資源描述:
《nps 身份驗(yàn)證方法》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、引用:http://technet.microsoft.com/zh-cn/library/cc731694(WS.10).aspxNPS身份驗(yàn)證方法應(yīng)用到:WindowsServer2008身份驗(yàn)證方法用戶嘗試通過網(wǎng)絡(luò)訪問服務(wù)器(也稱為RADIUS客戶端)(如無線訪問點(diǎn)、802.1X身份驗(yàn)證切換、撥號服務(wù)器和虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器)連接網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)策略服務(wù)器(NPS)會首先對連接請求進(jìn)行身份驗(yàn)證和授權(quán),然后再?zèng)Q定允許或者拒絕訪問。由于身份驗(yàn)證是驗(yàn)證嘗試連接網(wǎng)絡(luò)的用戶或計(jì)算機(jī)的身份的過程,因此NPS必須以憑據(jù)形式從用戶或計(jì)算機(jī)接收身份證明。某些身份驗(yàn)證方法使用
2、基于密碼的憑據(jù)。例如,Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)要求用戶鍵入用戶名和密碼。然后由網(wǎng)絡(luò)訪問服務(wù)器將這些憑據(jù)傳遞到NPS服務(wù)器,NPS會根據(jù)用戶帳戶數(shù)據(jù)庫驗(yàn)證這些憑據(jù)。其他身份驗(yàn)證方法使用基于證書的憑據(jù)用于用戶、客戶端計(jì)算機(jī)、NPS服務(wù)器或者某些組合?;谧C書的身份驗(yàn)證方法提供了較強(qiáng)的安全性,因而優(yōu)先于基于密碼的身份驗(yàn)證方法推薦采用。當(dāng)您部署NPS時(shí),可以指定訪問網(wǎng)絡(luò)所需的身份驗(yàn)證方法的類型?;诿艽a的身份驗(yàn)證方法應(yīng)用到:WindowsServer2008基于密碼的身份驗(yàn)證方法每種身份驗(yàn)證方法在安全性、可用性和支持的廣度方面都各有優(yōu)缺點(diǎn)。但
3、基于密碼的身份驗(yàn)證方法不提供強(qiáng)大的安全性,因此不推薦使用。對于所有支持使用證書的網(wǎng)絡(luò)訪問方法,建議使用基于證書的身份驗(yàn)證方法。在無線連接的情況下尤其如此,此時(shí)建議使用PEAP-MS-CHAPv2或PEAP-TLS。所使用的身份驗(yàn)證方法由網(wǎng)絡(luò)訪問服務(wù)器、客戶端計(jì)算機(jī)和運(yùn)行網(wǎng)絡(luò)策略服務(wù)器(NPS)的服務(wù)器上的網(wǎng)絡(luò)策略的配置來確定。請查閱訪問服務(wù)器文檔以確定所支持的身份驗(yàn)證方法??梢詫PS配置為接受多種身份驗(yàn)證方法。還可以配置網(wǎng)絡(luò)訪問服務(wù)器(也稱為RADIUS客戶端)以嘗試通過首先請求使用最安全的協(xié)議,然后使用下一個(gè)最安全協(xié)議,以此類推,直至安全性最低的協(xié)議,與客戶端計(jì)
4、算機(jī)協(xié)商建立連接。例如,路由和遠(yuǎn)程訪問服務(wù)首先嘗試使用EAP,然后依次使用MS-CHAPv2、MS-CHAP、CHAP、SPAP、PAP來嘗試協(xié)商建立連接。選擇EAP作為身份驗(yàn)證方法時(shí),在訪問客戶端和NPS服務(wù)器之間出現(xiàn)EAP類型的協(xié)商。MS-CHAP版本2Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MS-CHAPv2)為網(wǎng)絡(luò)訪問連接提供了比其前身MS-CHAP更強(qiáng)的安全性。MS-CHAPv2解決了MS-CHAP版本1中的某些問題,如下表中所述。?MS-CHAP版本1問題MS-CHAP版本2解決方案用于與舊版Microsoft遠(yuǎn)程訪問客戶端的向后兼容性的LAN管理
5、器響應(yīng)編碼是弱加密的。MS-CHAPv2不再允許LAN管理器編碼響應(yīng)。密碼更改的LAN管理器編碼是弱加密的。MS-CHAPv2不再允許LAN管理器編碼密碼更改。只能使用單向身份驗(yàn)證。遠(yuǎn)程訪問客戶端無法驗(yàn)證是撥入其組織的遠(yuǎn)程訪問服務(wù)器還是一個(gè)偽裝的遠(yuǎn)程訪問服務(wù)器。MS-CHAPv2提供雙向身份驗(yàn)證,也稱為相互身份驗(yàn)證。遠(yuǎn)程訪問客戶端收到其撥入的遠(yuǎn)程訪問服務(wù)器有權(quán)訪問用戶密碼的驗(yàn)證。加密密鑰基于用戶密碼,使用40位加密。每次用戶使用相同的密碼連接時(shí),將生成相同的加密密鑰。使用MS-CHAPv2,加密密鑰始終基于用戶的密碼和一種任意的質(zhì)詢字符串。每次用戶使用相同的密碼連接
6、時(shí),將使用不同的加密密鑰。在連接中使用單一加密密鑰雙向發(fā)送數(shù)據(jù)。使用MS-CHAPv2,為傳輸和收到的數(shù)據(jù)生成單獨(dú)的加密密鑰。MS-CHAPv2是一種單向加密密碼,相互身份驗(yàn)證過程的工作方式如下:1.身份驗(yàn)證器(網(wǎng)絡(luò)訪問服務(wù)器或NPS服務(wù)器)向訪問客戶端發(fā)送質(zhì)詢,其中包含會話標(biāo)識符和任意質(zhì)詢字符串。2.訪問客戶端發(fā)送包含下列信息的響應(yīng):·用戶名?!と我鈱Φ荣|(zhì)詢字符串?!そ邮盏馁|(zhì)詢字符串、對等質(zhì)詢字符串、會話標(biāo)識符和用戶密碼的單向加密。3.身份驗(yàn)證器檢查來自客戶端的響應(yīng)并發(fā)送回包含下列信息的響應(yīng):·指示連接嘗試是成功還是失敗?!そ?jīng)過身份驗(yàn)證的響應(yīng),基于發(fā)送的質(zhì)詢字符串
7、、對等質(zhì)詢字符串、加密的客戶端響應(yīng)和用戶密碼。4.訪問客戶端驗(yàn)證身份驗(yàn)證響應(yīng),如果正確,則使用該連接。如果身份驗(yàn)證響應(yīng)不正確,訪問客戶端將終止該連接。啟用MS-CHAPv2若要啟用基于MS-CHAP?v2的身份驗(yàn)證,必須執(zhí)行下列操作:1.啟用MS-CHAP?v2作為網(wǎng)絡(luò)訪問服務(wù)器上的身份驗(yàn)證協(xié)議。1.在相應(yīng)的網(wǎng)絡(luò)策略上啟用MS-CHAP?v2。2.在訪問客戶端上啟用MS-CHAP?v2。其他注意事項(xiàng)·MS-CHAP(版本1和版本2)是唯一的基于密碼的身份驗(yàn)證協(xié)議,它支持在身份驗(yàn)證過程中更改密碼?!ぴ贜PS服務(wù)器的網(wǎng)絡(luò)策略上啟用MS-CHAP?v2之前,確保您的網(wǎng)