RADIUS 驗證、授權和會計
注意
從 Windows Server 2008 開始,網際網路驗證服務 (IAS) 已重新命名為網路原則伺服器 (NPS) 。 本主題的內容適用于 IAS 和 NPS。 在整個文字中,NPS 是用來參考服務的所有版本,包括原本稱為 IAS 的版本。
NPS 完全支援遠端驗證撥入使用者服務 (RADIUS) 通訊協定。 RADIUS 通訊協定是遠端使用者驗證的事實標準,其記載于 RFC 2865 和 RFC 2866中。
RADIUS 驗證和授權
下圖顯示使用點對點通訊協定 (PPP) ,透過撥號連線來驗證用戶端 (「使用者」) 連線到網路存取伺服器 (NAS) 。 為了驗證使用者,NAS 會連絡執行 NPS 的遠端伺服器。 NAS 和 NPS 伺服器會使用 RADIUS 通訊協定進行通訊。
NAS 會以支援 RADIUS 通訊協定的伺服器或伺服器的用戶端運作。 支援 RADIUS 通訊協定的伺服器通常稱為 RADIUS 伺服器。 RADIUS 用戶端,也就是 NAS 會將使用者的相關資訊傳遞給指定的 RADIUS 伺服器,然後對伺服器傳回的回應採取動作。 NAS 傳送至 RADIUS 伺服器的要求,以驗證使用者通常稱為「驗證要求」。
如果 RADIUS 伺服器成功驗證使用者,RADIUS 伺服器會將組態資訊傳回 NAS,以便提供網路服務給使用者。 此組態資訊是由「授權」所組成,並包含服務 NAS 的類型可能會提供給使用者 (,例如 PPP 或 telnet) 。
當 RADIUS 伺服器正在處理驗證要求時,它可以執行授權功能,例如驗證使用者的電話號碼,以及檢查使用者是否已進行會話。 RADIUS 伺服器可以透過連絡狀態伺服器來判斷使用者是否已進行會話。
如需 RADIUS 驗證和授權的詳細資訊,請參閱 RFC 2865。
RADIUS 帳戶處理
RADIUS 伺服器也會收集 NAS 所傳送的各種資訊,可用於會計和報告網路活動。 RADIUS 用戶端會在使用者登入和登出時,將資訊傳送至指定的 RADIUS 伺服器。 RADIUS 用戶端可能會在會話進行時定期傳送其他使用量資訊。 用戶端傳送至伺服器以記錄登入/登出和使用量資訊的要求通常稱為「會計要求」。
如需 RADIUS 會計的詳細資訊,請參閱 RFC 2866。
RADIUS Proxy
RADIUS 伺服器可以做為其他 RADIUS 伺服器的 Proxy 用戶端。 在這些情況下,NAS 所連絡的 RADIUS 伺服器會將驗證或會計要求傳遞給實際執行驗證或會計工作的另一部 RADIUS 伺服器。
相關主題