发布时间 : 星期一 文章NPS 身份验证方法更新完毕开始阅读992cf21b10a6f524ccbf85cf
引用:http://technet.microsoft.com/zh-cn/library/cc731694(WS.10).aspx
NPS 身份验证方法
应用到: Windows Server 2008
身份验证方法
用户尝试通过网络访问服务器(也称为 RADIUS 客户端)(如无线访问点、802.1X 身份验证切换、拨号服务器和虚拟专用网络 (VPN) 服务器)连接网络时,网络策略服务器 (NPS) 会首先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问。
由于身份验证是验证尝试连接网络的用户或计算机的身份的过程,因此 NPS 必须以凭据形式从用户或计算机接收身份证明。
某些身份验证方法使用基于密码的凭据。例如,Microsoft 质询握手身份验证协议 (MS-CHAP) 要求用户键入用户名和密码。然后由网络访问服务器将这些凭据传递到 NPS 服务器,NPS 会根据用户帐户数据库验证这些凭据。 其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS 服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性,因而优先于基于密码的身份验证方法推荐采用。 当您部署 NPS 时,可以指定访问网络所需的身份验证方法的类型。
基于密码的身份验证方法
应用到: Windows Server 2008
基于密码的身份验证方法
每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。对于所有支持使用证书的网络访问方法,建议使用基于证书的身份验证方法。在无线连接的情况下尤其如此,此时建议使用 PEAP-MS-CHAP v2 或 PEAP-TLS。
所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 (NPS) 的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。
可以将 NPS 配置为接受多种身份验证方法。还可以配置网络访问服务器(也称为 RADIUS 客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。例如,路由和远程访问服务首先尝试使用 EAP,然后依次使用 MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP 来尝试协商建立连接。选择 EAP 作为身份验证方法时,在访问客户端和 NPS 服务器之间出现 EAP 类型的协商。
MS-CHAP 版本 2
Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全性。MS-CHAP v2 解决了 MS-CHAP 版本 1 中的某些问题,如下表中所述。
MS-CHAP 版本 1 问题 MS-CHAP 版本 2 解决方案 用于与旧版 Microsoft 远程访问客户端的向后兼容性的 LAN 管理器响应编码是弱加密的。 密码更改的 LAN 管理器编码是弱加密的。 只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。 加密密钥基于用户密码,使用 40 位加密。每次用MS-CHAP v2 不再允许 LAN 管理器编码响应。 MS-CHAP v2 不再允许 LAN 管理器编码密码更改。 MS-CHAP v2 提供双向身份验证,也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。 使用 MS-CHAP v2,加密密钥始终基于用户的密码和一种户使用相同的密码连接时,将生成相同的加密密钥。 任意的质询字符串。每次用户使用相同的密码连接时,将使用不同的加密密钥。 在连接中使用单一加密密钥双向发送数据。 使用 MS-CHAP v2,为传输和收到的数据生成单独的加密密钥。 MS-CHAP v2 是一种单向加密密码,相互身份验证过程的工作方式如下:
1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字
符串。
2. 访问客户端发送包含下列信息的响应:
? ? ?
用户名。
任意对等质询字符串。
接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。
3. 身份验证器检查来自客户端的响应并发送回包含下列信息的响应:
? ?
指示连接尝试是成功还是失败。
经过身份验证的响应,基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。
4. 访问客户端验证身份验证响应,如果正确,则使用该连接。如果身份验证响应不正确,访问客户端将终止该
连接。
启用 MS-CHAP v2
若要启用基于 MS-CHAP v2 的身份验证,必须执行下列操作:
1. 启用 MS-CHAP v2 作为网络访问服务器上的身份验证协议。
2. 在相应的网络策略上启用 MS-CHAP v2。
3. 在访问客户端上启用 MS-CHAP v2。
其他注意事项
? ?
MS-CHAP(版本 1 和版本 2)是唯一的基于密码的身份验证协议,它支持在身份验证过程中更改密码。
在 NPS 服务器的网络策略上启用 MS-CHAP v2 之前,确保您的网络访问服务器支持 MS-CHAP v2。有关详细信息,请参阅 NAS 文档。
MS-CHAP
Microsoft 质询握手身份验证协议 (MS-CHAP),也称为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议。质询握手过程的工作方式如下:
1. 身份验证器(网络访问服务器或 NPS 服务器)向访问客户端发送质询,其中包含会话标识符和任意质询字
符串。
2. 访问客户端发送一个响应,该响应包含用户名和一个不可逆的加密质询字符串、会话标识符和密码。
3. 身份验证器检查响应,如果有效,则用户的凭据通过身份验证。
如果使用 MS-CHAP 作为身份验证协议,则可以使用 Microsoft 点对点加密 (MPPE) 对 PPP 或 PPTP 连接上发送的数据进行加密。
MS-CHAP 版本 2 为网络访问连接提供了比 MS-CHAP 更高的安全性。应考虑使用 MS-CHAP 版本 2 而非 MS-CHAP。
启用 MS-CHAP
若要启用基于 MS-CHAP 的身份验证,必须执行下列操作:
1. 启用 MS-CHAP 作为远程访问服务器上的身份验证协议。
2. 在 NPS 中的相应网络策略上启用 MS-CHAP。
3. 在访问客户端上启用 MS-CHAP。
其他注意事项
?
默认情况下,MS-CHAP v1 的此实现不支持 LAN 管理器身份验证。如果希望允许对旧版操作系统(如 Windows NT 3.5x 和 Windows 95)使用带 MS-CHAP v1 的 LAN 管理器身份验证,必须在 NPS 服务器上将以下注册表值设置为 1:
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\RemoteAccess\\Policy\\Allow LM Authentication
?
如果 MS-CHAP v1 用作身份验证协议,当用户的密码大于 14 个字符时,将无法建立 40 位加密的连接。此行为会影响拨号和基于 VPN 的远程访问以及请求拨号连接。
注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机中任何有价值的数据。 CHAP
质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证协议,该协议使用行业标准的 Message Digest 5 (MD5) 哈希方案来对响应加密。CHAP 可供各种网络访问服务器和客户端的供应商使用。运行“路由和远程访问”的服务器支持 CHAP,以便对要求使用 CHAP 的访问客户端进行身份验证。由于 CHAP 要求使用可撤消的加密密码,所以,应考虑使用其他身份验证协议(例如 MS-CHAP 版本 2)。 若要启用基于 CHAP 的身份验证,必须执行下列操作:
1. 启用 CHAP 作为网络访问服务器上的身份验证协议。
2. 在 NPS 中的相应网络策略上启用 CHAP。
3. 启用可撤消加密的用户密码存储。
可以按用户帐户启用其存储,也可以为域中的全部帐户启用存储。
4. 强制重置用户密码,以使新密码采用可撤消形式加密。
启用以可撤消的加密形式存储密码时,当前密码未采用可撤消的加密形式,并且未自动更改。必须手动更改用户密码,或将用户密码设置为在每个用户下次登录时更改。