NPS 身份验证方法.docx

上传人:11****ws 文档编号:3010198 上传时间:2019-05-17 格式:DOCX 页数:34 大小:109.29KB
下载 相关 举报
NPS 身份验证方法.docx_第1页
第1页 / 共34页
NPS 身份验证方法.docx_第2页
第2页 / 共34页
NPS 身份验证方法.docx_第3页
第3页 / 共34页
NPS 身份验证方法.docx_第4页
第4页 / 共34页
NPS 身份验证方法.docx_第5页
第5页 / 共34页
点击查看更多>>
资源描述

1、引用: http:/ NPS 身份验证方法 应用到 : Windows Server 2008 身份验证方法 用户尝试通过网络访问服务器(也称为 RADIUS 客户端)(如无线访问点、 802.1X 身份验证切换、拨号服务器和虚拟专用网络 (VPN) 服务器)连接网络时,网络策略服务器 (NPS) 会首先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问。 由于身份验证是验证尝试连接网络的用户或计算机的身份的过程,因此 NPS 必须以凭据形式从用户或计算机接收身份证明。 某些身份验证方法使用基于密码的凭据。例如, Microsoft 质询握手身份验证协议 (MS-CHAP) 要求用户键入

2、用户名和密码。然后由网络访问服务器将这些凭据传递到 NPS 服务器, NPS 会根据用户帐户数据库验证这些凭据。 其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、 NPS 服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性,因而优先于基于密码的身份验证方法推荐采用 。 当您部署 NPS 时,可以指定访问网络所需的身份验证方法的类型。 基于密码的身份验证方法 应用到 : Windows Server 2008 基于密码的身份验证方法 每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。对于所有支持使用证书的

3、网络访问方法,建议使用基于证书的身份验证方法。在无线连接的情况下尤其如此,此时建议使用 PEAP-MS-CHAP v2 或 PEAP-TLS。 所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 (NPS) 的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。 可以将 NPS 配置为接受多种身份验证方法。还可以配置网络访问服务器(也称为 RADIUS 客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。例如,路由和远程访问服务首先尝试使用 EAP,然后依次使用 MS-

4、CHAP v2、 MS-CHAP、 CHAP、 SPAP、 PAP 来尝试协商建立连接。选择 EAP 作为身份验证方法时,在访问客户端和 NPS 服务器之间出现 EAP 类型的协商。 MS-CHAP 版本 2 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全性。MS-CHAP v2 解决了 MS-CHAP 版本 1 中的某些问题,如下表中所述。 MS-CHAP 版本 1 问题 MS-CHAP 版本 2 解决方案 用于与旧版 Microsoft 远程访问客户端的向后兼容性的 LAN 管理器响应编码是弱加密的。 M

5、S-CHAP v2 不再允许 LAN 管理器编码响应。 密码更改的 LAN 管理器编码是弱加密的。 MS-CHAP v2 不再允许 LAN 管理器编码密码更改。 只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。 MS-CHAP v2 提供双向身份验证,也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。 加密密钥基于用户密码,使用 40 位加密。每次用户使用相同的密码连接时,将生成相同的加密密钥。 使用 MS-CHAP v2,加密密钥始终基于用户的密码和一种任意的质询字符串。每次用户使用相同的密码连接时,将使

6、用不同的加密密钥。 在连接中使用单一加密密钥双向发送数据。 使用 MS-CHAP v2,为传输和收到的数据生成单独的加密密钥。 MS-CHAP v2 是一种单向加密密码,相互身份验证过程的工作方式如下: 1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。 2. 访问客户端发送包含下列信息的响应: 用户名。 任意对等质询字符串。 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。 3. 身份验证器检查来自客户端的响应并发送回包含下列信息的响应: 指示连接尝试是成功还是失败。 经过身份验证的响应,基于发送的质询字符串、对等

7、质询字符串、加密的客户端响应和用户密码。 4. 访问客户端验证身份验证响应,如果正确,则使用该连接。如果身份验证响应不正确,访问客户端将终止该连接。 启用 MS-CHAP v2 若要启用基于 MS-CHAP v2 的身份验证,必须执行下列操作: 1. 启用 MS-CHAP v2 作为网络访问服务器上的身份验证协议。 2. 在相应的网络策略上启用 MS-CHAP v2。 3. 在访问客户端上启用 MS-CHAP v2。 其他注意事项 MS-CHAP(版本 1 和版本 2)是唯一的基于密码的身份验证协议,它支持在身份验证过程中更改密码。 在 NPS 服务器的网络策略上启用 MS-CHAP v2 之

8、前,确保您的网络访问服务器支持 MS-CHAP v2。有关详细信息,请参阅 NAS 文档。 MS-CHAP Microsoft 质询握手身份验证协议 (MS-CHAP),也称为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议。质询握手过程的工作方式如下: 1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。 2. 访问客户端发送一个响应,该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。 3. 身份验证器检查响应,如果有效,则用户的凭据通过身份验证。 如果使用 MS-CHAP 作为身份验证协议,则可以使用 Mic

9、rosoft 点对点加密 (MPPE) 对 PPP 或 PPTP 连接上发送的数据进行加密。 MS-CHAP 版本 2 为网络访问连接提供了比 MS-CHAP 更高的安全性。应考虑使用 MS-CHAP 版本 2 而非 MS-CHAP。 启用 MS-CHAP 若要启用基于 MS-CHAP 的身份验证,必须执行下列操作: 1. 启用 MS-CHAP 作为远程访问服务器上的身份验证协议。 2. 在 NPS 中的相应网络策略上启用 MS-CHAP。 3. 在访问客户端上启用 MS-CHAP。 其他注意事项 默认情况下, MS-CHAP v1 的此实现不支持 LAN 管理器身份验证。如果希望允许对旧版操

10、作系统(如 Windows NT 3.5x 和 Windows 95)使用带 MS-CHAP v1 的 LAN 管理器身份验证,必须在 NPS 服务器上将以下注册表值设置为 1: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllow LM Authentication 如果 MS-CHAP v1 用作身份验证协议,当用户的密码大于 14 个字符时,将无法建立 40 位加密的连接。此行为会影响拨号和基于 VPN 的 远程访问以及请求拨号连接。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前

11、,应备份计算机中任何有价值的数据。 CHAP 质询握手身份验证协议 (CHAP) 是一种质询 -响应身份验证协议,该协议使用行业标准的 Message Digest 5 (MD5) 哈希方案来对响应加密。 CHAP 可供各种网络访问服务器和客户端的供应商使用。运行 “路由和远程访问 ”的服务器支持 CHAP,以便对要求使用 CHAP 的访问客户端进行身份验证。由于 CHAP 要求使用可撤消的加密密码,所以,应考虑使用其他身份验证协议(例如 MS-CHAP 版本 2)。 若要启用基于 CHAP 的身份验证,必须执行下列操作: 1. 启用 CHAP 作为网络访问服务器上的身份验证协议。 2. 在

12、NPS 中的相应网络策略上启用 CHAP。 3. 启用可撤消加密的用户密码存储。 可以按用户帐户启用其存储,也可以为域中的全部帐户启用存储。 4. 强制重置用户密码,以使新密码采用可撤消形式加密。 启用以可撤消的加密形式存储密码时,当前密码未采用可撤消的加密形式,并且未自动更改。必须手动更改用户密码,或将用户 密码设置为在每个用户下次登录时更改。 如果将用户密码设置为在用户下次登录时更改,该用户必须使用 LAN 连接进行登录,并在用户尝试使用远程访问连接登录之前,使用 CHAP 更改密码。在身份验证过程中,不能使用 CHAP 更改密码;否则,登录尝试将失败。远程访问用户的一种解决方法是暂时使用

13、 MS-CHAP 登录来更改密码。 5. 在访问客户端上启用 CHAP。 其他注意事项 用户密码过期时, CHAP 不为其提供在身份验证过程中更改密码的功能。 验证网络访问服务器支持 CHAP,然后再在运行 NPS 的服务器上的网络策略中启用它。有关详细信息,请参阅 NAS 文档。 不能对 CHAP 使用 Microsoft 点对点加密 (MPPE)。 PAP 密码身份验证协议 (PAP) 使用纯文本密码,是最不安全的身份验证协议。如果访问客户端和网络访问服务器无法协商使用更安全的身份验证方法,通常协商使用此方法。 若要启用基于 PAP 的身份验证,必须执行下列操作: 1. 启用 PAP 作为

14、网络访问服务器上的身份验证协议。 2. 在 NPS 中的相应网络策略上启用 PAP。 3. 在访问客户端上启用 PAP。 重要事项 启用 PAP 作为身份验证协议时,将以纯文本形式发送用户密码。任何捕获到身份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的 Intranet 进行未经授权的访问。建议不要使用 PAP,特别是对于 VPN 连接。 其他注意事项 如果部署了拨号服务器,通过在网络访问服务器上禁用 PAP 支持,可确保从不通过拨号客户端发送纯文本密码。禁用对 PAP 的支持可以提高身份验证的安全性,但是只支持 PAP 的远程访问客户端将无法连接。 用户的密码过期时, PA

15、P 不为其提供在身份验证过程中更改密码的功能。 在 NPS 服务器的网络策略上启用 PAP 之前,确保您的网络访问服务器支持 PAP。有关详细信息,请参阅 NAS 文档。 不能对 PAP 使用 Microsoft 点对点加密 (MPPE)。 未经身份验证的访问 使用未经身份验证的访问,不需要用户凭据(用户名和密码)。虽然在某些情况下,未经身份验证的访问很有用,但在大多数情况下不推荐在组织网络中使用。 启用未经身份验证的访问时,将允许用户访问网络,而无需发送用户凭据。此外,未经身份验证的访问客户端在建立连接过程中不协商使用公用身份验证协议,也不将用户名或 密码发送到 NPS。 必须使用未经身份验

16、证的访问时,可以使用以下解决方案之一: DNIS 授权 ANI/CLI 身份验证 来宾身份验证 DNIS 授权 被叫号码识别服务 (DNIS) 使您能够对由 NPS 尝试的连接(基于客户端计算机呼叫的号码)进行授权,以初始化该连接。 DNIS 识别被呼叫到呼叫接收方的号码,由大多数电话公司提供。例如,可以允许通过指定的免费号码连接的全部连接。若要识别基于 DNIS 的连接并应用适当的连接设置,必须执行以下操作: 1. 在网络访问服务器上启用未经身份验证的访问。 2. 将 Called-Station-Id 条件设置为客户端计算机必须呼叫才能启动连接的电话号码后,在 NPS 服务器上为基于 DN

17、IS 的授权创建一个网络策略。 3. 在 NPS 的网络策略中为基于 DNIS 的授权启用未经身份验证的访问。 其他注意事项 如果电话服务或硬件不支持 DNIS,可以手动设置端口的电话号码。 NPS 不支持有代理的 DNIS 访问请求。 ANI/CLI 身份验证 自动号码识别 /呼叫线路识别 (ANI/CLI) 身份验证是对基于呼叫方电话号码的连接尝试进行的身份验证。 ANI/CLI 服务将呼叫方号码返回呼叫的接收方,大多数电话公司提供此服务。 ANI/CLI 身份验证不同于呼叫方 ID 授权。在呼叫方 ID 授权中,呼叫方发送有效用户名和密码。为用户帐户上的拨入属性配置的呼叫方 ID 必须与

18、连接尝试匹配;否则,将拒绝连接尝试。使用 ANI/CLI 身份验证,将不发送用户名和密码。 若要识别基于 ANI/CLI 的连接并应用适当的连接设置,必须执行以下操作: 1. 在网络访问服务器上启用未经身份验证的访问。 2. 在 NPS 的相应网络策略中为基于 ANI/CLI 的身份验证启用未经身份验证的访问。 3. 在 Active Directory(R) 域服务 (AD DS) 中或在 NPS 服务器上的本地安全帐户管理器 (SAM) 数据库中,为每个将呼叫并要为其提供 ANI/CLI 身份验证的号码创建一个用户帐户。用户帐户的名称必须与用户拨入的号码匹配。例如,如果用户拨入 555-0

19、100,将创建一个用户名为 5550100 的用户帐户。此外,用户帐户的密码必须为空。 4. 在 NPS 服务器上将以下注册表值设置为 31: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyUser Identity Attribute 此注册表设置告知验证服务器将呼叫号码( RADIUS 属性 31, Calling-Station-ID)用作呼叫用户的标识。仅当在连接尝试中未提供用户名时,用户标识才被设置为呼叫号码。 若要始终将呼叫号码用作用户标识,请在身份验证服务器上将以下注册表值设置为 1: HKE

20、Y_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyOverride User-Name 但是,如果将 Override User-Name 设置为 1 并将 User Identity Attribute 设置为 31,则身份验证服务器只能执行基于 ANI/CLI 的身份验证。使用身份验证协议(如 MS-CHAP、 CHAP 和 EAP)的一般身份验证被禁用。 备注 重新启动路由和远程访问服务或网络策略服务器服务之后,对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前,应备份

21、计算机中任何有价值的数据。 来宾身份验证 AD DS 包括一个称为 “来宾 ”的用户帐户,默认情况下,该帐户被禁用。如果需要提供未经身份验证的访问,可以启用来宾帐户。使用来宾身份验证,在身份验证过程中,用户不提供用户名或密码。如果已启用未经身份验证的访问,则在默认情况下,使用来宾帐户作为呼叫方的标识。 若要启用来宾帐户访问,必须执行下列操作: 1. 在网络访问服务器上启用未经身份验证的访问。 2. 在 NPS 中的相应网络策略上启用未经身份验证的访问。 3. 在 “Active Directory 用户和计算机 ”中启用来宾帐户。 4. 根据网络策略管理模型,将来宾帐户的网络访问权限设置为 “

22、允许访问 ”或 “通过 NPS 网络策略控制访问 ”。 如果需要启用未命名为 “来宾 ”的来宾帐户,请创建一个用户帐户并将远程访问权限设置为 “允许访问 ”或 “通过 NPS 网络策略控制访问 ”。然后,在身份验证服务器(远程访问服务器或 NPS 服务器)上,将以下注册表值设置为帐户的名称: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyDefault User Identity 备注 重新启动路由和远程访问服务或网络策略服务器服务之后,对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的

23、系统。在更改注册表之前,应备份计算机中任何有价值的数据。 证书与 NPS 应用到 : Windows Server 2008 证书与 NPS 证书是由证书颁发机构 (CA),如 Active Directory(R) 证书服务 (AD CS) 或 Verisign 公共 CA 颁发的数字文档。证书可用于许多目的,如代码签名和保护电子邮件通信,但使用网络策略服务器 (NPS) 时,证书用于网络访问身份验证。 由于证书可提供对用户和计算机进行身份验证的强大安全性而且可消除对基于密码的不太安全的身份验证方法的需要,因此用于网络访问身份验证。 使用基于证书的身份验证类型配置的两种身份验证方法均使用以下

24、证书: EAP 和 PEAP。使用 EAP,可以配置身份验证类型 TLS (EAP-TLS),而使用 PEAP,可以配置身份验证类型 TLS (PEAP-TLS) 和 MS-CHAP v2 (PEAP-MS-CHAP v2)。这些身份验证方法始终使用证书进行服务器身份验证。根据使用身份验证方法配置的身份验证类型,证书还可用于用户身份验证和客户端计算机身份验证。 备注 使用证书对 VPN 连接进行身份验证是 Windows Server 2008 中最强大的可用身份验证形式。必须根据采用 Internet 协议安全的第二层隧道协议 (L2TP/IPsec) 对 VPN 连接使用基于证书的身份验证

25、。使用 EAP-TLS 作为身份验证方法时,虽然您可以将 PPTP 连接配置为使用证书进行计算机身份验证,但点对点隧道协议 (PPTP) 连接不需要证书。对于无线客户端,带 EAP-TLS 以及智能卡或证书的 PEAP 是建议的身份验证方法。 通过安装和配置 Active Directory 证书服务服务器角色,可以部署与 NPS 一同使用的证书。有关详细信息,请参阅 AD CS 文档。 证书类型 使用基于证书的身份验证方法时,了解以下类型的证书及其使用方式非常重要。 CA 证书 如果证书位于客户端和服务器计算机上,则向客户端或服务器表明它可以信任其他证书,如用于客户端或服务器身份验证的证书(

26、由此 CA 颁发)。此证书是基于证书的身份验证方法的所有部署所必需的。 客户端计算机证书 由 CA 颁发给客户端计算机且在客户端计算机在身份验证过程中需要向运行 NPS 的服务器证明其身份时使用。 服务器证书 由 CA 颁发给 NPS 服务器且在 NPS 服务器在身份验证过程中需要向客户端计算机证明其身份时使用。 用户证书 由 CA 颁发给个人且通常作为智能卡中嵌入的证书进行分发。当个人在 身份验证过程中需要向 NPS 服务器证明其身份时,会将智能卡上的证书与连接到客户端计算机的智能卡读卡器一同使用。 基于证书的身份验证方法 使用强 EAP 类型的 EAP(如带有智能卡或证书的 TLS)时,客

27、户端和服务器都使用证书相互进行身份验证。此过程称为相互身份验证。证书必须满足某些要求,才允许服务器和客户端使用它们进行相互身份验证。 这类要求之一就是,证书是使用与证书使用关联的 EKU 扩展中的一个或多个目的来配置的。例如,客户端对服务器进行身份验证时所使用的证书必须是使用 “客户端身份验证 ”目的来配置的 。同样,用于服务器身份验证的证书必须是使用“服务器身份验证 ”目的来配置的。使用证书进行身份验证时,身份验证器将检查客户端证书,以在 EKU 扩展中寻找正确目的的对象标识符。例如,用于客户端身份验证目的的对象标识符为 1.3.6.1.5.5.7.3.2。使用证书进行客户端计算机身份验证时

28、,此对象标识符必须存在于证书的 EKU 扩展中,否则身份验证将会失败。 证书模板是一个 Microsoft 管理控制台 (MMC) 管理单元,可用于对 AD CS 颁发的证书进行自定义。自定义可能性包括如何颁发证书以及证书包含 哪些内容(包括其目的)。在证书模板中,可以使用默认模板(如计算机模板)来定义 CA 为计算机分配证书时所使用的模板。您还可以创建证书模板,并为证书分配 EKU 扩展中的目的。默认情况下,计算机模板包括 EKU 扩展中的 “客户端身份验证 ”目的和 “服务器身份验证 ”目的。 创建的证书模板可以包括将证书用于的任何目的。例如,如果使用智能卡进行身份验证,则除了 “客户端身

29、份验证 ”目的以外,还可以包括 “智能卡登录 ”目的。您可以将 NPS 配置为在授予网络权限之前对证书目的进行检查。 NPS 可以检查其他的 EKU 和颁发策 略目的(也称为证书策略)。 备注 有些非 Microsoft CA 软件可能包含所谓的 “全部 ”目的,表示所有可能的目的。这由一个空白的(或空) EKU 扩展表示。尽管 “全部 ”旨在表示 “所有可能的目的 ”,但不能将 “全部 ”目的替换为 “客户端身份验证 ”目的、 “服务器身份验证 ”目的,或与网络访问身份验证有关的任何其他目的。 了解使用证书的身份验证 将证书作为身份证明提供给客户端或服务器计算机时,身份验证器必须检查该证书以

30、确定其有效性(无论出于何种目的进行配置),并了解证书是否由身份验证器所信任的 CA 颁发。 假设证书的配置正确且有效,身份验证过程最重要的方面就是通过身份验证器检查它是否信任颁发证书的 CA。 如果身份验证器信任 CA,而且证书有效且按照最低的客户端和服务器证书要求正确进行了配置,则身份验证将成功。如果身份验证器不信任 CA,则身份验证将失败。 如何建立信任 基于 Windows 的计算机将证书保留在本地计算机上的证书存储区中。存在专门为本地计算机、当前用户和各个服务(如网络连接、自动更新和计算机浏览器)设置的证书存储区。在每个证书存储区中都有名为 “受信任的根证书颁发机构 ”的文件夹,其中包 含来自受信任的每个 CA 的证书,无论它们是公共的还是专用的 CA。 为了确定信任,身份验证器将针对当前用户或本地计算机检查 “受信任的根证书颁发机构 ”证书存储区。 如果颁发用于身份验证的客户端、用户或服务器证书的 CA 在本地计算机上的 “受信任的根证书颁发机构 ”证书存储区中具有证书,则身份验证器将信任证书。如果颁发证书的 CA 在本地计算机上的 “受信任的根证书颁发机构 ”证书存储区中没有 CA 证书,则身份验证器不信任证书。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 医药卫生

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。