网络策略服务器(NPS)是Microsoft的远程身份验证拨入用户服务(RADIUS)服务器的实现。NPS为您的网络提供集中式身份验证、授权和记帐(AAA)功能。在此设置下，您的网络访问服务器(NAS)充当RADIUS客户端，并将来自用户的所有连接请求发送到在Windows上运行NPS的RADIUS服务器，然后将身份验证和授权信息提供回NAS。当用户连接到您的网络时，NPS会记录他们的活动作为其RADIUS记帐角色的一部分。

RADIUS是一种具有AAA管理功能的客户端-服务器网络协议，其传输层使用无连接用户数据报协议(UDP)，并使用端口1812进行身份验证，使用端口1813进行授权。

由于UDP不需要跨网络的可靠连接，因此使用RADIUS意味着最小的网络开销。在网络质量差的情况下，这也可能导致请求超时。发生这种情况时，RADIUS客户端会向服务器发送另一个请求。为确保RADIUS在安全的网络连接上运行，过去曾有过使其与传输控制协议(TCP)一起工作的举措，但这些举措并未超出实验阶段。

作为客户端-服务器网络协议，RADIUS具有客户端和服务器组件。在使用RADIUS的典型网络中，身份验证和授权过程如下：

RADIUS支持多种身份验证机制，包括：

RADIUS中的组合身份验证和授权操作可最大限度地减少流量并提高网络效率。RADIUS还支持使用一次性密码或某种其他机制的多重身份验证(MFA)，这通常需要客户端和服务器传递比正常情况下更多的消息。在较大的网络中，RADIUS服务器还可以充当其他RADIUS服务器的代理客户端。

RADIUS或LDAP：哪个用于集中式身份验证？

与RADIUS一样，轻量级目录访问协议(LDAP)用于用户身份验证和授权。LDAP通过访问和管理目录服务（例如Microsoft专有的ActiveDirectory服务）来执行此角色。至于哪个更好取决于你的具体要求。

由于LDAP使用TLS，客户端和服务器之间的连接和消息始终是加密的。此外，由于LDAP使用TCP，丢弃请求的可能性为零，尽管这通常意味着更多的网络开销。LDAP也比RADIUS更易于设置。

另一方面，LDAP不支持用户记帐，尽管这可以使用其他工具（例如Syslog）来解决。它还不支持开箱即用的多因素身份验证，但如果需要此功能，您可以使用其他解决方案。

作为RADIUS服务器的网络策略服务器

NPS在早期的Windows版本中被称为Internet身份验证服务(IAS)。从Windows2008开始，IAS成为NPS，Microsoft向该组件添加了新功能，包括网络访问保护和IPv6支持。NPS适用于多种类型的网络。

为了验证Windows网络上的用户凭据，NPS依赖于ActiveDirectory域服务(ADDS)域或本地安全帐户管理器(SAM)用户帐户数据库。当运行NPS的服务器属于ADDS域时，您可以将NPS用作单一登录解决方案的一部分。在这种情况下，NPS通过目录服务的用户帐户数据库对用户进行身份验证，将经过身份验证的用户登录到ADDS域中。

使用RADIUS，NPS代替NAS充当与身份验证、授权和记帐相关的用户数据的中心位置。如果将NPS与远程访问服务结合使用，则可以使用RADIUS对远程访问网络中的用户进行身份验证和授权。运行NPS的RADIUS服务器为运行在AWS上的Windows服务器提供了最简单的身份验证机制。

作为RADIUS代理的网络策略服务器

除了将NPS作为Windows上的RADIUS服务器之外，您还可以将NPS用作RADIUS代理客户端，将身份验证或记帐消息转发到其他RADIUS服务器。

RADIUS服务器的计费如何工作？

RADIUS服务器也用于计费目的。RADIUS记帐收集数据用于网络监控、计费或统计目的。计费过程通常在用户被授予访问RADIUS服务器的权限时开始。RADIUS计费也可以独立于RADIUS身份验证和授权使用。

一个基本的RADIUS计费过程包括以下步骤：