收藏
下载资源

NPS 身份验证方法.docx

上传人:博****1 文档编号:543627067 上传时间:2023-10-28 格式:DOCX 页数:34 大小:109.30KB
返回 下载 相关 举报
NPS 身份验证方法.docx_第1页
第1页 / 共34页
NPS 身份验证方法.docx_第2页
第2页 / 共34页
NPS 身份验证方法.docx_第3页
第3页 / 共34页
NPS 身份验证方法.docx_第4页
第4页 / 共34页
NPS 身份验证方法.docx_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《NPS 身份验证方法.docx》由会员分享,可在线阅读,更多相关《NPS 身份验证方法.docx(34页珍藏版)》请在金锄头文库上搜索。

1、引用:http:/ 身份验证方法应用到: Windows Server 2008身份验证方法用户尝试通过网络访问服务器(也称为 RADIUS 客户端)(如无线访问点、802.1X 身份验证切换、拨号服务器和虚拟专用网络 (VPN) 服务器)连接网络时,网络策略服务器 (NPS) 会首先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问。由于身份验证是验证尝试连接网络的用户或计算机的身份的过程,因此 NPS 必须以凭据形式从用户或计算机接收身份证明。某些身份验证方法使用基于密码的凭据。例如,Microsoft 质询握手身份验证协议 (MS-CHAP) 要求用户键入用户名和密码。然后由网络访

2、问服务器将这些凭据传递到 NPS 服务器,NPS 会根据用户帐户数据库验证这些凭据。其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS 服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性,因而优先于基于密码的身份验证方法推荐采用。当您部署 NPS 时,可以指定访问网络所需的身份验证方法的类型。基于密码的身份验证方法应用到: Windows Server 2008基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。对于所有支持使用证书的网络访问方法,建议使用基于证书的身份验证方法。

3、在无线连接的情况下尤其如此,此时建议使用 PEAP-MS-CHAP v2 或 PEAP-TLS。所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 (NPS) 的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。可以将 NPS 配置为接受多种身份验证方法。还可以配置网络访问服务器(也称为 RADIUS 客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。例如,路由和远程访问服务首先尝试使用 EAP,然后依次使用 MS-CHAP v2、MS-CHAP、CHAP、SPAP

4、、PAP 来尝试协商建立连接。选择 EAP 作为身份验证方法时,在访问客户端和 NPS 服务器之间出现 EAP 类型的协商。MS-CHAP 版本 2Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全性。MS-CHAP v2 解决了 MS-CHAP 版本 1 中的某些问题,如下表中所述。MS-CHAP 版本 1 问题 MS-CHAP 版本 2 解决方案 用于与旧版 Microsoft 远程访问客户端的向后兼容性的 LAN 管理器响应编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码响应。密码更改的

5、LAN 管理器编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码密码更改。只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。MS-CHAP v2 提供双向身份验证,也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。加密密钥基于用户密码,使用 40 位加密。每次用户使用相同的密码连接时,将生成相同的加密密钥。使用 MS-CHAP v2,加密密钥始终基于用户的密码和一种任意的质询字符串。每次用户使用相同的密码连接时,将使用不同的加密密钥。在连接中使用单一加密密钥双向发送数据。使用 MS-CHAP

6、v2,为传输和收到的数据生成单独的加密密钥。MS-CHAP v2 是一种单向加密密码,相互身份验证过程的工作方式如下:1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。2. 访问客户端发送包含下列信息的响应: 用户名。 任意对等质询字符串。 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。3. 身份验证器检查来自客户端的响应并发送回包含下列信息的响应: 指示连接尝试是成功还是失败。 经过身份验证的响应,基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。4. 访问客户端验证身份验证响应,如果正确,则使用

7、该连接。如果身份验证响应不正确,访问客户端将终止该连接。启用 MS-CHAP v2若要启用基于 MS-CHAPv2 的身份验证,必须执行下列操作:1. 启用 MS-CHAPv2 作为网络访问服务器上的身份验证协议。2. 在相应的网络策略上启用 MS-CHAPv2。3. 在访问客户端上启用 MS-CHAPv2。其他注意事项 MS-CHAP(版本 1 和版本 2)是唯一的基于密码的身份验证协议,它支持在身份验证过程中更改密码。 在 NPS 服务器的网络策略上启用 MS-CHAPv2 之前,确保您的网络访问服务器支持 MS-CHAPv2。有关详细信息,请参阅 NAS 文档。MS-CHAPMicros

8、oft 质询握手身份验证协议 (MS-CHAP),也称为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议。质询握手过程的工作方式如下:1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。2. 访问客户端发送一个响应,该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。3. 身份验证器检查响应,如果有效,则用户的凭据通过身份验证。如果使用 MS-CHAP 作为身份验证协议,则可以使用 Microsoft 点对点加密 (MPPE) 对 PPP 或 PPTP 连接上发送的数据进行加密。MS-CHAP 版本 2 为网络访问

9、连接提供了比 MS-CHAP 更高的安全性。应考虑使用 MS-CHAP 版本 2 而非 MS-CHAP。启用 MS-CHAP若要启用基于 MS-CHAP 的身份验证,必须执行下列操作:1. 启用 MS-CHAP 作为远程访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 MS-CHAP。3. 在访问客户端上启用 MS-CHAP。其他注意事项 默认情况下,MS-CHAP v1 的此实现不支持 LAN 管理器身份验证。如果希望允许对旧版操作系统(如 Windows NT 3.5x 和 Windows 95)使用带 MS-CHAP v1 的 LAN 管理器身份验证,必须在 NPS

10、服务器上将以下注册表值设置为 1:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllowLMAuthentication 如果 MS-CHAP v1 用作身份验证协议,当用户的密码大于 14 个字符时,将无法建立 40 位加密的连接。此行为会影响拨号和基于 VPN 的远程访问以及请求拨号连接。注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机中任何有价值的数据。 CHAP质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证协议,该协议使用行业标准的 Message Dig

11、est5 (MD5) 哈希方案来对响应加密。CHAP 可供各种网络访问服务器和客户端的供应商使用。运行“路由和远程访问”的服务器支持 CHAP,以便对要求使用 CHAP 的访问客户端进行身份验证。由于 CHAP 要求使用可撤消的加密密码,所以,应考虑使用其他身份验证协议(例如 MS-CHAP 版本2)。若要启用基于 CHAP 的身份验证,必须执行下列操作:1. 启用 CHAP 作为网络访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 CHAP。3. 启用可撤消加密的用户密码存储。可以按用户帐户启用其存储,也可以为域中的全部帐户启用存储。4. 强制重置用户密码,以使新密码采用

12、可撤消形式加密。启用以可撤消的加密形式存储密码时,当前密码未采用可撤消的加密形式,并且未自动更改。必须手动更改用户密码,或将用户密码设置为在每个用户下次登录时更改。如果将用户密码设置为在用户下次登录时更改,该用户必须使用 LAN 连接进行登录,并在用户尝试使用远程访问连接登录之前,使用 CHAP 更改密码。在身份验证过程中,不能使用 CHAP 更改密码;否则,登录尝试将失败。远程访问用户的一种解决方法是暂时使用 MS-CHAP 登录来更改密码。5. 在访问客户端上启用 CHAP。其他注意事项 用户密码过期时,CHAP 不为其提供在身份验证过程中更改密码的功能。 验证网络访问服务器支持 CHAP

13、,然后再在运行 NPS 的服务器上的网络策略中启用它。有关详细信息,请参阅 NAS 文档。 不能对 CHAP 使用 Microsoft 点对点加密 (MPPE)。PAP密码身份验证协议 (PAP) 使用纯文本密码,是最不安全的身份验证协议。如果访问客户端和网络访问服务器无法协商使用更安全的身份验证方法,通常协商使用此方法。若要启用基于 PAP 的身份验证,必须执行下列操作:1. 启用 PAP 作为网络访问服务器上的身份验证协议。2. 在 NPS 中的相应网络策略上启用 PAP。3. 在访问客户端上启用 PAP。重要事项 启用 PAP 作为身份验证协议时,将以纯文本形式发送用户密码。任何捕获到身

14、份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的 Intranet 进行未经授权的访问。建议不要使用 PAP,特别是对于 VPN 连接。 其他注意事项 如果部署了拨号服务器,通过在网络访问服务器上禁用 PAP 支持,可确保从不通过拨号客户端发送纯文本密码。禁用对 PAP 的支持可以提高身份验证的安全性,但是只支持 PAP 的远程访问客户端将无法连接。 用户的密码过期时,PAP 不为其提供在身份验证过程中更改密码的功能。 在 NPS 服务器的网络策略上启用 PAP 之前,确保您的网络访问服务器支持 PAP。有关详细信息,请参阅 NAS 文档。 不能对 PAP 使用 Microso

15、ft 点对点加密 (MPPE)。未经身份验证的访问使用未经身份验证的访问,不需要用户凭据(用户名和密码)。虽然在某些情况下,未经身份验证的访问很有用,但在大多数情况下不推荐在组织网络中使用。启用未经身份验证的访问时,将允许用户访问网络,而无需发送用户凭据。此外,未经身份验证的访问客户端在建立连接过程中不协商使用公用身份验证协议,也不将用户名或密码发送到 NPS。必须使用未经身份验证的访问时,可以使用以下解决方案之一: DNIS 授权 ANI/CLI 身份验证 来宾身份验证DNIS 授权被叫号码识别服务 (DNIS) 使您能够对由 NPS 尝试的连接(基于客户端计算机呼叫的号码)进行授权,以初始化该连接。DNIS 识别被呼叫到呼叫接收方的号码,由大多数电话公司提供。例如,可以允许通过指定的免费号码连接的全部连接。若要识别基于 DNIS 的连接并应用适当的连接设置,必须执行以下操作:1. 在网络访问服务器上启用未经身份验证的访问。2. 将 Called-Station-Id 条件设置为客户端计算机必须呼叫才能启动连接的电话号码后,在 NPS 服务器上为基于 DNIS

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号