什么时候应该使用Windows RADIUS服务器?
网络策略服务器 (NPS) 是 Microsoft 的远程身份验证拨入用户服务 (RADIUS) 服务器的实现。NPS 为您的网络提供集中式身份验证、授权和记帐 (AAA)功能。在此设置下,您的网络访问服务器 (NAS) 充当 RADIUS 客户端,并将来自用户的所有连接请求发送到在 Windows 上运行 NPS 的 RADIUS 服务器,然后将身份验证和授权信息提供回 NAS。当用户连接到您的网络时,NPS 会记录他们的活动作为其 RADIUS 记帐角色的一部分。,,RADIUS 是一种具有 AAA 管理功能的客户端-服务器网络协议,其传输层使用无连接用户数据报协议 (UDP),并使用端口 1812 进行身份验证,使用端口 1813 进行授权。,由于 UDP 不需要跨网络的可靠连接,因此使用 RADIUS 意味着最小的网络开销。但是,在网络质量差的情况下,这也可能导致请求超时。发生这种情况时,RADIUS 客户端会向服务器发送另一个请求。为确保 RADIUS 在安全的网络连接上运行,过去曾有过使其与传输控制协议 (TCP) 一起工作的举措,但这些举措并未超出实验阶段。,作为客户端-服务器网络协议,RADIUS 具有客户端和服务器组件。在使用 RADIUS 的典型网络中,身份验证和授权过程如下:,RADIUS 支持多种身份验证机制,包括:,RADIUS 中的组合身份验证和授权操作可最大限度地减少流量并提高网络效率。RADIUS 还支持使用一次性密码或某种其他机制的多重身份验证 (MFA),这通常需要客户端和服务器传递比正常情况下更多的消息。在较大的网络中,RADIUS 服务器还可以充当其他 RADIUS 服务器的代理客户端。,与 RADIUS 一样,轻量级目录访问协议 (LDAP) 用于用户身份验证和授权。LDAP 通过访问和管理目录服务(例如 Microsoft 专有的 Active Directory 服务)来执行此角色。至于哪个更好取决于你的具体要求。,由于 LDAP 使用 TLS,客户端和服务器之间的连接和消息始终是加密的。此外,由于 LDAP 使用 TCP,丢弃请求的可能性为零,尽管这通常意味着更多的网络开销。LDAP 也比 RADIUS 更易于设置。,另一方面,LDAP 不支持用户记帐,尽管这可以使用其他工具(例如 Syslog)来解决。它还不支持开箱即用的多因素身份验证,但如果需要此功能,您可以使用其他解决方案。,默认情况下,RADIUS 不加密在客户端和服务器之间传递的任何其他属性,密码除外。它确实支持其他身份验证机制(例如 EAP),从而可以规避此弱点。您还可以使用 RADIUS 实施其他安全机制,例如将服务器和客户端置于虚拟专用网络 (VPN) 之后。虽然更复杂,但 RADIUS 支持用户记帐和 MFA,非常适合在大型企业中使用。但是,它对于希望保护其网络安全的小型组织也很有用。,NPS 在早期的 Windows 版本中被称为 Internet 身份验证服务 (IAS)。从 Windows 2008 开始,IAS 成为 NPS,Microsoft 向该组件添加了新功能,包括网络访问保护和 IPv6 支持。NPS 适用于多种类型的网络。,为了验证 Windows 网络上的用户凭据,NPS 依赖于 Active Directory 域服务 (AD DS) 域或本地安全帐户管理器 (SAM) 用户帐户数据库。当运行 NPS 的服务器属于 AD DS 域时,您可以将 NPS 用作单一登录解决方案的一部分。在这种情况下,NPS 通过目录服务的用户帐户数据库对用户进行身份验证,将经过身份验证的用户登录到 AD DS 域中。,使用 RADIUS,NPS 代替 NAS...