Implementación del acceso inalámbrico autenticado mediante 802.1X basado en contraseña
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Esta es una guía complementaria a la Guía de red principal de Windows Server® 2016. La Guía de red principal proporciona instrucciones para planear e implementar los componentes necesarios para una red plenamente funcional y un nuevo dominio de Active Directory® en un bosque nuevo.
En esta guía se explica cómo basarse en una red principal proporcionando instrucciones sobre cómo implementar el acceso IEEE 802.11 inalámbrico autenticado mediante 802.1X del Instituto de ingenieros de electricidad y electrónica (IEEE) mediante el protocolo de autenticación extensible protegido versión 2 (PEAP-MS-CHAP v2).
Dado que PEAP-MS-CHAP v2 requiere que los usuarios proporcionen credenciales basadas en contraseña en lugar de un certificado durante el proceso de autenticación, normalmente es más fácil y menos costoso de implementar que EAP-TLS o PEAP-TLS.
Nota
En esta guía, el acceso inalámbrico autenticado mediante IEEE 802.1X con PEAP-MS-CHAP v2 se abrevia como "acceso inalámbrico" y "acceso WiFi".
Acerca de esta guía
Esta guía, en combinación con las guías de requisitos previos que se describen a continuación, proporciona instrucciones sobre cómo implementar la siguiente infraestructura de acceso WiFi.
Uno o más puntos de acceso (AP) inalámbricos 802.11 compatibles con 802.1X.
Usuarios y equipos de Active Directory Domain Services (AD DS).
Administración de directivas de grupo.
Uno o más servidores NPS (Servidor de directivas de redes).
Certificados de servidor para equipos con NPS.
Equipos cliente inalámbricos que ejecuten Windows® 10, Windows 8.1 o Windows 8.
Dependencias de esta guía
Para implementar correctamente la red inalámbrica autenticada con esta guía, debe tener un entorno de red y dominio con todas las tecnologías necesarias implementadas. También debe tener certificados de servidor implementados en los NPS de autenticación.
En las secciones siguientes, se proporcionan vínculos a documentación que muestra cómo implementar estas tecnologías.
Dependencias del entorno de red y dominio
Esta guía está diseñada para los administradores de sistemas y redes que siguieron las instrucciones de la Guía de red principal de Windows Server 2016 para implementar una red principal o para los que implementaron previamente las tecnologías esenciales que se incluyen en la red principal, incluidos AD DS, Servicio de nombres de dominio (DNS), Protocolo de configuración dinámica de host (DHCP), TCP/IP, NPS y Servicio de nombres Internet de Windows (WINS).
La guía de red principal de Windows Server 2016 está disponible en la biblioteca técnica de Windows Server 2016.
Dependencias de certificados de servidor
Hay dos opciones disponibles para inscribir servidores de autenticación con certificados de servidor para su uso con la autenticación 802.1X: implementar su propia infraestructura de clave pública mediante Servicios de certificados de Active Directory (AD CS) o usar certificados de servidor inscritos por una entidad de certificación pública (CA).
AD CS
Los administradores de sistemas y red que implementan redes inalámbricas autenticadas deben seguir las instrucciones de la Guía complementaria de red principal de Windows Server 2016, Implementación de certificados de servidor para implementaciones cableadas e inalámbricas 802.1X. En esta guía, se explica cómo implementar y usar AD CS para inscribir automáticamente certificados de servidor en equipos que ejecutan NPS.
Esta guía se encuentra disponible en la siguiente ubicación.
- La guía complementaria de red principal de Windows Server 2016 Implementación de certificados de servidor para implementaciones cableadas e inalámbricas 802.1X en formato HTML en la biblioteca técnica.
CA pública
Puede comprar certificados de servidor de una entidad de certificación pública, como VeriSign, en la que los equipos cliente ya confían.
Un equipo cliente confía en una entidad de certificación cuando el certificado de entidad de certificación está instalado en el almacén de certificados de entidades de certificación raíz de confianza. De manera predeterminada, los equipos que ejecutan Windows tienen varios certificados de entidad de certificación pública instalados en su almacén de certificados de entidades de certificación raíz de confianza.
Se recomienda que revise las guías de diseño e implementación de cada una de las tecnologías que se usan en este escenario de implementación. Estas guías pueden ayudarle a determinar si este escenario de implementación ofrece los servicios y la configuración que necesita para la red de su organización.
Requisitos
A continuación, se muestran los requisitos para implementar una infraestructura de acceso inalámbrico mediante el escenario documentado en esta guía:
Antes de implementar este escenario, primero debe comprar puntos de acceso inalámbrico compatibles con 802.1X para proporcionar cobertura inalámbrica en las ubicaciones deseadas del sitio. La sección de planeamiento de esta guía ayuda a determinar las características que deben admitir los puntos de acceso.
Active Directory Domain Services (AD DS) está instalado, al igual que las demás tecnologías de red necesarias, según las instrucciones de la Guía de red principal de Windows Server 2016.
AD CS está implementado y los certificados de servidor se han inscrito en los NPS. Estos certificados son necesarios al implementar el método de autenticación basado en certificados PEAP-MS-CHAP v2 que se usa en esta guía.
Un miembro de la organización está familiarizado con los estándares IEEE 802.11 compatibles con los AP inalámbricos y los adaptadores de red inalámbrica que están instalados en los equipos y dispositivos cliente de la red. Por ejemplo, alguien de la organización está familiarizado con los tipos de frecuencia de radio, la autenticación inalámbrica 802.11 (WPA2 o WPA) y los cifrados (AES o TKIP).
Qué no incluye esta guía
Los siguientes son algunos elementos que esta guía no proporciona:
Guía completa para seleccionar puntos de acceso inalámbrico compatibles con 802.1X
Dado que existen muchas diferencias entre marcas y modelos de AP inalámbricos compatibles con 802.1X, esta guía no proporciona información detallada sobre:
Determinar qué marca o modelo de AP inalámbrico es más adecuado para sus necesidades.
La implementación física de los AP inalámbricos en la red.
Configuración avanzada de AP inalámbricos, como en el caso de las redes de área local virtuales (VLAN) inalámbricas.
Instrucciones sobre cómo configurar los atributos específicos del proveedor de los AP inalámbricos en NPS.
Además, la terminología y los nombres de la configuración varían entre las marcas y los modelos de AP inalámbricos, y es posible que no coincidan con los nombres de configuración genéricos que se usan en esta guía. Para obtener los detalles de configuración del AP inalámbrico, debe revisar la documentación del producto proporcionada por el fabricante de los AP inalámbricos.
Instrucciones para implementar los certificados de NPS
Hay dos alternativas para implementar certificados de NPS. Esta guía no proporciona instrucciones completas para ayudarle a determinar qué alternativa satisface mejor sus necesidades. Sin embargo, en general, las opciones que se puede encontrar son las siguientes:
Comprar certificados de una entidad de certificación pública, como VeriSign, que ya son de confianza para los clientes basados en Windows. Normalmente, esta opción se recomienda para redes más pequeñas.
Implementar una infraestructura de clave pública (PKI) en la red mediante AD CS. Se recomienda para la mayoría de las redes y las instrucciones para implementar certificados de servidor con AD CS están disponibles en la guía de implementación mencionada anteriormente.
Directivas de red de NPS y otra configuración de NPS
Excepto en cuanto a las opciones de configuración realizadas al ejecutar el Asistente para configurar 802.1X, como se documenta en esta guía, esta guía no proporciona información detallada para configurar manualmente las condiciones de NPS, las restricciones ni otras opciones de NPS.
DHCP
Esta guía de implementación no proporciona información sobre el diseño ni la implementación de subredes DHCP para redes LAN inalámbricas.
Introducción a las tecnologías
A continuación, se muestra información general sobre la tecnología para implementar el acceso inalámbrico:
IEEE 802.1X
El estándar IEEE 802.1X define el control de acceso a la red basado en puerto que se usa para proporcionar acceso de red autenticado a las redes Ethernet. Este control de acceso a la red basado en puerto usa las características físicas de la infraestructura de LAN conmutada para autenticar los dispositivos conectados a un puerto de la LAN. Se puede denegar el acceso al puerto si se produce un error en el proceso de autenticación. Si bien este estándar se diseñó para redes Ethernet cableadas, se ha adaptado para usarlo en LAN inalámbricas 802.11.
Puntos de acceso (AP) inalámbrico compatibles con 802.1X
Este escenario requiere la implementación de uno o varios AP inalámbricos compatibles con 802.1X compatibles con el protocolo Servicio de autenticación remota telefónica de usuario (RADIUS).
Los AP compatibles con 802.1X y RADIUS, cuando se implementan en una infraestructura RADIUS con un servidor RADIUS como un NPS, se llaman clientes RADIUS.
Clientes inalámbricos
En esta guía, se proporcionan detalles de configuración completos para proporcionar acceso autenticado 802.1X a los usuarios miembros del dominio que se conectan a la red con equipos cliente inalámbricos que ejecutan Windows 10, Windows 8.1 y Windows 8. Los equipos deben estar unidos al dominio para establecer correctamente el acceso autenticado.
Nota
También puede usar equipos que ejecuten Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012 como clientes inalámbricos.
Compatibilidad con los estándares IEEE 802.11
Los sistemas operativos Windows y Windows Server admitidos proporcionan compatibilidad integrada con redes inalámbricas 802.11. En estos sistemas operativos, un adaptador de red inalámbrica 802.11 instalado aparece como una conexión de red inalámbrica en el Centro de redes y recursos compartidos.
Aunque hay compatibilidad integrada con las redes inalámbricas 802.11, los componentes inalámbricos de Windows dependen de lo siguiente:
Las funcionalidades del adaptador de red inalámbrica. El adaptador de red inalámbrica instalado debe admitir la LAN inalámbrica o los estándares de seguridad inalámbrica que necesite. Por ejemplo, si el adaptador de red inalámbrica no admite el Acceso protegido Wi-Fi (WPA), no puede habilitar ni configurar las opciones de seguridad de WPA.
Las funcionalidades del controlador del adaptador de red inalámbrica. Para permitirle configurar las opciones de red inalámbrica, el controlador del adaptador de red inalámbrica debe admitir la generación de informes de todas sus funcionalidades a Windows. Compruebe que el controlador del adaptador de red inalámbrica esté escrito para las funcionalidades del sistema operativo. Asegúrese también de que el controlador sea la versión más actual comprobando Microsoft Update o el sitio web del proveedor del adaptador de red inalámbrica.
En la tabla siguiente, se muestran las frecuencias y velocidades de transmisión de los estándares inalámbricos IEEE 802.11 comunes.
| Estándares | Frecuencias | Velocidades de transmisión de bits | Uso |
|---|---|---|---|
| 802.11 | Intervalo de frecuencia industrial, científico y médico (ISM) de banda S (2,4 a 2,5 GHz) | 2 megabits por segundo (Mbps) | Obsoleto. No se suele utilizar. |
| 802.11b | ISM de banda S | 11 Mbps | De uso común. |
| 802.11a | ISM de banda C (de 5,725 a 5,875 GHz) | 54 Mbps | Normalmente no se usa debido al gasto y un alcance limitado. |
| 802.11g | ISM de banda S | 54 Mbps | Ampliamente utilizado. Los dispositivos 802.11g son compatibles con los dispositivos 802.11b. |
| 802.11n \2,4 y 5,0 GHz | ISM de banda C y banda S | 250 MBps | Los dispositivos basados en el estándar IEEE 802.11n de ratificación previa están disponibles desde agosto de 2007. Muchos dispositivos 802.11n son compatibles con dispositivos 802.11a, b y g. |
| 802.11ac | 5 GHz | 6,93 Gbps | 802.11ac, aprobado por IEEE en 2014, es más escalable y más rápido que 802.11n, y se implementa donde los AP y los clientes inalámbricos lo admitan. |
Métodos de seguridad de red inalámbrica
Los métodos de seguridad de red inalámbrica son una agrupación informal de la autenticación inalámbrica (a veces llamada seguridad inalámbrica) y el cifrado de seguridad inalámbrico. La autenticación inalámbrica y el cifrado se usan en pares para evitar que los usuarios no autorizados accedan a la red inalámbrica y para proteger las transmisiones inalámbricas.
Al configurar las opciones de seguridad inalámbrica en las directivas de red inalámbrica de la directiva de grupo, hay varias combinaciones entre las que elegir. Sin embargo, solo se admiten los estándares de autenticación WPA2-Enterprise, WPA-Enterprise y Open con 802.1X para implementaciones inalámbricas 802.1X autenticadas.
Nota
Al configurar las directivas de red inalámbrica, debe seleccionar WPA2-Enterprise, WPA-Enterprise u Open con 802.1X para obtener acceso a la configuración de EAP necesaria para las implementaciones inalámbricas 802.1X autenticadas.
Autenticación inalámbrica
En esta guía, se recomienda el uso de los siguientes estándares de autenticación inalámbrica para implementaciones inalámbricas 802.1X autenticadas.
Acceso protegido Wi-Fi-Enterprise (WPA-Enterprise) WPA es un estándar provisional desarrollado por WiFi Alliance para cumplir con el protocolo de seguridad inalámbrica 802.11. El protocolo WPA se desarrolló en respuesta a una serie de errores graves que se detectaron en el protocolo anterior, Privacidad equivalente por cable (WEP).
WPA-Enterprise proporciona una mayor seguridad en comparación con WEP debido a lo siguiente:
Requerir autenticación que use el marco EAP 802.1X como parte de la infraestructura que garantiza la autenticación mutua centralizada y la administración dinámica de claves
Mejorar el Valor de comprobación de integridad (ICV) con Comprobación de integridad de mensajes (MIC), para proteger el encabezado y la carga
Implementar un contador de tramas para desalentar los ataques de reproducción
Acceso protegido Wi-Fi 2-Enterprise (WPA2-Enterprise) Al igual que el estándar WPA-Enterprise, WPA2-Enterprise usa 802.1X y el marco EAP. WPA2-Enterprise proporciona una protección de datos más sólida para varios usuarios y redes administradas de gran tamaño. WPA2-Enterprise es un protocolo sólido diseñado para evitar el acceso a la red no autorizado mediante la comprobación de los usuarios de red con un servidor de autenticación.
Cifrado de seguridad inalámbrico
El cifrado de seguridad inalámbrico se usa para proteger las transmisiones inalámbricas que se envían entre el cliente inalámbrico y el AP inalámbrico. El cifrado de seguridad inalámbrico se usa junto con el método de autenticación de seguridad de red seleccionado. De manera predeterminada, los equipos que ejecutan Windows 10, Windows 8.1 y Windows 8 admiten dos estándares de cifrado:
El Protocolo de integridad de clave temporal (TKIP) es un protocolo de cifrado antiguo diseñado originalmente para proporcionar un cifrado inalámbrico más seguro que el proporcionado por el protocolo Privacidad equivalente por cable (WEP), inherentemente débil. TKIP fue diseñado por el grupo de tareas IEEE 802.11i y Wi-Fi Alliance para reemplazar WEP sin necesidad de reemplazar el hardware heredado. TKIP es un conjunto de algoritmos que encapsula la carga WEP y permite a los usuarios de equipos WiFi heredados actualizar a TKIP sin reemplazar el hardware. Al igual que WEP, TKIP usa el algoritmo de cifrado de flujo RC4 como base. Sin embargo, el nuevo protocolo cifra cada paquete de datos con una clave de cifrado única y las claves son mucho más seguras que las del protocolo WEP. Aunque TKIP es útil para actualizar la seguridad en dispositivos más antiguos diseñados para usar solo WEP, no aborda todos los problemas de seguridad que se encuentran las redes LAN inalámbricas y, en la mayoría de los casos, no es lo suficientemente sólido para proteger las transmisiones confidenciales de datos gubernamentales o corporativos.
Estándar de cifrado avanzado (AES) es el protocolo de cifrado preferido para el cifrado de datos comerciales y gubernamentales. AES ofrece un mayor nivel de seguridad de transmisión inalámbrica que TKIP y WEP. A diferencia de TKIP y WEP, AES requiere hardware inalámbrico que admita el estándar AES. AES es un estándar de cifrado de clave simétrica que usa tres cifrados de bloques, AES-128, AES-192 y AES-256.
En Windows Server 2016, están disponibles para su configuración los siguientes métodos de cifrado inalámbrico basados en AES en las propiedades del perfil inalámbrico al seleccionar el método de autenticación WPA2-Enterprise, que es el recomendado.
- AES-CCMP. El protocolo de código de autenticación de mensajes (CCMP) de encadenamiento de bloques de cifrado de modo contador implementa el estándar 802.11i y está diseñado para un cifrado de seguridad superior al proporcionado por WEP y usa claves de cifrado AES de 128 bits.
- AES-GCMP. Protocolo de modo contador de Galois (GCMP) es compatible con 802.11ac, es más eficaz que AES-CCMP y proporciona un mejor rendimiento para los clientes inalámbricos. GCMP usa claves de cifrado AES de 256 bits.
Importante
Privacidad equivalente por cable (WEP) fue el estándar de seguridad inalámbrica original que se usó para cifrar el tráfico de red. No debe implementar WEP en la red porque hay vulnerabilidades conocidas en esta forma de seguridad obsoleta.
Active Directory Domain Services (AD DS)
AD DS proporciona una base de datos distribuida que almacena y administra información acerca de los recursos de red y datos específicos de las aplicaciones habilitadas para el uso de directorios. Los administradores pueden usar AD DS para organizar los elementos de una red (por ejemplo, los usuarios, los equipos y otros dispositivos) en una estructura de contención jerárquica. La estructura de contención jerárquica incluye el bosque de Active Directory, los dominios del bosque y las unidades organizativas de cada dominio. Un servidor que ejecuta AD DS se llama controlador de dominio.
AD DS contiene las cuentas de usuario, las cuentas de equipo y las propiedades de cuenta requeridas por IEEE 802.1X y PEAP-MS-CHAP v2 para autenticar las credenciales de usuario y evaluar la autorización de las conexiones inalámbricas.
Usuarios y equipos de Active Directory
Usuarios y equipos de Active Directory es un componente de AD DS que contiene cuentas que representan entidades físicas, como un equipo, una persona o un grupo de seguridad. Un grupo de seguridad es una colección de cuentas de usuario o de equipo que los administradores pueden gestionar como una sola unidad. Las cuentas de usuario y de equipo que pertenecen a un grupo determinado se llaman miembros del grupo.
Administración de directivas de grupo
Administración de directivas de grupo permite la administración de configuraciones y cambios basados en directorios de la configuración del usuario y del equipo, incluida la seguridad y la información del usuario. Use la directiva de grupo para definir configuraciones para grupos de usuarios y equipos. Con la directiva de grupo, puede especificar la configuración de las entradas del Registro, la seguridad, la instalación de software, los scripts, el redireccionamiento de carpetas, los servicios de instalación remota y el mantenimiento de Internet Explorer. La configuración de la directiva de grupo que cree se encuentra en un objeto de directiva de grupo (GPO). Puede asociar un GPO con los contenedores del sistema de Active Directory seleccionados (sitios, dominios y UO) para aplicar la configuración del GPO a los usuarios y equipos de esos contenedores de Active Directory. Para administrar objetos de directiva de grupo en una empresa, puede usar el Microsoft Management Console (MMC) del Editor de administración de directivas de grupo.
En esta guía, se proporcionan instrucciones detalladas sobre cómo especificar la configuración en la extensión de directivas de red inalámbrica (IEEE 802.11) de la administración de directivas de grupo. Las directivas de red inalámbrica (IEEE 802.11) configuran los equipos cliente inalámbricos miembros del dominio con la conectividad necesaria y la configuración inalámbrica para el acceso inalámbrico 802.1X autenticado.
Certificados de servidor
Este escenario de implementación requiere certificados de servidor para cada servidor NPS que realice la autenticación 802.1X.
Un certificado de servidor es un documento digital que se usa normalmente para la autenticación y para proteger la información en redes abiertas. Un certificado enlaza de manera segura una clave pública a la entidad que contiene la clave privada correspondiente. Los certificados están firmados digitalmente por la CA emisora y se pueden emitir para un usuario, un equipo o un servicio.
Una entidad de certificación (CA) es una entidad responsable de establecer y garantizar la autenticidad de las claves públicas que pertenecen a los firmantes (por lo general, usuarios o equipos) o a otras CA. Entre las actividades de una entidad de certificación, se pueden incluir el enlace de claves públicas a nombres distintivos mediante certificados firmados, la administración de números de serie de certificados y la revocación de certificados.
Servicios de certificados de Active Directory (AD CS) es un rol del servidor que emite certificados como una CA de red. Una infraestructura de certificados de AD CS, también llamada infraestructura de clave pública (PKI), proporciona servicios personalizables para emitir y administrar certificados para la empresa.
EAP, PEAP y PEAP-MS-CHAP v2
El Protocolo de autenticación extensible (EAP) extiende el Protocolo punto a punto (PPP) permitiendo métodos de autenticación adicionales que usan intercambios de credenciales y de información de longitudes arbitrarias. Con la autenticación EAP, tanto el cliente de acceso a redes como el autenticador (por ejemplo, el servidor NPS) deben admitir el mismo tipo de EAP para que la autenticación se lleve a cabo correctamente. Windows Server 2016 incluye una infraestructura EAP, admite dos tipos de EAP y la capacidad de pasar mensajes EAP a los NPS. Mediante el uso de EAP, puede admitir otros esquemas de autenticación, llamados tipos de EAP. Los tipos de EAP admitidos por Windows Server 2016 son:
Seguridad de la capa de transporte (TLS)
Protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2)
Importante
Los tipos de EAP seguros (como aquellos basados en certificados) ofrecen una mayor seguridad frente a los ataques por fuerza bruta, los ataques de diccionario y los ataques de averiguación de contraseñas que los protocolos de autenticación basados en contraseñas (tales como CHAP o la versión 1 de MS-CHAP).
EAP protegido (PEAP) usa TLS para crear un canal cifrado entre un cliente PEAP autenticado, como un equipo inalámbrico, y un autenticador PEAP, como un NPS u otros servidores RADIUS. PEAP no especifica ningún método de autenticación, sino que proporciona seguridad adicional para otros protocolos de autenticación EAP, (como EAP-MSCHAP v2) que pueden operar a través del canal cifrado TLS que proporciona PEAP. PEAP se usa como un método de autenticación para clientes de acceso que se conectan a la red de la organización mediante los siguientes tipos de servidores de acceso a la red (NAS):
Puntos de acceso inalámbrico compatibles con 802.1X
Conmutadores de autenticación compatibles con 802.1X
Equipos que ejecutan Windows Server 2016 y el Servicio de acceso remoto (RAS) configurados como servidores de red privada virtual (VPN), servidores de DirectAccess o ambos
Equipos que ejecutan Windows Server 2016 y Servicios de Escritorio remoto
PEAP-MS-CHAP v2 es más fácil de implementar que EAP-TLS porque la autenticación de usuarios se realiza con credenciales basadas en contraseñas (nombre de usuario y contraseña) en lugar de certificados o tarjetas inteligentes. Solo NPS u otros servidores RADIUS deben disponer de un certificado. NPS usa el certificado de NPS durante el proceso de autenticación para demostrar su identidad a los clientes PEAP.
En esta guía, se proporcionan instrucciones para configurar los clientes inalámbricos y los NPS para usar PEAP-MS-CHAP v2 para el acceso autenticado 802.1X.
Servidor de directivas de redes
El Servidor de directivas de redes (NPS) permite configurar y administrar de forma centralizada las directivas de redes mediante el servidor del Servicio de autenticación remota telefónica de usuario (RADIUS) y el proxy RADIUS. NPS es necesario para implementar el acceso inalámbrico 802.1X.
Al configurar los puntos de acceso inalámbrico 802.1X como clientes RADIUS en NPS, NPS procesa las solicitudes de conexión enviadas por los AP. Durante el procesamiento de las solicitudes de conexión, NPS realiza la autenticación y la autorización. La autenticación determina si el cliente ha presentado credenciales válidas. Si NPS autentica correctamente al cliente solicitante, NPS determina si el cliente está autorizado para realizar la conexión solicitada y permite o deniega la conexión. Esto se explica con más detalle a continuación:
Authentication
Una autenticación mutua de PEAP-MS-CHAP v2 correcta tiene dos partes principales:
El cliente autentica al NPS. Durante esta fase de la autenticación mutua, NPS envía su certificado de servidor al equipo cliente para que el cliente pueda comprobar la identidad del NPS con el certificado. Para autenticar correctamente al NPS, el equipo cliente debe confiar en la entidad de certificación que emitió el certificado del NPS. El cliente confía en esta entidad de certificación cuando el certificado de la entidad de certificación está presente en el almacén de certificados de entidades de certificación raíz de confianza en el equipo cliente.
Si implementa su propia entidad de certificación privada, el certificado de entidad de certificación se instala automáticamente en el almacén de certificados de entidades de certificación raíz de confianza del usuario actual y del equipo local cuando se actualiza la directiva de grupo en el equipo cliente miembro del dominio. Si decide implementar certificados de servidor de una entidad de certificación pública, asegúrese de que el certificado de entidad de certificación pública ya esté en el almacén de certificados de entidades de certificación raíz de confianza.
NPS autentica al usuario. Después de que el cliente autentique correctamente al NPS, el cliente envía las credenciales basadas en contraseña del usuario al NPS, que comprueba las credenciales del usuario en la base de datos de cuentas de usuario de Active Directory Domain Services (AD DS).
Si las credenciales son válidas y la autenticación se realiza correctamente, NPS inicia la fase de autorización del procesamiento de la solicitud de conexión. Si las credenciales no son válidas y se produce un error en la autenticación, NPS envía un mensaje de rechazo de acceso y se deniega la solicitud de conexión.
Authorization
El servidor que ejecuta NPS realiza la autorización de la siguiente manera:
NPS comprueba si hay restricciones en las propiedades de acceso telefónico de la cuenta de usuario o de equipo en AD DS. Cada cuenta de usuario y equipo de Usuarios y equipos de Active Directory incluye varias propiedades, incluidas las que se encuentran en la pestaña Acceso telefónico. En esta pestaña, en Permiso de acceso a la red, si el valor es Permitir acceso, el usuario o equipo está autorizado para conectarse a la red. Si el valor es Denegar acceso, el usuario o equipo no está autorizado para conectarse a la red. Si el valor es Controlar el acceso mediante la directiva de red de NPS, NPS evalúa las directivas de red configuradas para determinar si el usuario o el equipo está autorizado para conectarse a la red.
A continuación, NPS procesa las directivas de red para buscar una directiva que coincida con la solicitud de conexión. Si se encuentra una directiva coincidente, NPS concede o deniega la conexión en función de la configuración de esa directiva.
Si la autenticación y la autorización son correctas y si la directiva de red coincidente concede acceso, NPS concede acceso a la red y el usuario y el equipo pueden conectarse a los recursos de red para los que tienen permisos.
Nota
Para implementar el acceso inalámbrico, debe configurar directivas de NPS. En esta guía, se proporcionan instrucciones para usar el Asistente para configurar 802.1X en NPS para crear directivas de NPS para el acceso inalámbrico 802.1X autenticado.
Perfiles de arranque
En las redes inalámbricas autenticadas con 802.1X, los clientes inalámbricos deben proporcionar credenciales de seguridad autenticadas por un servidor RADIUS para conectarse a la red. Para EAP protegido [PEAP]-Protocolo de autenticación por desafío mutuo de Microsoft versión 2 [MS-CHAP v2], las credenciales de seguridad son un nombre de usuario y una contraseña. Para EAP-Seguridad de la capa de transporte [TLS] o PEAP-TLS, las credenciales de seguridad son certificados, como certificados de usuario de cliente y de equipo o tarjetas inteligentes.
Al conectarse a una red configurada para realizar la autenticación PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS, de manera predeterminada, los clientes inalámbricos Windows también deben validar un certificado de equipo enviado por el servidor RADIUS. El certificado de equipo que envía el servidor RADIUS para cada sesión de autenticación se conoce normalmente como certificado de servidor.
Como se mencionó anteriormente, puede emitir para los servidores RADIUS su certificado de servidor de una de estas dos maneras: desde una entidad de certificación comercial (como VeriSign, Inc.) o desde una entidad de certificación privada que implemente en la red. Si el servidor RADIUS envía un certificado de equipo emitido por una entidad de certificación comercial que ya tiene un certificado raíz instalado en el almacén de certificados de entidades de certificación raíz de confianza del cliente, el cliente inalámbrico puede validar el certificado de equipo del servidor RADIUS, independientemente de si el cliente inalámbrico se ha unido al dominio de Active Directory. En este caso, el cliente inalámbrico puede conectarse a la red inalámbrica y, a continuación, puede unir el equipo al dominio.
Nota
El comportamiento que requiere que el cliente valide el certificado de servidor se puede deshabilitar, pero no se recomienda deshabilitar la validación de certificados de servidor en entornos de producción.
Los perfiles de arranque inalámbrico son perfiles temporales que están configurados de forma que permitan a los usuarios del cliente inalámbrico conectarse a la red inalámbrica 802.1X autenticada antes de que el equipo se una al dominio y/o antes de que el usuario haya iniciado sesión correctamente en el dominio mediante un equipo inalámbrico determinado por primera vez. En esta sección, se resume el problema que se produce al intentar unir un equipo inalámbrico al dominio o para que un usuario use un equipo inalámbrico unido a un dominio por primera vez para iniciar sesión en el dominio.
En el caso de las implementaciones en las que el usuario o el administrador de TI no pueden conectar físicamente un equipo a la red Ethernet cableada para unir el equipo al dominio, y el equipo no tiene el certificado de CA raíz necesario instalado en el almacén de certificados Entidades de certificación raíz de confianza, puede configurar clientes inalámbricos con un perfil de conexión inalámbrica temporal, llamado perfil de arranque, para conectarse a la red inalámbrica.
Un perfil de arranque elimina el requisito de validar el certificado de equipo del servidor RADIUS. Esta configuración temporal permite al usuario inalámbrico unir el equipo al dominio, en cuyo momento se aplican las directivas de red inalámbrica (IEEE 802.11) y el certificado de CA raíz adecuado se instala automáticamente en el equipo.
Cuando se aplica la directiva de grupo, se aplican uno o varios perfiles de conexión inalámbrica que aplican el requisito de autenticación mutua en el equipo; el perfil de arranque ya no es necesario y se quita. Después de unir el equipo al dominio y reiniciar el equipo, el usuario puede usar una conexión inalámbrica para iniciar sesión en el dominio.
Para obtener información general sobre el proceso de implementación del acceso inalámbrico mediante estas tecnologías, consulte Información general sobre la implementación del acceso inalámbrico.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de