NPS身份验证方法.docx

引用:.//731694().aspxNPS身份验证方法应用到:WindowsServer2008身份验证方法用户尝试通过网络访问服务器(也称为RADIUS客户端)(如无线访问点、、拨号服务器和虚拟专用网络(VPN)服务器)连接网络时,网络策略服务器(NPS)会首先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问。由于身份验证是验证尝试连接网络的用户或计算机的身份的过程,因此NPS必须以凭据形式从用户或计算机接收身份证明。某些身份验证方法使用基于密码的凭据。例如,Microsoft质询握手身份验证协议(MS-CHAP)要求用户键入用户名和密码。然后由网络访问服务器将这些凭据传递到NPS服务器,NPS会根据用户帐户数据库验证这些凭据。其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性,因而优先于基于密码的身份验证方法推荐采用。当您部署NPS时,可以指定访问网络所需的身份验证方法的类型。基于密码的身份验证方法应用到:WindowsServer2008基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。对于所有支持使用证书的网络访问方法,建议使用基于证书的身份验证方法。在无线连接的情况下尤其如此,此时建议使用PEAP-MS-CHAPv2或PEAP-TLS。所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器(NPS)的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。可以将NPS配置为接受多种身份验证方法。还可以配置网络访问服务器(也称为RADIUS客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。例如,路由和远程访问服务首先尝试使用EAP,然后依次使用MS-CHAPv2、MS-CHAP、CHAP、SPAP、PAP来尝试协商建立连接。选择EAP作为身份验证方法时,在访问客户端和NPS服务器之间出现EAP类型的协商。MS-CHAP版本2Microsoft质询握手身份验证协议版本2(MS-CHAPv2)为网络访问连接提供了比其前身MS-CHAP更强的安全性。MS-CHAPv2解决了MS-CHAP版本1中的某些问题,如下表中所述。 MS-CHAP版本1问题MS-CHAP版本2解决方案用于与旧版Microsoft远程访问客户端的向后兼容性的LAN管理器响应编码是弱加密的。MS-CHAPv2不再允许LAN管理器编码响应。密码更改的LAN管理器编码是弱加密的。MS-CHAPv2不再允许LAN管理器编码密码更改。只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。MS-CHAPv2提供双向身份验证,也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。加密密钥基于用户密码,使用40位加密。每次用户使用相同的密码连接时,将生成相同的加密密钥。使用MS-CHAPv2,加密密钥始终基于用户的密码和一种任意的质询字符串。每次用户使用相同的密码连接时,将使用不同的加密密钥。在连接中使用单一加密密钥双向发送数据。使用MS-CHAPv2,为传输和收到的数据生成单独的加密密钥。MS-CHAPv2是一种单向加密密码,相互身份验证过程的工作方式如下:身份验证器(网络访问服务器或NPS服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字符串。访问客户端发送包含下列信息的响应:用户名。任意对等质询字符串。接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。身份验证器检查来自客户端的响应并发送回包含下列信息的响应:指示连接尝试是成功还是失败。经过身份验证的响应,基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。访问客户端验证身份验证响应,如果正确,则使用该连接。如果身份验证响应不正确,访问客户端将终止该连接。启用MS-CHAPv2若要启用基于MS-CHAP v2的身份验证,必须执行下列操作:启用MS-CHAP v2作为网络访问服务器上的身份验证协议。在相应的网络策略上启用MS-CHAP v2。在访问客户端上启用MS-CHAP v2。其他注意事项MS-CHAP(版本1和版本2)是唯一的基于密码的身份验证协议,它支持在身份验证过程中更改密码。在NPS服务器的网络策略上启用MS-CHAP v2之前,确保您的网络访问服务器支持MS-CHAP v2。有关详细信息,请参阅NAS文档。MS-CHAPMicrosoft质询握手身份验证协议(M