Хотя я был знаком со всеми понятиями и терминами касаемо технологий защиты доступа к сети (Microsoft Network Access Protection (NAP)) и Cisco NAC, я решил рассмотреть новый Windows Server 2008 Network Policy Server, потому что он не связан с этими двумя технологиями. Меня заинтересовала в Windows 2008 Network Policy Server (NPS) возможность использования RADIUS на системах Windows 2008 System. Если говорить точнее, я хотел использовать Windows 2008 Server с тем, чтобы аутентифицировать ПК, использующие 802.1x, и пользователей, входящих в такие устройства сети, как маршрутизаторы Cisco.
Обычно, если я хотел выполнить одну из этих задач в Windows 2000 или 2003 Server, я использовал службу Интернет аутентификации (Internet Authentication Service) (IAS). В прошлом, WindowsNetworking.com предложил несколько статей по использованию IAS. Например, Беспроводные сети в Windows 2003 и Настройка Windows 2000 RADIUS для аутентификации беспроводных 802.1x клиентов. Однако в Windows Server 2008, вы быстро обнаружите, что IAS была заменена на Network Policy Server (NPS).
Так что же такое NPS и как он может помочь мне?
NPS – это не просто замена для IAS, он делает то же что и IAS, и гораздо больше. Хотя многие из нас будут делать то же, что делали с IAS в Windows 2003, когда установят NPS, но все же с NPS перед нами открываются абсолютно новые функциональные возможности.
Вот те же функции NPS, которыми обладала IAS:
Например, NPS может обеспечить следующие функции:
NPS обладает новыми функциями, связанными с Защитой Доступа к Сети (Network Access Protection (NAP)). Например, System Health Validators, Remediation Server Groups, Health Polices, и т.д.
Для детального пошагового рассмотрения примера того, как использовать NPS для выполнения защиты доступа к сети (NAP), пожалуйста прочтите серию статей Брайана Поузи Введение в защиту доступа к сети — часть 1 — 7
NPS является компонентом Windows 2008 Server. Это означает, что вы устанавливаете его путем добавления компонента, как показано на рисунке 1:
Рисунок 1: Добавление NPS компонента
Затем выбираете политику сети и сервисы доступа (Network Policy and Access Services):
Теперь выбираем сервисы для этой роли, которые мы хотим установить. Обратите внимание, что если вы захотите установить протоколы Health Registration Authority или Host Credential Authorization, вам будет предложено установить больше ролей для вашего сервера (например, IIS веб-сервер). Оба этих сервиса связаны либо с Microsoft NAP, либо с Cisco NAC.
Продвигаясь дальше по этому списку, сервис Network Policy Service представляет собой RADIUS сервер, который встречался в IAS. Сервисы RRAS – это вторая часть, которая традиционно была включена в IAS. Когда эти элементы отсутствуют, вы можете избирательно устанавливать выбранные компоненты.
После того как вы определились с выбором и нажали Далее, у вас появится последнее окно подтверждения, где нужно нажать Установить.
По окончании установки должно появиться окно «Установка завершена»
Теперь давайте рассмотрим то, как управлять новым Network Policy Server’
Если вы хотите использовать традиционные функции IAS, самый простой способ управления службами вашего нового сервера NPS заключается в использовании Windows 2008 Server Manager. В Server Manager вы найдете пункт роли (Roles), а в этом пункте вы найдете Network Policy and Access Services, как показано на рисунке 2:
Рисунок 2: Сервисы NPS в Server Manager
Как вы видите, есть три сервиса, ассоциируемых с NPS, сервер политики сети (network policy server (с названием IAS)), менеджер соединений удаленного доступа (remote access connection manager (RasMan)) и служба маршрутизации и удаленного доступа (routing and remote access service (RemoteAccess)). Тем, кто использует IAS, эти названия покажутся знакомыми.
Для конфигурирования и управления отдельными службами Network Policy Server (NPS) в Windows 2008 Server есть новый административный инструмент под названием Network Policy Server.
Рисунок 3: Запуск инструмента управления NPS
Когда он загружен, он выглядит примерно так:
Рисунок 4: Инструмент управления NPS
Как вы видите, секция клиентов и серверов RADIUS довольно знакома, как и секция политик. По-новому выглядит IAS ‘Remote Access Logging’, переименованная в ‘Accounting’, а также есть новая папка Network Access Protection.
И все же это не просто измененный интерфейс и переименованные элементы IAS, принципиальная разница заключается в функциональных возможностях в области защиты доступа к сети, которыми обладает NPS.
Есть несколько частей в архитектуре сервера Network Policy Server. Ниже представлена схема, изначально опубликованная на Microsoft TechNet в статье с названием’Инфраструктура Network Policy Server’.
Рисунок 10: Архитектура NPS (источник: Microsoft)Как видно на схеме, сервер NPS, который мы установили в этой статье, является лишь частью большой инфраструктуры NPS. Не все эти части являются обязательными. Выбор частей этой инфраструктуры, зависит от той функции, которую вы собираетесь выполнять.
Например во введении я говорил о том, что хочу использовать NPS для аутентификации сетевых устройств Cisco, использующих RADIUS. Для этого мне потребуется лишь сервер NPS RADIUS и Network Policy Server (NPS). Маршрутизатор Cisco (или другое сетевое устройство) будет клиентом NPS RADIUS. Сервер NPS RADIUS – это то, что принимает запросы на аутентификацию сертификатов пользователя из сетевого устройства. Сервер NPS RADIUS обычно связывается с Network Policy Server с тем, чтобы убедится, что последний принимает запросы аутентификации от клиента RADIUS, что политика соответствует, что мандаты отправлены (обычно в активную директорию Windows) на подтверждение. Если они подтверждены, принятый запрос аутентификации отправляется обратно клиенту NPS RADIUS (сетевому устройству, в моем примере, маршрутизатору Cisco).
В сочетании с клиентом Microsoft NAP, Microsoft называет Network Policy Server ‘платформой внедрения безопасной политики системы’. Но я все же воспринимаю NPS, как AAA сервер (аутентификация, авторизация и учетные данные — authentication, authorization, and accounting). Если вам нужен традиционный сервер RADIUS, вы не заметите большой разницы при использовании NPS. Однако я советую вам тщательнее присмотреться к тому, как NPS может помочь вам в решении проблем вашей компании в области защиты доступа к сети (NAP). Открывая доступ только тем компьютерам, на которых имеются обновленные патчи, антивирусное ПО и настройки брандмауэра для доступа к вашей сети, вы тем самым делаете сети вашей компании более надежными и безопасными.
www.windowsnetworking.com
Tags: vpn, Windows 2008