Windows NPS(Network Policy Server)是Microsoft Windows Server中的一個角色,用於提供網絡訪問控制和身份驗證服務。
在AAA架構中,NPS屬於RADIUS Server,而現在主流的驗證方法PEAP-MSCHAPv2中Server必須提供憑證,否則Client會拒絕繼續驗證。
首先,我們要知道會送認證訊息來的設備是什麼?在RADIUS架構中,這樣的設備稱為Network Access Server(NAS)。
網路設備像是無線控制器或是網路交換器等。
在NPS中,要將這些加入至RADIUS用戶端,並且輸入對應的PSK。
何為的良好配置?
一個良好的配置,並不只是一個能運作的配置,而是要兼具「易讀」、「易懂」、「唯一命中」的名稱與條件設定。
易讀是名稱能呈現特徵,不需使用者點入,盡可能簡化名稱但不丟失可讀性。「-」用於附屬前面的,「_」則是表示空白,前後詞無關。
易懂則是前後相關性以及關鍵用途,如果為一個用途,量身打造一套條件與配置,像是一條鏈子,使用者很容易瞭解前後相關關係。特別把關鍵用途標出,如果關鍵用途不同,代表後續的處理與配置是完全不同。
唯一命中則是透過範圍限縮與條件,透過將連入設備(訊息)特徵列出來,像是IP或是更細微的SSID。
NPS配置
良好配置三點之中,易讀、易懂是需要反覆思考練習命名美感,而唯一命中則是要先瞭解送入訊息有哪些可用,這邊都建議使用「唯一特徵」。
像是802.1X認證,在有線或是無線都可以用,假設有線跟無線是給不同樣的設備(Clients)時,就可以切成兩個網路原則。
或是無線只給無線網路使用者驗證,有線給管理者登入驗證,也可以切成兩個網路原則。
或是無線SSID有分為員工或是訪客用途,也可以依照SSID去切成兩個網路原則。
使用EAP需要將NPS上憑證
驗證方法是很重要的,如果有設定PEAP,就需要上憑證。
一般來說,網頁認證預設用PAP,在這邊未加密驗證(PAP、SPAP)就需要勾選,或者是不使用PAP去向NPS認證。
良好配置範例
- 網路交換器管理員登入
- 無線使用者存取驗證,訪客。
- 無線使用者存取驗證,員工。
首先要先定義網路原則的命中條件
| 項目 | NAS IP | 驗證方法 | SSID | 使用者群組 | 配置 |
| 網路交換器管理員登入 | 各網路交換器 | MSCHAPv2 | [無] | IT | 存取 |
| 無線使用者存取驗證,訪客 | 無線控制器 | PEAP-MSCHAPv2 | Guset | Guest | 存取 |
| 無線使用者存取驗證,員工 | 無線控制器 | PEAP-MSCHAPv2 | Employee | Empoyee | 存取 |
這裡有三項認證行為,為了能區分出彼此,我們需要列出條件組,條件組需要不跟其他項目重覆到,也就是每個項目的條件組都需要是「唯一」的。
網路交換器管理員登入的NAS IP有很多種來源,如果每個來源都設一條,會需要新增很多條。只要配置是相同的,就可以利用對比語法,去將多個NAS IP寫成一項。
假設無線控制器有172.16.3.42、172.16.3.44,NAS IPv4可以輸入「172.16.3.42|172.16.3.44」去同時命中由172.16.3.42、172.16.3.44發起的認證。
