Network Policy Server

From ICO wiki
Revision as of 20:22, 18 December 2010 by Hleinola (talk | contribs)
Jump to navigationJump to search

'REFERAAT ON VEEL VALMIMISEL'

Kui varustatakse organisatsiooni töötajad ja nende arvutid võrguühendusega läbi võrgu ligipääsu serverite, nagu näiteks VPN serverid, traadia ühenduse ligipääsu punktid ja sisse helistamise serverid, võib kasutada NPS serverit, et luua, keskselt hallata ja jõustada võruligipääsu reegleid, mis määravad, kas kasutajad ja arvutid saavad või ei saa ligipääsu võrgule.

Ühenduse loomise käigus, kasutaja ja arvuti tavaliselt annavad oma isikut tõestavad andmed kas kasutaja nime ja paroolina või sertifikaadina. NPS kontrollib neid andmeid ja kasutab neid kasutaja või arvuti tuvastamiseks (või audentimiseks) enne võrgule ligipääsu andmist. NPS server võib kasutaja või arvuti ligipääsu õiguste kindlaks tegemiseks kasutada ka kasutaja konto seadeid, võrgu reegleid, mis on loodud või mõlemat.

NPS pakub administraatoritele eelist võrgu reeglite loomist ja seadmistamist ühest arvutist ja nende määramist mitmetele teistele serveritele. Näiteks on organisatsioonis 10 traadita ühenduse ligipääsupunkti. Ilma NPS-ta peab võrgu reegleid 10 korda määrama, aga NPS serveriga ainult keskselt ühe korra.

NPS serverit kasutades, saab keskselt hallata võrgu ligipääsu väga erinevate suurustega organisatsioonides, äriettevõtte tasemel organisatsioonides ja ka interneti teenusepakkujad(ISP) kasutavad NPS servereid. NPS pakub võimalust turvata ja hallata väga erinevaid võrgu ühenduste liike, näiteks järgmisi:

  • Töötajad ühendavad ennast firma sisevõrku kasutades sissehelistamist, VPNi, WIFIt, Terminal Services Gateway (TS Gateway) ja juhtmega ühendusi, kasutades väga erinevaid seadmeid alustades firma arvutite lõpetades töötajate pihuarvutite ja mobiilidega.
  • Töötajad ühendavad ennast teiste võrkudega, seal hulgas Internetiga ja äripartnerite sisevõrkudega.
  • Äripartnerid ühendavad ennast sinu organisatsiooni sisevõrguga.

NPS aluseks olevel protokoll, mis laseb NPS serveritel suhelda nii võrd erinevate võrguseadmetega on Remote Authentication Dial-In User Service (RADIUS) protokoll.


Ülevaade

Network Policy Server (NPS) on Microsofti versioon Remote Authentication Dial-in User Service (RADIUS) serverist ja proxy-st. Teenus on mõeldud Windowsi serveritele alates versioonist Windows Server 2008. NPS asendab Windows Server 2003 teenust Internet Authentication Service (IAS). Nagu RADIUS server, viib NPS läbi keskselt hallatavat võrguühenduse audentimist, autoriseerimist ja aruandlust. NPS on võimaline seda teenust pakkuma mitmetele erinevatele võrguühenduse liikidele, seal hulgas traadita (WIFI) ja virtuaalsele privaatsele võrgule (VPN). Kui NPS serverit kasutatakse nagu RADIUS proxyt, siis NPS edastab audentimise ja aruandluse teated teistele RADIUS serveritele. NPS serverit on võimalik kasutada ka Network Access Protection (NAP) platvormi seisundi hindamise serverina.

NPS lubab administraatoril keskselt seadistada ja hallata võrguühenduse reegleid järgneva kolme teenusega: RADIUS server, RADIUS proxy ja Network Access Protection (NAP) reeglite server. NPS serveriga saab administraator autoriseerida ja audentida võrgu ühendusi läbi mitmete võrgu ligipääsu serverite, seal hulgas IEEE 802.1x audentimis switchid ja traadita võrgu ligipääsu punktid, VPN serverid, sisse-helistamise serverid ja arvutid, milledel jooksevad Windows Server 2008 koos Terminal Service Gateway-ga.


Network Policy Serveri ülesehitus

Olemite hierarhia
  • Network Policy Server (NPS)

NPS pakub audentimis, autoriseerimis ja arvepidamis teenust võrgu ligipääsu serveritele, nagu näiteks IEEE 802.1X audentimis switchid ja traadita võrgu ligipääsu punktid, VPN serverid, sisse helistamise serverid ja arvutid, milledel jooksevad Windows Server 2008 koos Terminal Service Gateway-ga.

  • NPS Accounting

NPS aruandluse pidamine tegeleb kasutajate audentimis ja aruandlus päringute logimisega lokaalsesse faili või SQL andmebaasi.

  • NPS RADIUS Proxy

NPS serverit võib kasutada RADIUS proxyna, mis laseb RADIUS teateid suunata erinevatele RADIUS klientidele ja serveritele, mis tegelevad kasutajate võrgu ligipääsu päringute audentimise, autoriseerimise ja aruandluse pidamisega. Kui NPS serverit kasutatakse RADIUS proxyna, siis NPS on keskne switch või ruuter, läbi mille RADIUS ligipääsu ja aruandluse teated liiguvad. Edastatud teadete kohta peetakse logi.

  • NPS Network Access Protection

NAP on kliendi seisundi reeglite loomise, jõustamise ja parandamise tehnoloogia, mis lisati Windows Vistale ja Windows server 2008-le. NAP-ga saab administraator luua süsteemi seisundi reegleid, mis määravad tarkvara nõudeid, turva uuenduste nõudeid ja arvutite konfiguratsioone, mis ühenduvad internetiga.

  • NPS RADIUS Server

NPS serverit saab kasutada RADIUS serverina, mis tegeleb RADIUS klientide audentimise, autoriseerimise ja aruandluse pidamisega. RADIUS klient võib olla võru ligipääsu server või RADIUS proxy. Kui NPS serverit kasutatakse RADIUS serverina, pakub see keskset audentimise ja autoriseerimise teenust kõikidele ligipääsu pärinugtele ja keskset aruandluse pidamise teenust kõikidele aruandluse päringutele, mis on RADIUS klientide poolt tehtud.

  • NPS RADIUS Client

Network access server (NAS) on seade, mis pakub teatud tasemel ligipääsu võrgule. NAS, mis kasutab RADIUS infrastruktuuri on sammuti RADIUS klient, saates ligipääsu päringuid ja aruandluse teateid RADIUS serverile nende audentimiseks, autoriseerimiseks ja aruandluseks. Kliendi arvutid, nagu näiteks sülearvutid, mis kasutavad traadita ühendust ja teised arvutid, mis kasutavad kliendi operatsiooni süsteeme, ei ole RADIUS kliendid.


Autor

Henrik Leinola A22