nps 身份驗(yàn)證方法

nps 身份驗(yàn)證方法

ID:16471688

大小:109.29 KB

頁數(shù):34頁

時(shí)間:2018-08-10

nps 身份驗(yàn)證方法_第1頁
nps 身份驗(yàn)證方法_第2頁
nps 身份驗(yàn)證方法_第3頁
nps 身份驗(yàn)證方法_第4頁
nps 身份驗(yàn)證方法_第5頁
資源描述:

《nps 身份驗(yàn)證方法》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫

1、引用:http://technet.microsoft.com/zh-cn/library/cc731694(WS.10).aspxNPS身份驗(yàn)證方法應(yīng)用到:WindowsServer2008身份驗(yàn)證方法用戶嘗試通過網(wǎng)絡(luò)訪問服務(wù)器(也稱為RADIUS客戶端)(如無線訪問點(diǎn)、802.1X身份驗(yàn)證切換、撥號服務(wù)器和虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器)連接網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)策略服務(wù)器(NPS)會首先對連接請求進(jìn)行身份驗(yàn)證和授權(quán),然后再?zèng)Q定允許或者拒絕訪問。由于身份驗(yàn)證是驗(yàn)證嘗試連接網(wǎng)絡(luò)的用戶或計(jì)算機(jī)的身份的過程,因此NPS必須以憑據(jù)形式從用戶或計(jì)算機(jī)接收身份證明。某些身份驗(yàn)證方法使用

2、基于密碼的憑據(jù)。例如,Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)要求用戶鍵入用戶名和密碼。然后由網(wǎng)絡(luò)訪問服務(wù)器將這些憑據(jù)傳遞到NPS服務(wù)器,NPS會根據(jù)用戶帳戶數(shù)據(jù)庫驗(yàn)證這些憑據(jù)。其他身份驗(yàn)證方法使用基于證書的憑據(jù)用于用戶、客戶端計(jì)算機(jī)、NPS服務(wù)器或者某些組合?;谧C書的身份驗(yàn)證方法提供了較強(qiáng)的安全性,因而優(yōu)先于基于密碼的身份驗(yàn)證方法推薦采用。當(dāng)您部署NPS時(shí),可以指定訪問網(wǎng)絡(luò)所需的身份驗(yàn)證方法的類型?;诿艽a的身份驗(yàn)證方法應(yīng)用到:WindowsServer2008基于密碼的身份驗(yàn)證方法每種身份驗(yàn)證方法在安全性、可用性和支持的廣度方面都各有優(yōu)缺點(diǎn)。但

3、基于密碼的身份驗(yàn)證方法不提供強(qiáng)大的安全性,因此不推薦使用。對于所有支持使用證書的網(wǎng)絡(luò)訪問方法,建議使用基于證書的身份驗(yàn)證方法。在無線連接的情況下尤其如此,此時(shí)建議使用PEAP-MS-CHAPv2或PEAP-TLS。所使用的身份驗(yàn)證方法由網(wǎng)絡(luò)訪問服務(wù)器、客戶端計(jì)算機(jī)和運(yùn)行網(wǎng)絡(luò)策略服務(wù)器(NPS)的服務(wù)器上的網(wǎng)絡(luò)策略的配置來確定。請查閱訪問服務(wù)器文檔以確定所支持的身份驗(yàn)證方法??梢詫PS配置為接受多種身份驗(yàn)證方法。還可以配置網(wǎng)絡(luò)訪問服務(wù)器(也稱為RADIUS客戶端)以嘗試通過首先請求使用最安全的協(xié)議,然后使用下一個(gè)最安全協(xié)議,以此類推,直至安全性最低的協(xié)議,與客戶端計(jì)

4、算機(jī)協(xié)商建立連接。例如,路由和遠(yuǎn)程訪問服務(wù)首先嘗試使用EAP,然后依次使用MS-CHAPv2、MS-CHAP、CHAP、SPAP、PAP來嘗試協(xié)商建立連接。選擇EAP作為身份驗(yàn)證方法時(shí),在訪問客戶端和NPS服務(wù)器之間出現(xiàn)EAP類型的協(xié)商。MS-CHAP版本2Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MS-CHAPv2)為網(wǎng)絡(luò)訪問連接提供了比其前身MS-CHAP更強(qiáng)的安全性。MS-CHAPv2解決了MS-CHAP版本1中的某些問題,如下表中所述。?MS-CHAP版本1問題MS-CHAP版本2解決方案用于與舊版Microsoft遠(yuǎn)程訪問客戶端的向后兼容性的LAN管理

5、器響應(yīng)編碼是弱加密的。MS-CHAPv2不再允許LAN管理器編碼響應(yīng)。密碼更改的LAN管理器編碼是弱加密的。MS-CHAPv2不再允許LAN管理器編碼密碼更改。只能使用單向身份驗(yàn)證。遠(yuǎn)程訪問客戶端無法驗(yàn)證是撥入其組織的遠(yuǎn)程訪問服務(wù)器還是一個(gè)偽裝的遠(yuǎn)程訪問服務(wù)器。MS-CHAPv2提供雙向身份驗(yàn)證,也稱為相互身份驗(yàn)證。遠(yuǎn)程訪問客戶端收到其撥入的遠(yuǎn)程訪問服務(wù)器有權(quán)訪問用戶密碼的驗(yàn)證。加密密鑰基于用戶密碼,使用40位加密。每次用戶使用相同的密碼連接時(shí),將生成相同的加密密鑰。使用MS-CHAPv2,加密密鑰始終基于用戶的密碼和一種任意的質(zhì)詢字符串。每次用戶使用相同的密碼連接

6、時(shí),將使用不同的加密密鑰。在連接中使用單一加密密鑰雙向發(fā)送數(shù)據(jù)。使用MS-CHAPv2,為傳輸和收到的數(shù)據(jù)生成單獨(dú)的加密密鑰。MS-CHAPv2是一種單向加密密碼,相互身份驗(yàn)證過程的工作方式如下:1.身份驗(yàn)證器(網(wǎng)絡(luò)訪問服務(wù)器或NPS服務(wù)器)向訪問客戶端發(fā)送質(zhì)詢,其中包含會話標(biāo)識符和任意質(zhì)詢字符串。2.訪問客戶端發(fā)送包含下列信息的響應(yīng):·用戶名?!と我鈱Φ荣|(zhì)詢字符串?!そ邮盏馁|(zhì)詢字符串、對等質(zhì)詢字符串、會話標(biāo)識符和用戶密碼的單向加密。3.身份驗(yàn)證器檢查來自客戶端的響應(yīng)并發(fā)送回包含下列信息的響應(yīng):·指示連接嘗試是成功還是失敗?!そ?jīng)過身份驗(yàn)證的響應(yīng),基于發(fā)送的質(zhì)詢字符串

7、、對等質(zhì)詢字符串、加密的客戶端響應(yīng)和用戶密碼。4.訪問客戶端驗(yàn)證身份驗(yàn)證響應(yīng),如果正確,則使用該連接。如果身份驗(yàn)證響應(yīng)不正確,訪問客戶端將終止該連接。啟用MS-CHAPv2若要啟用基于MS-CHAP?v2的身份驗(yàn)證,必須執(zhí)行下列操作:1.啟用MS-CHAP?v2作為網(wǎng)絡(luò)訪問服務(wù)器上的身份驗(yàn)證協(xié)議。1.在相應(yīng)的網(wǎng)絡(luò)策略上啟用MS-CHAP?v2。2.在訪問客戶端上啟用MS-CHAP?v2。其他注意事項(xiàng)·MS-CHAP(版本1和版本2)是唯一的基于密碼的身份驗(yàn)證協(xié)議,它支持在身份驗(yàn)證過程中更改密碼?!ぴ贜PS服務(wù)器的網(wǎng)絡(luò)策略上啟用MS-CHAP?v2之前,確保您的網(wǎng)

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會顯示錯(cuò)亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。