Kada korisnici pokušaju da se konektuju u vašu mrežu kroz Network Access servere koji se takođe nazivaju i RADIUS klijenti - kao što su Wireless Access Points, 802.1x autentifikacioni switc-evi, Dial-up serveri i VPN serveri, NPS autentifikuje i autorizuje zahteve za konekcijama pre dozvoljavanje ili zabranjivanja pristupa.

Iz razloga što autentifikacija predstavlja proces provere identiteta korisnika ili kompjutera koji pokušava da se konektuje na mrežu, NPS mora da primi dokaz o identitetu od korisnika ili kompjutera u formi Credentials (podaci o identitetu).

Password-based autentifikacioni metodi

Svaki autentifikacioni metod poseduje određene prednosti i mane koje se odnose na sigurnost, iskorišćenost, obim podrške. Ipak, password-based autentifikacioni metodi ne nude jaku sigurnost i Microsoft ne preporučuje njihovo korišćenje. Preporučuje se korišćenje Certificate-based autentifikacionog metoda za sve metode mrežnog pristupa koji podržavaju korišćenje digitalnih sertifikata. Ovo se posebno odnosi na wireless konekcije, za koje Microsoft preporučuje korišćenje PEAP-MS-CHAPv2 ili PEAP-TLS.

Autentifikacioni metodi: Autentifikacija udaljenih klijenata veoma je važna za sigurnost. Autentifikacioni metodi tipično koriste autentifikacioni protokol koji pregovara u toku procesa uspostavljanja konekcije. Windows Server 2003 familija podržava sledeće autentifikacione metode:

Autentifikacioni metod

Opis

Challenge Handshake Authentication Protocol (CHAP)
  • Različiti proizvođači Network Access servera i klijenata koriste CHAP
  • Routing and Remote Access Servis podržava CHAP

Password Autentication Protocol (PAP)
  • Koristi lozinke u čistom tekstu i najmanje je sofisticiran autentifikacioni protokol

Shiva Password Authentication Protocol (SPAP)
  • Najprostiji autentifikacioni protokol koji šifruje lozinke.
  • Shiva Remote Access serveri podržavaju SPAP

Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)
  • Microsoft Windows 95 klijenti koriste MS-CHAP
  • Podržavaju ga samo Microsoft klijenti

Microsoft Challenge Handshake Authentication Protocol Version 2            (MS-CHAP v2)
  • Odrađuje obostranu (mutual) autentifikaciju
  • Microsoft Windows 2000 i noviji sistemi instaliraju MS-CHAPv2 po defoltu kao Remote Access autentifikacioni protokol

Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
  • Odrađuje obostranu (mutual) autentifikaciju
  • Zahteva Smart Card Certificate infrastrukturu
  • Nudi najviši nivo autentifikacione sigurnosti

Protected Extensible Authentication Protocol (PEAP)
  • Koristi se na 802.1x mrežama da bi se zaštitile žične i bežične mreže
  • Pristup se dozvoljava na osnovu identiteta korisnika
  • Povećava sigurnost Wireless network encryption

MD-5 Challenge
  • Dozvoljava EAP autorizacije koristeći standardne name-password kombinacije


 Tabela 30.01


EAP autentifikacija: Extensible Authentication Protocol EAP nudi okvir koji dozvoljava prilagođavanje autentifikacije na Remote Access serverima. Da bi se utvrdio specifični autentifikacioni metod pregovori se odrađuju između Remote Access klijenta i Remote Access servera. Oba, i Remote Access klijent i onaj ko treba da autentifikuje klijenta, moraju da imaju instaliran isti EAP autentifikacioni modul.

Nezavisni proizvođači mogu da koriste EAP API (Application Programing Interface) da bi kreirali nove EAP tipove koji uključuju tehnologije kao što su Token Cards ili Biometrics.

Korišćenje sertfikata za autentifikaciju

Sertifikati su digitalni dokumenti koje Certification Authorities (CAs) izdaje, kao što je Active Directory Certificate Services (AD CS) na Verisign javnom CA. Možemo da koristimo sertifikate u mnoge svrhe, kao što je potpisivanje koda (Code signing) i zaštita E-mail komunikacije. Ipak, sa NPS-om, administratori koriste sertifikate za Network Access autentifikaciju iz razloga što sertifikati nude sigurnost za autentifikovane korisnike i kompjutere, i eliminišu potrebu za manje sigurnim, password-based autentifikacionim metodima.

Tipovi sertifikata:

  • CA certificate: Verifikuje stazu poverenja (trust path) drugih sertifikata.
  • Client Computer Certificate: Dodeljuje se kompjuteru koji treba da dokaže svoj identitet NPS-u u toku autentifikacije.
  • Server Certificate: Dodeljuje se NPS serveru da bi dokazao svoj identitet klijentkim kompjuterima u toku autentifikacije.
  • User Certificate: Dodeljuje se individuama da bi dokazali svoj identitet NPS serverima zbog autentifikacije.



Sertifikati mogu da se dobiju od javnog CA provajdera ili možemo da hostujemo naš Active Directory Certificate servis.

Da bi odredili Certificate-based autentifikaciju u mrežnoj polisi (Network Policy), potrebno je konfigurišemo autentifikacione metode na Constraints kartici.

 

Zahtevani sertifikati za NPS autentifikacione metode

Sledeća tabela prikazuje sertifikate koji su potrebni da bi uspešno izgradili svaki izlistani Certificate-based autentifikacioni metod:

Sertifikat

Zahtevan za EAP-TLS i PEAP-TLS?

Zahtevan za PEAP-MS-CHAPv2?

CA certificate u Trusted Root Certification Authorities certificate store-u za lokalni kompjuter ili trenutnog korisnika

da

da

Client Computer Certificate u certificate Store-u klijenta

da

ne

Server Certificate u Certificate Store-u na NPS serveru

da

da

User Certificate na smart kartici

ne

ne


Tabela 30.02 

Izgradnja sertifikata za PEAP i EAP

Svi sertifikati koje koristimo za autentifikaciju prilikom pokušaja mrežnog pristupa sa EAP-TLS i PEAP mora da ispunjavaju zahteve za X-509 sertifikate i da rade za konekciju koja koristi Secure Socket Layer-Transport Level Security (SSL-TLS). Nakon što smo ispunili ove minimalne zahteve, oba i klijentski i serverski sertifikati imaju dodatne zahteve.

Dodatna literatura:

 

  • Help Topic: Certificates and NPS
  • Help Topic: EAP i NPS
  • Help Topic: PEAP i NPS
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • NPS autentifikacioni metodi 1
  • NPS autentifikacioni metodi 2
  • NPS autentifikacioni metodi 3