увеличить его)

Возможности сервера политики сети

В данной статье речь пойдет о функциях сервера политики сети, отсутствовавших в предыдущих версиях Windows®. Начнем с того, каким образом защита доступа к сети (NAP) позволяет принудительно применить требования к работоспособности системы для сети, затем коснемся вопросов управления, настройки, поддержки протокола IPv6 и иных вопросов. Также будут описаны возможности новой оснастки службы NPS.

Защита доступа к сети Защита доступа к сети, появившаяся в операционной системе Windows Server® 2008, представляет собой набор технологий, которые позволяют принудительно привести систему в соответствие с требованиями к работоспособности компьютера и таким образом лучше защитить интрасеть. В политиках работоспособности можно потребовать, например, чтобы на всех клиентских компьютерах, подключенных к сети, был установлен и включен брандмауэр, а также установлены все последние обновления для операционной системы. С помощью защиты доступа к сети можно создавать пользовательские политики, которые будут проверять работоспособность компьютера перед тем, как предоставить ему доступ к сети, автоматически обновлять компьютеры в соответствии с текущими требованиями и ограничивать доступ к сети компьютеров, не соответствующих требованиям, пока эти требования не будут выполнены. Дополнительные сведения см. по адресу microsoft.com/nap.

При развертывании защиты доступа к сети сервер политики работает в качестве сервера политик работоспособности NAP и проверяет работоспособность клиентов от имени точек NAP — например центров регистрации работоспособности (HRA), точек доступа 802.1X, VPN-серверов и DHCP-серверов. Сервер политики сети также определяет, какой доступ к интрасети следует предоставить клиентам: полный или ограниченный. Сервер политики сети оценивает работоспособность на основе политик сети, политик работоспособности и параметров защиты доступа к сети.

Поддержка политик EAPHost и EAP Сервер политики сети поддерживает EAPHost, новую архитектуру для методов проверки подлинности протокола EAP (Extensible Authentication Protocol). Данная архитектура позволяет поставщикам методов протокола EAP с легкостью разрабатывать и устанавливать новые методы EAP для проверки подлинности на основе протоколов 802.1X и PPP (point-to-point protocol) как на клиентских компьютерах, так и на серверах политики сети.

Архитектура EAPHost будет поддерживать установку и использование всех методов EAP, указанных в реестре EAP по адресу www.iana.org/assignments/eap-numbers, а также другие распространенные методы проверки подлинности, такие как LEAP (Lightweight EAP) компании Cisco Systems. EAPHost поддерживает одновременное совместное использование нескольких реализаций одного и того же метода EAP. Например, можно установить и выбрать версии Protected EAP (PEAP) корпорации Майкрософт и компании Cisco Systems.

Для поставщиков методов EAP архитектурой EAPHost поддерживаются методы EAP, разработанные ранее для операционных систем Windows XP и Windows Server 2003, а также упрощенный способ разработки новых методов EAP для операционных систем Windows Vista® и Windows Server 2008. После установки можно настроить необходимые методы EAP для заданного в политике сети сценария доступа к сети. Политика сети для сервера политики сети аналогична политике удаленного доступа для службы проверки подлинности в Интернете.

Дополнительные сведения об архитектуре EAPHost см. в статье по адресу technetmagazine.com/issues/2007/05/CableGuy.

Хранение конфигурации в формате XML Служба проверки подлинности в Интернете хранила сведения о конфигурации в базе данных Jet. Сервер политики сети хранит сведения о конфигурации в формате XML, что упрощает экспорт конфигурации одного сервера политики сети на другой. Экспорт и импорт файлов конфигурации — это один из способов синхронизации параметров нескольких серверов политики сети в отказоустойчивой конфигурации. Экспортировать конфигурацию сервера политики сети можно с помощью команды netsh nps export, а импортировать конфигурацию — с помощью команды netsh nps import.

Соответствие общим критериям Сервер политики сети теперь поддерживает развертывание в средах, которые должны соответствовать общим инженерным критериям (CEC) корпорации Майкрософт® . Дополнительные сведения см. в статье по адресу microsoft.com/windowsserversystem/cer/allcriteria.mspx.

Надежные DLL-библиотеки, расширяющие возможности сервера политики сети Возможности службы NPS можно расширить с помощью DLL-библиотек с дополнительными функциями и методами проверки подлинности. В отличие от службы проверки подлинности в Интернете компоненты сторонних производителей изолированы в «песочнице» службы NPS, поэтому в случае возникновения проблем с данными компонентами это никак не отразится на работоспособности службы NPS.

Поддержка протокола IPv6 Сервер политики сети поддерживает протокол IPv6 и развертывание в исходных или туннелированных средах IPv6. Для клиентов и удаленных серверов RADIUS можно настроить адреса IPv6, а служба NPS может взаимодействовать по протоколу IPv6 для выполнения проверки подлинности и авторизации учетных записей доменных служб Active Directory® .

Сравнение службы проверки подлинности в Интернете со службой NPS

Тот, кто знаком с оснасткой службы проверки подлинности в Интернете для операционной системы Windows Server 2003, оценит перечисленные ниже изменения в оснастке службы NPS.

• Политики удаленного доступа теперь называются политиками сети и перемещены в узел «Политики».
• Узел «Клиенты RADIUS» перемещен в узел «Клиенты и серверы RADIUS».
• Узла «Обработка запроса на подключение» больше не существует. Узел «Политики запросов на подключение» перемещен в узел «Политики», а узел «Группы удаленных серверов RADIUS» перемещен в узел «Клиенты и серверы RADIUS».
• Условия и параметры профиля политики доступа разнесены по вкладкам «Обзор», «Условия», «Ограничения» и «Параметры» окна свойств политики сети.
• Условия и параметры профиля политики запроса на подключение разнесены по вкладкам «Обзор», «Условия» и «Параметры» окна свойств политики запросов на подключение.
• Папка Remote Access Logging (ведение журнала удаленного доступа) переименована в узел «Аудит» и более не содержит узлов «Локальный файл» и «SQL Server»TM .

Автоматическое создание надежных общих секретов RADIUS Общие секреты RADIUS используются для проверки того, что сообщения RADIUS были отправлены клиентом, сервером или RADIUS-прокси, настроенным на использование этого же общего секрета. Общие секреты также используются для шифрования некоторых секретных атрибутов RADIUS, таких как пароли и ключи шифрования. Надежные общие секреты RADIUS представляют собой длинную (более 22 знаков) случайную последовательность букв, цифр и знаков препинания.

С помощью оснастки службы NPS можно автоматически создавать надежный общий секрет RADIUS при добавлении или изменении клиента RADIUS. Созданный таким образом надежный общий секрет можно затем скопировать в текстовый редактор, например Блокнот, что позволяет настроить сетевое устройство или точку NAP на использование того же самого общего секрета.

Интеграция с диспетчером сервера Службу NPS можно установить с помощью задач начальной настройки и средств диспетчера сервера. В обоих случаях служба NPS устанавливается совместно с ролью «Политика сети и службы доступа». Чтобы начать установку, выберите в средстве «Задачи начальной настройки» в разделе «Настроить этот сервер» параметр «Добавить роли». В диспетчере сервера откройте раздел «Сводка по ролям» и нажмите кнопку «Добавить роли».

После установки службы NPS в дереве консоли диспетчера сервера можно раскрыть узел «Политика сети и службы доступа» узла «Роли» и проверить состояние службы NPS, а также получить список ошибок, произошедших за последние 24 часа. С помощью узла консоли «Политика сети и службы доступа» можно настроить службу NPS и соответствующую оснастку.

Улучшенная поддержка команды Netsh В операционной системе Windows Server 2003 был ограниченный набор команд для настройки службы проверки подлинности в Интернете в контексте netsh aaaa. В операционной системе Windows Server 2008 появился новый контекст netsh nps с расширенным набором команд для настройки сервера политики сети в командной строке или с помощью сценария. Теперь с помощью команд netsh nps можно настраивать клиенты и удаленные серверы RADIUS, политики сети, ведение журнала, а для защиты доступа к сети — политики работоспособности, средства проверки работоспособности системы и группы серверов обновлений. Использование сценариев, состоящих из команд контекста netsh nps, является другим способом синхронизации параметров нескольких серверов политики сети в отказоустойчивой конфигурации.

Исходные теги для изоляции политик сети Политики сети можно настроить на использование конкретного сервера для доступа к сети или точки NAP, например DHCP-сервера или центра регистрации работоспособности, который станет исходным тегом классификации политики сети. Серверы доступа и точки NAP с операционной системой Windows Server 2008 включают этот исходный тег в сообщения RADIUS. При получении сообщения RADIUS с запросом доступа служба NPS пытается найти соответствующую политику сети с таким же исходным тегом, что и у входящего сообщения. Если соответствующую политику найти не удается, служба NPS пытается найти соответствующую политику сети среди тех политик, для которых не указан исходный тег.

Использование исходного тега в политике сети и входящих сообщениях RADIUS позволяет изолировать различные типы политик сети друг от друга. Например, политики сети для DHCP-серверов не используются для VPN-подключений.

Интеграция с функцией контроля доступа к сети компании Cisco С помощью службы NPS можно интегрироваться со средами, в которых используется оборудование Cisco с функцией контроля доступа к сети (NAC). Возможности интеграции включают поддержку протокола HCAP (Host Credential Authorization Protocol) и условий HCAP, условия срока действия политики, и параметр расширенного состояния защиты доступа к сети в политиках сети.

Новые условия политик сети В политиках сети службы NPS появились новые условия, предназначенные для указания групп компьютеров, групп пользователей, разрешенных типов EAP и адресов IPv6 клиентов и серверов доступа. Для поддержки протокола HCAP в службу NPS введены новые условия для групп местоположений и групп пользователей. Для поддержки защиты доступа к сети в службе NPS используются новые условия политики для типа идентификатора, политики работоспособности, компьютеров, пригодных для защиты доступа к сети, операционной системы и срока действия политики.

Оснастка службы NPS Новая оснастка службы NPS была значительно усовершенствована, что существенно облегчило процессы создания и управления клиентами и удаленными серверами RADIUS, политиками сети для обычного доступа к сети, политиками работоспособности и параметрами защиты доступа к сети в соответствующих сценариях, а также параметрами ведения журнала.

С помощью узла «Клиенты и серверы RADIUS» можно настраивать клиенты RADIUS (серверы доступа к сети, точки NAP и иные RADIUS-прокси, когда служба NPS работает в качестве сервера RADIUS) и группы удаленных серверов RADIUS (другие серверы RADIUS, когда служба NPS работает в качестве RADIUS-прокси).

С помощью узла «Политики» можно настраивать политики запросов на подключение (если служба NPS будет работать в качестве сервера или RADIUS-прокси), политики сети (параметры авторизации и подключения, а также ограничения, если служба NPS работает в качестве сервера RADIUS) и политики работоспособности (соответствие клиентов NAP требованиям к работоспособности). При выборе в области сведений политики запросов на подключение или политики сети оснастка службы NPS выведет условия и параметры политики. На рис. 2 показано, как это может выглядеть.

Figure 2** The NPS snap-in enhanced display **(Щелкните изображение, чтобы увеличить его)

Требования к работоспособности для защиты доступа к сети настраиваются в узле «Средства проверки работоспособности системы» узла «Защита доступа к сети». В узле «Группы серверов обновления» настраивается набор серверов, доступ к которым будет разрешен ограниченным клиентам NAP через VPN и DHCP. Наконец, в узле «Аудит» настраивается способ хранения службой NPS сведений об аудите.

Оснастка службы NPS включает расширенный набор мастеров, предназначенных для автоматизации первоначальной настройки клиентов RADIUS и политик, необходимых для методов принудительной защиты доступа к сети, подключений удаленного доступа и VPN-подключений, а также беспроводных и кабельных подключений с проверкой подлинности по протоколу 802.1X. Для методов принудительной защиты доступа к сети мастер защиты доступа к сети автоматически настраивает все политики запросов на подключение, политики сети и политики работоспособности.

Эти новые мастера находятся в узле «Служба NPS» соответствующей оснастки. Чтобы настроить политики и параметры методов принудительной защиты доступа к сети, выберите в раскрывающемся списке «Стандартная конфигурация» пункт «Защита доступа к сети» и нажмите кнопку «Настройка NAP». Чтобы настроить политики и параметры VPN-подключения и удаленного доступа, выберите в раскрывающемся списке «Стандартная конфигурация» пункт «RADIUS-сервер для подключений удаленного доступа или VPN» и нажмите кнопку «Настройка VPN или удаленного доступа». Чтобы настроить политики и параметры беспроводного или кабельного подключения с проверкой подлинности по протоколу 802.1X, выберите в раскрывающемся списке «Стандартная конфигурация» пункт «RADIUS-сервер для беспроводных или кабельных подключений 802.1X и нажмите кнопку «Настройка 802.1X».

С помощью каждого из этих мастеров можно настроить наиболее распространенные параметры конфигурации для выбранного сценария. Особенно полезны мастера для методов принудительной защиты доступа к сети. С помощью мастера NAP для принудительного VPN-подключения создаются следующие политики: политика запросов на подключение, три политики сети (для клиентов NAP, удовлетворяющих требованиям, клиентов NAP, не удовлетворяющих требованиям, и клиентов, несовместимых с NAP) и две политики работоспособности (для клиентов NAP, удовлетворяющих требованиям и клиентов NAP, не удовлетворяющих требованиям).

Новые мастера защиты доступа к сети и мастера для создания клиентов RADIUS, групп удаленных серверов RADIUS, политик запросов на подключение и политик сети упрощают настройку службы NPS для различных сценариев доступа к сети.

Джозеф Дейвис (Joseph Davies) работает техническим писателем в корпорации Майкрософт. С 1992 года занимается преподаванием и пишет о сетях Windows. Он автор пяти книг, опубликованных издательством Microsoft Press, и ведет ежемесячную рубрику «Кабельщик» в журнале TechNet.

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.