Funktionen von IAS

IAS unterstützt die folgenden Funktionen:

  • Eine Vielzahl von Authentifizierungsmethoden
    IAS unterstützt eine Vielzahl von Authentifizierungsprotokollen und ermöglicht es Ihnen, benutzerdefinierte Methoden hinzuzufügen, die Ihre Authentifizierungsanforderungen erfüllen. Folgende Authentifizierungsmethoden werden unterstützt:

    • Kennwortbasierte PPP-Authentifizierungsprotokolle (Point-To-Point Protocol)
      Kennwortbasierte PPP-Authentifizierungsprotokolle, z. B. PAP (Password Authentication Protocol), CHAP (Challenge-Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol) und MS-CHAP v2 (MS-CHAP Version 2) werden unterstützt. Weitere Informationen hierzu finden Sie unter Authentifizierungsmethoden.

    • EAP (Extensible Authentication-Protokoll)
      Eine Infrastruktur, die auf Internetstandards basiert und in der das Hinzufügen beliebiger Authentifizierungsmethoden möglich ist, z. B. Smartcards, Zertifikate, nur ein Mal vorkommende Kennwörter und Tokenkarten. Eine Authentifizierungsmethode, die die EAP-Infrastruktur verwendet, ist ein EAP-Typ. IAS unterstützt EAP-Message Digest 5 (MD5) und EAP-Transport Level Security (EAP-TLS). Weitere Informationen erhalten Sie unter EAP.

  • Eine Vielzahl von Autorisierungsmethoden
    IAS unterstützt eine Vielzahl von Autorisierungsmethoden und ermöglicht es Ihnen, benutzerdefinierte Methoden hinzuzufügen, die Ihre Autorisierungsanforderungen erfüllen. Folgende Autorisierungsmethoden werden unterstützt:

    • DNIS (Dialed Number Identification Service)
      Die Autorisierung eines Verbindungsversuchs anhand der gewählten Nummer. DNIS übermittelt die gewählte Nummer an den Empfänger des Anrufs. Dieser Dienst wird von den meisten Telefongesellschaften unterstützt.

    • ANI/CLI (Automatic Number Identification/Calling Line Identification)
      Die Autorisierung eines Verbindungsversuchs anhand der Telefonnummer des Anrufers. Der ANI/CLI-Dienst übermittelt die Nummer des Anrufers an den Empfänger des Anrufs. Dieser Dienst wird von den meisten Telefongesellschaften unterstützt.

    • Gastautorisierung
      Die Verwendung des Gastkontos als Identität des Benutzers, wenn die Verbindung ohne Benutzeranmeldeinformationen (Benutzername und Kennwort) hergestellt wird.

  • Heterogene Zugriffsserver
    IAS unterstützt Zugriffsserver, die die RADIUS RFCs 2865 und 2866 unterstützen. Neben DFÜ-Zugriffsservern (auch Netzwerkzugriffsserver genannt) unterstützt IAS darüber hinaus Folgendes:

    • Drahtlose Zugriffspunkte
      Mithilfe von RAS-Richtlinien und der Wireless-IEEE 802.11-Porttypbedingung kann IAS als RADIUS-Server für drahtlose Zugriffspunkte verwendet werden, die RADIUS zum Authentifizieren und Autorisieren von drahtlosen Knoten verwenden. Weitere Informationen finden Sie unter Neue Funktionen von IAS.

    • Authentifizierungsswitches
      Mithilfe von RAS-Richtlinien und der Ethernet-Porttypbedingung kann IAS als RADIUS-Server für Ethernet-Netzwerkswitches verwendet werden, die RADIUS zum Authentifizieren und Autorisieren von Switchknoten verwenden.

    • Integration des Routing- und RAS-Dienstes
      IAS und der Routing- und RAS-Dienst verwenden gemeinsame RAS-Richtlinien und Protokolldateifunktionen. Diese Integration ermöglicht für IAS und den RAS-Dienst eine konsistente Implementierung. Sie können dadurch Routing und RAS für kleine Standorte einsetzen, ohne dass ein separater, zentraler IAS-Server erforderlich ist. Außerdem ermöglicht dies die Skalierung auf ein zentrales RAS-Verwaltungsmodell, wenn in Ihrer Organisation mehrere Routing- und RAS-Server vorhanden sind. In Verbindung mit Routing- und RAS-Servern ermöglicht IAS die zentrale Verwaltung von Remotezugriffen auf das Netzwerk, bei externem Wählen, Wählen bei Bedarf oder VPN-Zugriffen. Die innerhalb von IAS an einem zentralen, großen Standort verwendeten Richtlinien können auf einen RAS-Server an einem kleinen Standort exportiert werden.

  • RADIUS-Proxy
    IAS ermöglicht das Weiterleiten einer eingehenden RADIUS-Anforderung an einen anderen RADIUS-Server für die Authentifizierungs- und Autorisierungsverarbeitung oder die Kontoführung. Als RADIUS-Proxy kann IAS immer dann verwendet werden, wenn die RADIUS-Anforderung an einen anderen RADIUS-Server weitergeleitet werden muss. IAS kann Anforderungen anhand des Benutzernamens, der IP-Adresse des Zugriffsservers, der Kennung des Zugriffsservers und sonstiger Bedingungen weiterleiten.

  • Externes Wählen und drahtloser Netzwerkzugriff
    Beim externen Wählen gibt es einen Vertrag zwischen einer Organisation (dem Kunden) und einem Internetdienstanbieter. Der Internetdienstanbieter ermöglicht Mitarbeitern der Organisation, eine Verbindung mit dem Netzwerk herzustellen, bevor der VPN-Tunnel zum privaten Netzwerk der Organisation eingerichtet wird. Wenn ein Mitarbeiter der Organisation eine Verbindung mit dem Netzwerkzugriffsserver des Internetdienstanbieters herstellt, werden die Authentifizierungs- und Nutzungsberichte an den IAS-Server der Organisation weitergeleitet. Mithilfe des IAS-Servers kann die Organisation die Benutzerauthentifizierung steuern, die Nutzung nachverfolgen und bestimmen, welche Mitarbeiter auf das Netzwerk des Internetdienstanbieters zugreifen dürfen.
    Der Vorteil beim externen Wählen besteht in den möglichen Einsparungen. Wenn Sie die Router, Netzwerkzugriffsserver und WAN-Verbindungen des Internetdienstanbieters verwenden, anstatt sie selbst zu kaufen, können Sie bei Ihren Ausgaben für Hardware bzw. Infrastruktur erhebliche Einsparungen vornehmen. Durch das Einwählen beim Internetdienstanbieter mit weltweiten Verbindungen können Sie die Kosten für Ferngespräche erheblich reduzieren. Und durch das Übertragen der Supportanforderungen auf den Anbieter können Sie Verwaltungskosten drastisch reduzieren.
    Auch der drahtlose Zugriff kann ausgelagert werden. Ein Anbieter kann den drahtlosen Zugriff an einem Remotestandort ermöglichen und Ihren Benutzernamen zum Weiterleiten der Verbindungsanforderung an einen RADIUS-Server verwenden, der hinsichtlich Authentifizierung und Autorisierung Ihrer Kontrolle unterliegt. Ein anschauliches Beispiel ist der drahtlose Zugriff auf einem Flughafen.

  • Zentrale Benutzerauthentifizierung und -autorisierung
    Zum Authentifizieren einer Verbindungsanforderung vergleicht IAS die Verbindungsanmeldeinformationen mit Benutzerkonten in der lokalen Sicherheitskontenverwaltung (Security Accounts Manager oder SAM), einer Microsoft® Windows NT® Server 4.0-Domäne oder einer Active Directory®-Domäne. Für eine Active Directory-Domäne unterstützt IAS die Verwendung von Active Directory-Benutzerprinzipalnamen (User Principal Names oder UPNs) und universellen Gruppen.
    Zum Autorisieren einer Verbindungsanforderung verwendet IAS die Einwähleigenschaften des Benutzerkontos, das sowohl den Verbindungsanmeldeinformationen als auch den RAS-Richtlinien entspricht. Obwohl RAS-Berechtigungen für die einzelnen Benutzerkonten relativ problemlos zu verwalten sind, kann dies beim Wachsen einer Organisation unübersichtlich werden. RAS-Richtlinien bieten eine leistungsfähigere und flexiblere Möglichkeit zum Verwalten von RAS-Berechtigungen. Der Netzwerkzugriff kann anhand der folgenden Bedingungen autorisiert werden:

    • Mitgliedschaft eines Benutzerkontos in einer Gruppe.

    • Tageszeit oder Wochentag.

    • Der Medientyp, über den der Benutzer eine Verbindung herstellt (z. B. drahtlos, Ethernet-Switch, Modem oder VPN).

    • Die Rufnummer, die der Benutzer anruft

    • Der Zugriffsserver, von dem die Anforderung empfangen wird.

  • Zentrale Verwaltung aller Zugriffsserver
    Mithilfe der Unterstützung des RADIUS-Standards können über IAS die Verbindungsparameter für jeden Zugriffsserver gesteuert werden, auf dem RADIUS implementiert ist. Darüber hinaus ermöglicht der RADIUS-Standard einzelnen RAS-Herstellern auch das Erstellen von proprietären Erweiterungen, so genannten herstellerspezifischen Attributen (Vendor-Specific Attributes oder VSAs). Im Wörterbuch von IAS sind die Erweiterungen für eine Reihe von Herstellern enthalten. Zusätzliche VSAs können zum Profil einzelner RAS-Richtlinien hinzugefügt werden.

  • Zentrale Überwachung und Kontoführung über die Nutzung
    Aufgrund der Unterstützung des RADIUS-Standards kann IAS die Nutzungsberichte (oder Kontoführungsberichte), die von allen Zugriffsservern gesendet werden, an einem zentralen Standort sammeln. IAS speichert Überwachungsinformationen (z. B. Annahmen oder Ablehnungen von Authentifizierungen) und Nutzungsinformationen (z. B. Informationen zum Herstellen und Trennen von Verbindungen) in Protokolldateien. Das von IAS unterstützte Protokolldateiformat kann direkt in eine Datenbank importiert werden. Die Daten können dann mithilfe einer standardmäßigen Datenanalyseanwendung analysiert werden.

  • Snap-In-basiertes Verwaltungsprogramm
    IAS enthält ein Verwaltungsprogramm namens Internetauthentifizierungsdienst-Snap-In (IAS-Snap-In). Sie können den Internetauthentifzierungsdienst (IAS) über die Option Verwaltung ausführen, um ihn auf einem lokalen Computer zu verwalten. Sie können das IAS-Snap-In aber auch zur Microsoft Management Console (MMC) hinzufügen, um IAS auf einem lokalen Computer oder einem Remotecomputer zu verwalten.

  • Lokale oder Remoteüberwachung mit Programmen unter Microsoft® Windows Server™ 2003 Standard Edition,
    Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition
    Sie können IAS auf einem lokalen Computer oder einem Remotecomputer mit Programmen überwachen, die im Lieferumfang von Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition enthalten sind. Dazu zählen die Ereignisanzeige, der Systemmonitor und SNMP (Simple Network Management Protocol). Mit dem Netzwerkmonitor können Sie außerdem für die detaillierte Verkehrsanalyse und für die Problembehandlung RADIUS-Meldungen aufzeichnen.

  • Skalierbarkeit
    Sie können IAS in einer Vielzahl von Netzwerkkonfigurationen verschiedener Größe verwenden, angefangen bei eigenständigen Servern für kleine Netzwerke bis hin zu großen Netzwerken von Organisationen und Internetdienstanbietern.

  • Unterstützung mehrerer IAS-Server
    Für die Synchronisierung der Konfiguration mehrerer IAS-Server können Sie das Netsh-Befehlszeilenprogramm verwenden.

  • Erweiterungsfähigkeit
    Das Platform Software Development Kit (SDK) für die Windows Server 2003-Produktfamilie enthält zwei kleinere SDKs zum Netzwerk: das IAS SDK und das EAP SDK.

    Mit dem IAS SDK können Sie folgende Aufgaben ausführen:

    • Zurückgeben von benutzerdefinierten Attributen an den Zugriffsserver, zusätzlich zu den von IAS zurückgegebenen Attributen. Sie können z. B. ein benutzerdefiniertes Modul zum Zuweisen von IP-Adressen erstellen.

    • Steuern der Anzahl von Netzwerksitzungen von Benutzern.

    • Direktes Importieren von Nutzungs- und Überwachungsdaten in eine ODBC-kompatible Datenbank

    • Erstellen benutzerdefinierter Autorisierungsmodule.

    • Erstellen benutzerdefinierter Authentifizierungsmodule (nicht EAP).

Mit dem EAP SDK können Sie EAP-Typen erstellen. Weitere Informationen erhalten Sie unter EAP.

Hinweis
Sie können IAS unter Windows Server 2003 Standard Edition konfigurieren, und zwar mit bis zu maximal 50 RADIUS-Clients und mit maximal 2 Remote-RADIUS-Servergruppen. Sie können einen RADIUS-Client definieren, indem Sie einen vollqualifizierten Domänennamen oder eine IP-Adresse verwenden. Allerdings können Sie keine RADIUS-Clientgruppen definieren, indem Sie einen IP-Adressbereich angeben. Wenn der vollqualifizierte Domänenname eines RADIUS-Clients in mehrere IP-Adressen aufgelöst wird, verwendet der IAS-Server die erste in einer DNS-Abfrage zurückgegebene IP-Adresse. Mit IAS unter Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition können Sie eine unbegrenzte Anzahl von RADIUS-Clients und Remote-RADIUS-Servergruppen konfigurieren. Sie können darüber hinaus RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.