Planeamiento e implementación de NPS
NPS realiza la autenticación y la autorización centralizadas de conexiones, así como la contabilización de cuentas de conexiones inalámbricas, de acceso telefónico, de servidores de puerta de enlace de Escritorio remoto, de conmutadores de autenticación y de redes VPN. Sin embargo, Contoso debe configurar primero las directivas de red que usa NPS para autorizar las solicitudes de conexión, y también puede elegir configurar la contabilización de cuentas RADIUS para que NPS anote la información de este proceso en archivos de registro en el disco duro local o en una base de datos de Microsoft SQL Server.
Elección de un método de autenticación NPS
Cuando los usuarios intentan conectarse a la red a través de NAS, NPS autentica y autoriza la solicitud de conexión antes de permitir o denegar el acceso. Cuando implementa NPS, puede especificar el tipo de método de autenticación para el acceso a la red.
NPS admite los siguientes métodos de autenticación:
- PAP
- Protocolo de autenticación de contraseña segura (SPAP)
- CHAP
- MS-CHAP
- MS-CHAP v2
- EAP
Sugerencia
Cuando se elige EAP como método de autenticación, la negociación del tipo EAP tiene lugar entre el cliente de acceso y el servidor NPS.
Precaución
No debe utilizar PAP, SPAP, CHAP o MS-CHAP en un entorno de producción, ya que se consideran muy poco seguros.
Contabilización de cuentas NPS
También debe tener en cuenta cómo debe configurar el registro para NPS. Puede anotar las solicitudes de contabilización de cuentas y de autenticación de usuarios en archivos de registro con formato de texto o formato de base de datos o bien hacerlo en un procedimiento almacenado en una base de datos de Microsoft SQL Server. Use el registro de solicitudes principalmente para el análisis de conexiones y la facturación, y también como herramienta de investigación de seguridad, ya que le permite identificar la actividad de un hacker.
Configuración de directivas en NPS
NPS admite directivas de solicitud de conexión y directivas de red. Estos se describen en la siguiente tabla.
| Tipo | Descripción |
|---|---|
| Directiva de solicitud de conexión | Las directivas de solicitud de conexión permiten elegir si el servidor NPS local procesa las solicitudes de conexión o las reenvía a otro servidor RADIUS para su procesamiento. |
| Directiva de red | Las directivas de red permiten designar qué usuarios tienen autorización para conectarse a la red y las circunstancias en las que pueden hacerlo. |
Establecimiento de directivas de red
Las directivas de red son conjuntos de condiciones, restricciones y valores de configuración que le permiten designar quién está autorizado para conectarse a la red y en qué condiciones podrá hacerlo. Cada directiva de red tiene cuatro categorías de propiedades.
| Propiedad | Descripción |
|---|---|
| Información general | Las propiedades de información general permiten especificar si la directiva está habilitada, si la directiva concede o deniega el acceso y si se requiere un método específico de conexión a la red o tipo de servidor de acceso a la red para las solicitudes de conexión. Las propiedades de información general también le permiten especificar si se omitirán las propiedades de acceso telefónico de las cuentas de usuario en AD DS. Si selecciona esta opción, NPS solo usa la configuración de la directiva de red para determinar si se debe autorizar la conexión. |
| Condiciones | Estas propiedades le permiten especificar las condiciones que debe tener la solicitud de conexión para que coincida con la directiva de red. Si las condiciones configuradas en la directiva coinciden con la solicitud de conexión, NPS aplica la configuración de la directiva de red a la conexión. Por ejemplo, si especifica la dirección IPv4 del servidor de acceso a la red (dirección IPv4 de NAS) como una condición de la directiva de red y NPS recibe una solicitud de conexión procedente de un servidor NAS que tiene la dirección IP especificada, la condición de la directiva coincide con la solicitud de conexión. |
| Restricciones | Las restricciones son parámetros adicionales de la directiva de red que deben coincidir con la solicitud de conexión. Si la solicitud de conexión no coincide con una restricción, NPS rechaza la solicitud automáticamente. A diferencia de la respuesta NPS a las condiciones no coincidentes de la red, si una restricción no coincide, NPS no evalúa las directivas de red adicionales y deniega la solicitud de conexión. |
| Configuración | Las propiedades de configuración permiten especificar la configuración que NPS aplica a la solicitud de conexión, siempre y cuando se cumplan todas las condiciones de la directiva de red y se acepte la solicitud. |
Importante
Cuando se implementa por primera vez el rol NPS, las dos directivas de red predeterminadas deniegan el acceso remoto a todos los intentos de conexión. Después, puede configurar directivas de red adicionales para administrar los intentos de conexión.
Cuando NPS autoriza una solicitud de conexión, la compara con cada directiva de red de la lista ordenada de directivas, empezando por la primera directiva y pasando al siguiente elemento de la lista. Si NPS encuentra una directiva cuyas condiciones coinciden con la solicitud de conexión, usa la directiva coincidente y las propiedades de acceso telefónico de la cuenta de usuario para autorizar la solicitud. Si configura las propiedades de acceso telefónico de la cuenta de usuario para conceder o controlar el acceso a través de la directiva de red y la solicitud de conexión se autoriza, NPS aplica a la conexión los valores configurados en la directiva de red:
- Si NPS no encuentra una directiva de red que coincida con la solicitud de conexión, rechaza la conexión.
- Si las propiedades de acceso telefónico de la cuenta de usuario se configuran para denegar el acceso, NPS rechaza la solicitud de conexión de todos modos.
Este proceso se resume en el siguiente diagrama.
