一个用户想要通过成功连入内网,如果没有设置NPS,我们主要是看用户是否有拨入属性。如果设置了NPS,先得满足请求策略的条件,其次应该满足网络策略的条件与约束,最后用户还得有拨入的权限。
网络策略的相关概念
NPS使用网络策略和用户拔入权限来授权VPN服务器是否接受连接
网络策略是一组定义允许或拒绝连接的有序规则(可以有多条策略组成)
网络策略由概述、条件、约束、设置属性组成
设置属性一般不做更改。
1、概述属性
策略状态(策略的启用与禁用,禁用等效于策略删除)
访问权限(授予访问权限和拒绝访问)
是否忽略用户的拨入属性
2、条件
“日期和时间”表示每周允许用户连接的日期和时间
“用户组”表示用户所属的组
3、约束
“身份验证方法”表示客户机与服务器必须使用相同的身份验证才能连接成功
4、网络策略的设置属性一般不做关注。
应用规则
A、流程图的基本描述
(一)当一个用户试图拨入时,先看是否有连接请求策略,如果没有,直接拒绝;如果有,看连接请求策略是否满足条件
a、如果条件不满足,则看下一条连接请求策略(按排列的先后顺序),如所有(连接请求)策略条件都不满足,则拒绝连接。
b、如果满足条件,则需看是否有网络策略,
(二)如果没有网络策略,直接拒绝连接;如果有网络策略,则先看是否满足网络策略的条件属性:
a、如果不满足,则看下一条网络策略(按排列的先后顺序),如所有网络策略的条件都不满足,则拒绝连接;
b、如果满足网络策略的条件,则接着看是否满足约束(身份验证方式是否相同);
c、如果不满足约束,则拒绝连接(注意:这时它不会再看下一条网络策略);
(三)如果网络策略的约束、条件都符合了,还要看概述属性里是否选择了“忽略用户的拨入属性”
(1)如果选择了“忽略用户的拨入属性”(前面的勾打上),再看概述属性的里访问权限
a、如果选择了“授予访问权限”,则接受连接。(注意:这时即使用户的拨入属性是“拒绝拨入”,也是接受连接的);
b、如果选择了“拒绝权限”,则不管用户的拨入属性是什么,都是拒绝连接的。
(2)如果没有选择“忽略用户的拨入属性”则要关注用户的拨入属性
a、如果拨入属性是“拒绝访问”,则拒绝连接;
b、如果是“允许访问”,则允许连接;
c、如果拨入属性是“通过nps网络策略控制访问”则看概述属性的访问权限----如果选择了“授予访问权限”,则接受连接;如果选择了“拒绝权限”,则拒绝连接。
B、流程图的详细描述
NPS服务器认证过程大致如下:
1、NPS收到认证的连接请求信息,首先检查连接请求策略,如果没有连接请求策略则连接被拒绝。如果有网络请求策略则检查连接请求与连接请求策略条件是否匹配(满足)。
(1)如果不匹配则继续查看下一条连接请求策略,如果连接请求与所有连接请求策略条件都无法匹配则连接请求再次匹配下一条连接请求策略时,会发现没有连接请求策略了,连接会被拒绝;
(2)如果连接请求匹配连接请求策略,则会到相应的RADIUS服务器上进行认证授权;如果选择本地服务器进行身份认证则会查看本地NPS的网络策略;
2、如果连接请求匹配连接请求策略,则查看是否存在网络策略,如果没有网络策略则拒绝连接。如果存在网络策略则需要分别查看连接请求是否满足网络策略的条件和约束。
(1)网络策略的条件,如果连接请求不满足网络策略的条件,则会处理下一条网络策略,如果没有下一条则拒绝连接;如果连接请求满足网络策略的条件,就需要查看连接请求是否满足网络策略的约束;
(2)网络策略的约束,如果请求连接不满足网络策略的约束就会拒绝连接,而不去查找下一条网络策略;如果连接请求满足网络策略的条件,就需要查看网络策略中定义的访问权限;
3、如果连接请求满足连接请求策略,也满足网络策略的条件和约束,那么其是否允许连接需要查看网络策略的权限访问设置;
(1)如果网络策略的访问权限配置为忽略用户账户的拨入属性,则用户是否拥有连接权限完全依赖于网络策略中访问权限的设置;如果网络策略中访问权限为“授予访问权限”则应用网络策略的设置属性并接受连接;如果网络策略中访问权限为“拒绝访问”则连接会被拒绝;
(2)如果网络策略的访问权限配置为不忽略用户账户的拨入属性,则用户是否拥有连接权限完全依赖于用户账
号属性中拨入选项卡中“网络访问权限”的设置;如果账户属性“网络访问权限”设置为允许访问则应用网络策略的设置属性并接受连接;如果账户属性“网络访问权限”设置为拒绝访问则连接会被拒绝;如果账户属性“网络访问权限”设置为通过NPS网络策略控制访问则用户是否拥有访问权限需要根据网络策略访问权限的设置来决定,如果允许则接受连接,如果拒绝则拒绝连接;
连接请求策略是决定客户端拔入的身份验证和授权在哪台服务器执行。
如果NPS配置为RADIUS服务器,并由本地NPS服务器处理所有连接请求时。可以使用默认的连接请求策略,NPS服务器可以对拔入用户进行身份验证和授权。
如果NPS配置为RADIUS代理时,NPS并不处理本地服务器上的任何连接请求。而是将连接请求转发到远程RADIUS服务器组成员的其他RADIUS服务器,可以删除默认连接请求策略,再根据需求创建连接请求策略。当然默认的连接请求策略与管理员新建的连接请求策略可以同时存在。根据策略的条件而决定在哪台服务器上执行身份验证与授权。
下载本文