NPS – RADIUS – Active Directoryauthentication

我认为你需要RADIUS远程authentication拨入用户服务）协议的一些背景来理解它在authentication中的angular色。

RADIUS最初被开发和部署来validation（以及授权和帐户用户访问 – 我不会在这里讨论的function）用户拨入到调制解调器池。 设想接收传入呼叫的​​调制解调器池和包含授权拨入用户的凭证的数据库。 RADIUS是允许运行调制解调器池的硬件将authentication请求卸载到服务器的协议，从而使调制解调器池硬件不必具有任何“知识”（和authentication策略等）。

协议机制涉及代表用户从RADIUS客户端（即接收来电的调制解调器池硬件）接收请求的RADIUS服务器（即执行用户的允许/拒绝authentication的服务器）拨号项。

RADIUS协议是相当普遍的，已经适用于需要authentication的802.1x和其他协议。 这就是为什么你看到很多“networkingauthentication”的参考。 尽pipe如此，作为一个通用协议的RADIUS你可以有一个支持通过RADIUS协议validation用户的应用程序。 在这种情况下，应用程序是RADIUS客户端。 RADIUS服务器（Windows NPS服务）将需要告知应用程序将发送其RADIUS请求的IP地址作为RADIUS客户端IP地址。

RADIUS协议需要一个共享的秘密值（称为Authenticator ）来validation传入的请求确实来自授权客户端（而不仅仅是一些试图使用RADIUS服务器暴力破解密码的攻击者）。 同样，RADIUS客户端使用validation器来validation响应是否真的来自RADIUS服务器（而不是攻击者欺骗服务器的身份）。 您还需要configuration此值。

您将需要使用策略来configurationWindows NPS服务，以支持应用程序所需的身份validation协议（PAP，如您所述）。 Windows NPS服务没有任何与“LDAP”有关的configuration，因为它使用Windows内置的身份validationAPI，后者是Active Directory的后端。 基本上，您可以通过使用Windows NPS服务“免费”获得对Active Directory的身份validation。

请务必查看有关RADIUS的维基百科文章以获得有关此协议的更深入的信息，以及有关configurationWindows Server端的NPS服务的Microsoft文档 。

编辑：

这是我得到的感觉。

我发现这个Seimens“安全模块”文档描述了一些“安全集成”以太网产品的RADIUSauthenticationconfiguration。 这些东西看起来像小防火墙，IPSEC，NAT等。

我怀疑“安全configuration工具”是用来configuration“安全模块”。 要将configuration上传到安全模块（毫无疑问，要执行其他pipe理活动），用户需要向安全模块进行身份validation。 这是RADIUSconfiguration似乎进来的地方。

该文档的第80页上的图表看起来正如我所期望的那样 – 将安全模块的用户身份validation转发给RADIUS服务器，RADIUS服务器向安全模块返回一个允许/拒绝决定。 客户端计算机完全不涉及authentication的RADIUS部分。

它看起来相当简单，虽然我说，有很多使用RADIUS的经验。 至于使用Microsoft NPS RADIUS服务器的细节（和您的查询重新：“…拨号，VPN，无线和有线…”），我只能说，我不想使用“向导”configurationNPS服务并手动执行configuration。 再次说，在RADIUS上有很多的经验，这看起来像是一个试验性的练习，但对你来说可能会更艰巨。 我绝对不能给你一个点击点击“配方”，因为我没有这些设备之一可用（虽然我很乐意看到一个 – 它看起来会是一个有趣的做他们的安全评估）。

我正在寻找同样的问题，但与AD的WatchGuard PPTP / L2TP集成。 虽然它们具有内置的AD支持，但不能与AD一起使用，只能使用其内置的用户数据库或Radius。 下面介绍如何设置FreeRADIUS来查询AD。

查看http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integration-HOWTO