Definition Was ist ein Network Policy Server (NPS)?

Anbieter zum Thema

Aagon GmbH

Vitel GmbH

Ein Network Policy Server ist eine Microsoft-Implementierung des Remote Authentication Dial-in User Service (RADIUS) in Windows-Umgebungen. Er übernimmt Authentifizierung, Autorisierung und Accounting von RADIUS-Client-Verbindungen wie VPN- oder Dial-in-Verbindungen. Ein Network Policy Server lässt sich an Active Directory anbinden und ermöglicht die unternehmensweite Durchsetzung von Netzwerkzugriffsrichtlinien. Der NPS kann als RADIUS-Server und RADIUS-Proxy agieren.

NPS ist das Akronym für Network Policy Server. Die deutsche Bezeichnung lautet Netzwerkrichtlinienserver. Bei einem NPS handelt es sich um die Microsoft-Implementierung des Remote Authentication Dial-in User Service (RADIUS) in Windows-Umgebungen. Er authentifiziert, autorisiert und protokolliert Clients, die sich beispielsweise über WLAN oder VPN per RADIUS-Protokoll einwählen möchten. Diese Services werden auch als AAA-Services (Authentication, Authorization und Accounting) bezeichnet.

Ein NPS ermöglicht die unternehmensweite Durchsetzung von Netzwerkzugriffsrichtlinien und kann als RADIUS-Server und/oder RADIUS-Proxy agieren. Die Zugangsdaten der Clients werden zentral konfiguriert und verwaltet. Über einen NPS können sich auch Nicht-Microsoft-Clients und RADIUS-konforme Geräte beliebiger Hersteller in heterogenen Umgebungen einwählen.

Der NPS ist seit Windows Server 2008 eine Komponente des Windows-Server-Betriebssystems. Die grundlegende RADIUS-Funktionalität gibt es schon länger. Microsoft implementierte den eigenen RADIUS-Server bereits in Windows Server 2000, nannte diesen aber noch Internet Authentication Server (IAS). Der Funktionsumfang des Network Policy Servers ist im Vergleich zum IAS erweitert.

Prinzipielle Funktionsweise und Aufgaben des RADIUS-Protokolls und die verschiedenen Rollen eines NPS

Als RADIUS-Implementierung von Microsoft orientiert sich NPS am RADIUS-Standard. RADIUS ist ein Client-Server-Protokoll zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von sich in Computernetzwerke per ISDN, Modem, WLAN, LAN, VPN oder andere Technologien einwählende Clients. Es ermöglicht die zentrale Konfiguration und Verwaltung der Triple-A-Services.

Die maßgeblichen RFCs für RADIUS sind RFC 2865, RFC 2866, RFC 2867, RFC 2868 und RFC 2869. Authentifizierung und Autorisierung per RADIUS über IEEE-802-Netze wie WLAN oder LAN sind in IEEE 802.1X beschrieben. Zur Authentifizierung lassen sich Username und Passwort, Zertifikate, Mehrfaktorverfahren und anderes verwenden. Nach erfolgreicher Authentifizierung werden dem Client die konfigurierten Rechte zur Nutzung bestimmter Ressourcen zugeteilt. Das Accounting protokolliert Informationen der Nutzung wie Online-Zeiten, übertragene Datenvolumen, Zugriffe und anderes und stellt sie beispielsweise zu Abrechnungszwecken zur Verfügung.

An der Einwahl per RADIUS-Protokoll sind grundsätzlich die drei Komponenten Client, Authenticator und RADIUS-Server beteiligt. Der Client initiiert einen Einwahlwunsch und schickt diesen an den Authenticator. Der Authenticator leitet den Einwahlwunsch an den RADIUS-Server, in Windows-Umgebungen zum Beispiel ein NPS, weiter. Der RADIUS-Server hat entweder selbst die notwendigen Informationen zu Authentifizierung und Autorisierung wie User-Kennungen, Passwörter und Benutzerrechte oder besitzt die Verbindung zu einer zentralen Benutzerdatenbank oder einem Verzeichnisdienst wie Active Directory mit diesen Informationen. Über das RADIUS-Protokoll lassen sich auch Netzkonfigurationen und Verbindungsparameter wie Upstream- und Downstream-Geschwindigkeiten, IP-Adressen oder Routing-Parameter zuweisen.

Der Network Policy Server von Microsoft kann die drei Rollen RADIUS-Server, RADIUS-Proxy und NPS-Protokollierung einnehmen. Auf einem NPS sind beliebige Kombinationen dieser Rollen konfigurierbar. Ist der NPS als RADIUS-Server konfiguriert, sorgt er für die zentrale Authentifizierung, Autorisierung und Erfassung von Verbindungsinformationen. Er verwendet entweder eine eigene Benutzerdatenbank oder das Active Directory.

Als RADIUS-Proxy leitet der NPS Verbindungsanforderungen, die den konfigurierten Richtlinien entsprechen, an einen RADIUS-Server beziehungsweise einen anderen NPS weiter. Einsetzen lassen sich RADIUS-Proxys beispielsweise zur Lastverteilung. Accounting-Daten lassen sich ebenfalls weiterleiten. Sinnvoll ist die Verwendung eines RADIUS-Proxy zum Beispiel, wenn ein Dienstleister für den Remote-Zugriff die Verbindungsanforderungen zur Authentifizierung an einen vom Kunden selbst verwalteten RADIUS-Server (NPS) weiterleiten möchte.

Bei der NPS-Protokollierung, auch als RADIUS-Ressourcenerfassung bezeichnet, werden Ereignisse und andere Informationen entweder in einer lokalen Protokolldatei aufgezeichnet oder von einer Remote-Instanz eines Microsoft SQL Servers protokolliert. Die NPS-Protokollierung ist unabhängig davon, ob der Network Policy Server als RADIUS-Server oder als RADIUS-Proxy genutzt wird.

(ID:49758365)