همانطور که می دانید با GPO می توان Policy برای Userها و Computerها تعریف کرد اما آیا می توان Userهایی که از طریق Cable و یا Wireless و با هر سیستمی به شبکه متصل می شوند را Authenticate کرد؟

آیا می توان در صورت وجود چندین Access Point به آنها Policy اعمال کرد؟

NPS به شما اجازه می دهد تا با ایجاد Policy از سلامت سیستمهایی که قصد اتصال به شبکه را دارند مطلع شوید و اجازه نمی دهد User با هر سیستمی که توانست، به شبکه متصل شود. همچنین اگر در شبکه چندین RAS Server یا (Remote Access Service) مثل چندین VPN Server و یا چندین Access Point وجود داشته باشد (خود این سرورها و Access Pointها Authentication را نیز انجام می دهند) می توان با ایجاد RADIUS Server از طریق NPS، کار احراز هویت همه این سرورها و Access Pointها را در یکجا و با امنیت بالاتر و تنظیمات بیشتر انجام داد.

RADIUS Server

NPS می تواند به عنوان Remote Authentication Dial-In User Service (RADIUS) Server استفاده شود که سه وظیفه عمده دارد که به AAA معروف بوده و Authentication ، Authorization و Accounting را برای RADIUS Client انجام می دهد. در بحث RADIUS، منظور یک کلاینت ساده که User با آن کار می کند نیست، بلکه منظور Access Server Networkهایی (NAS) مانند Dial-Up Server ، VPN Server ، Wireless Access Point و یا Proxy Server بوده که چندین Client معمولی (User عادی) به آنها متصل می شوند. تمام این سرورها به تنهایی کار احراز هویت از Clientها را انجام می دهند ولی با RADIUS Server این کار متمرکز خواهد بود. در RADIUS Server عمل Authentication به معنای اینست که آیا User که قصد اتصال به شبکه را دارد جزو Userهای شما در Active Directory است یا خیر؟ حال اگر User احراز هویت شده و وارد شبکه شد، به چه منابع و در چه سطحی به آنها دسترسی داشته باشد که توسط Authorization مشخص می شود. سپس Accounting مشخص می کند در چه زمانهایی Clientها می توانند به چه میزان از منابع دسترسی داشته باشند. NPS از سربرگ Dial-in در Properties User و Policyهایی که در Network Policy تعریف شده اند برای Authorize و از AD DS برای Authentication استفاده می کند. تفاوتهایی نیز در نسخه های ویندوز 2008 R2 در RADIUS وجود دارد:

در نسخه Windows Web Server 2008 R2 سرویس NPS وجود ندارد. در نسخه Standard حداکثر 50 ، RADIUS Client و 2 گروه Remote RADIUS Server بوده و از ایجاد گروههای RADIUS Client از طریق IP Range پشتیبانی نمی کند، فقط نسخه های Enterprise و Data Center محدودیتی ندارند. شکل زیر NPS را به عنوان RADIUS Server برای چندین RADIUS Client نشان می دهد.

هنگامی که از NPS به عنوان RADIUS سرور استفاده می کنید، از طریق راههای زیر درخواست های AAA برای تمام کلاینتهای RADIUS در شبکه ایجاد می شود.

- به سرورهایی مانند Dial-in Server ،VPN Server و Wireless Access Pointها Access Server می گویند که پیام درخواست ارتباط را از کلاینتها (Access Clients) دریافت می کنند.

- Access Serverهایی که برای Authentication, Authorization و Accounting تنظیم شده اند تا از RADIUS استفاده کنند، پیام درخواست دسترسی (Access-Request Message) را ساخته و به RADIUS Server می فرستد.

- RADIUS Server پیام درخواست را می سنجد.

- اگر نیاز بود RADIUS Server درخواست Access-Challenge را به Access Server می فرستد تا از درخواست مطمئن شود. Access Server این موضوع را پردازش کرده و Updated Access-Request را به RADIUS Server ارسال می کند.

- اطلاعات امنیتی کاربر (User Credential) و اطلاعات سربرگ Dial-in در Properties آن که با استفاده از ارتباطی امن با Domain Controller صورت می پذیرد، بررسی می شود.

- درخواست ارتباط براساس سربرگ Dial-in کاربر و Network Policies، احراز هویت می شود.

- اگر درخواست ارتباط هم Authorize و هم Authenticate شود، RADIUS سرور پیام Access-Accept را به Access Server می فرستد.

حال اگر این درخواست احراز هویت نشود، RADIUS پیام  Access-Reject را به Access Server ارسال می کند.

- Access Server فرآیند ارتباط را با Client کامل کرده و پیام Accounting-Request به RADIUS، جایی که پیامها Log می شوند، می فرستد.

- در پایان RADIUS پیام Accounting-Response را به Access Server ارسال می کند.

به خاطر داشته باشید که Access Server همیشه پیام Accounting-Request را ارسال می کند، چه در زمانی که Client با Server در ارتباط بوده و چه زمانی که ارتباط بسته شده و یا زمانی که Access Server شروع بکار کرده و یا Stop می شود.