Planear NPS como proxy RADIUS

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Al implementar el servidor de directivas de redes (NPS) como proxy de servicio de autenticación remota telefónica de usuario (RADIUS), el NPS recibe solicitudes de conexión de clientes RADIUS, como servidores de acceso a la red u otros servidores proxy RADIUS y, a continuación, reenvía estas solicitudes de conexión a servidores que ejecutan NPS u otros servidores RADIUS. Puede usar estas directrices de planificación para simplificar la implementación de RADIUS.

Estas directrices de planificación no incluyen circunstancias en las que se desea implementar el NPS como un servidor RADIUS. Al implementar el NPS como un servidor RADIUS, el NPS realiza la autenticación, la autorización y la contabilización de cuentas de las solicitudes de conexión para el dominio local y para los dominios que confían en el dominio local.

Antes de implementar el NPS como un proxy RADIUS en la red, siga las instrucciones siguientes para planificar la implementación.

  • Planifique la configuración del NPS.

  • Planifique los clientes RADIUS.

  • Planifique los grupos de servidores RADIUS remotos.

  • Planifique las reglas de manipulación de atributos para el reenvío de mensajes.

  • Planifique las directivas de solicitud de conexión.

  • Planifique la contabilización de cuentas del NPS.

Planifique la configuración del NPS.

Cuando se usa el NPS como un proxy RADIUS, el NPS reenvía las solicitudes de conexión a un NPS o a otros servidores RADIUS para su procesamiento. Por este motivo, la pertenencia al dominio del proxy NPS es irrelevante. No es necesario registrar el proxy en los Servicios de dominio de Active Directory (AD DS) porque no necesita acceso a las propiedades de marcación de las cuentas de usuario. Además, no es necesario configurar directivas de red en un proxy NPS porque el proxy no autoriza las solicitudes de conexión. El proxy NPS puede ser miembro de dominio o puede ser un servidor independiente sin pertenencia a un dominio.

El NPS debe configurarse para comunicarse con los clientes de RADIUS, también denominados servidores de acceso a la red, mediante el protocolo RADIUS. Además, puede configurar los tipos de eventos que el NPS registra en el registro de eventos y puede escribir una descripción para el servidor.

Pasos clave

Durante la planificación de la configuración del proxy NPS, puede seguir los pasos siguientes.

  • Determine los puertos RADIUS que usa el proxy NPS para recibir mensajes RADIUS de clientes RADIUS y para enviar mensajes RADIUS a miembros de grupos de servidores RADIUS remotos. Los puertos predeterminados del Protocolo de datagramas de usuario (UDP) son 1812 y 1645 para los mensajes de autenticación RADIUS y los puertos UDP 1813 y 1646 para los mensajes de contabilidad RADIUS.

  • Si el proxy NPS está configurado con varios adaptadores de red, determine los adaptadores sobre los que desea que se permita el tráfico RADIUS.

  • Determine los tipos de eventos que desea que el NPS registre en el registro de eventos. Puede registrar solicitudes de conexión rechazadas, solicitudes de conexión correctas o ambas.

  • Determine si va a implementar más de un proxy NPS. Para proporcionar tolerancia a errores, use al menos dos servidores proxy NPS. Uno de los servidores proxy NPS se usa como proxy RADIUS principal y el otro se usa como copia de seguridad. A continuación, cada cliente RADIUS se configura en ambos servidores proxy NPS. Si el proxy NPS principal deja de estar disponible, los clientes RADIUS envían mensajes de solicitud de acceso al proxy NPS alternativo.

  • Planifique el script utilizado para copiar una configuración de proxy NPS a otros servidores proxy NPS para ahorrar en sobrecarga administrativa y evitar la configuración incorrecta de un servidor. NPS proporciona los comandos Netsh que permiten copiar toda (o parte de) la configuración de un proxy NPS para importarla a otro proxy NPS. Puede ejecutar los comandos manualmente en el símbolo del sistema de Netsh. Sin embargo, si guarda la secuencia de comandos como un script, puede ejecutar el script en una fecha posterior si decide cambiar las configuraciones de proxy.

Planificación de los clientes RADIUS

Los clientes RADIUS son servidores de acceso a la red, como puntos de acceso inalámbrico, servidores de red privada virtual (VPN), conmutadores compatibles con 802.1X y servidores de acceso telefónico. Los servidores proxy RADIUS, que reenvían los mensajes de solicitud de conexión a los servidores RADIUS, también son clientes RADIUS. El NPS admite todos los servidores de acceso de red y servidores proxy RADIUS que cumplen con el protocolo RADIUS, como se describe en RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" y RFC 2866, "RADIUS Accounting".

Además, tanto los puntos de acceso inalámbrico como los conmutadores deben ser compatibles con la autenticación 802.1X. Si desea implementar el protocolo de autenticación extensible (EAP) o el protocolo de autenticación extensible protegida (PEAP), los puntos de acceso y los conmutadores deben admitir el uso de EAP.

Para probar la interoperabilidad básica de las conexiones PPP para puntos de acceso inalámbrico, configure el punto de acceso y el cliente de acceso para usar el protocolo de autenticación de contraseñas (PAP). Use protocolos de autenticación adicionales basados en PPP, como PEAP, hasta que haya probado los que pretende usar para el acceso a la red.

Pasos clave

Durante la planificación de clientes RADIUS, puede seguir los pasos siguientes.

  • Documente los atributos específicos del proveedor (VSA) que debe configurar en el NPS. Si los NAS requieren VSA, registre la información de VSA para su uso posterior cuando configure las directivas de red en NPS.

  • Documente las direcciones IP de los clientes RADIUS y el proxy NPS para simplificar la configuración de todos los dispositivos. Al implementar los clientes RADIUS, debe configurarlos para que usen el protocolo RADIUS, con la dirección IP del proxy NPS especificada como servidor de autenticación. Y al configurar el NPS para comunicarse con los clientes RADIUS, debe escribir las direcciones IP del cliente RADIUS en el complemento NPS.

  • Cree secretos compartidos para la configuración en los clientes RADIUS y en el complemento NPS. Debe configurar clientes RADIUS con un secreto compartido o una contraseña, que también escribirá en el complemento NPS al configurar clientes RADIUS en el NPS.

Planificación de grupos de servidores RADIUS remotos

Al configurar un grupo de servidores RADIUS remoto en un proxy NPS, se le indica al proxy NPS dónde enviar algunos o todos los mensajes de solicitud de conexión que recibe de servidores de acceso de red y servidores proxy NPS u otros servidores proxy RADIUS.

Puede usar NPS como proxy RADIUS para reenviar solicitudes de conexión a uno o varios grupos de servidores RADIUS remotos y cada grupo puede contener uno o varios servidores RADIUS. Cuando desee que el proxy NPS reenvíe los mensajes a varios grupos, configure una directiva de solicitud de conexión por grupo. La directiva de solicitud de conexión contiene información adicional, como reglas de manipulación de atributos, que indican al proxy NPS qué mensajes enviar al grupo de servidores RADIUS remoto especificado en la directiva.

Puede configurar grupos de servidores RADIUS remotos mediante los comandos Netsh para NPS mediante la configuración de grupos directamente en el complemento NPS en Grupos de servidores RADIUS remotos o ejecutando el Asistente para nueva directiva de solicitud de conexión.

Pasos clave

Durante la planificación de grupos de servidores RADIUS remotos, puede seguir estos pasos.

  • Determine los dominios que contienen los servidores RADIUS a los que desea que el proxy NPS reenvíe las solicitudes de conexión. Estos dominios contienen las cuentas de usuario de los usuarios que se conectan a la red a través de los clientes RADIUS que implemente.

  • Determine si necesita agregar nuevos servidores RADIUS en dominios en los que RADIUS aún no está implementado.

  • Documente las direcciones IP de los servidores RADIUS que desea agregar a los grupos de servidores RADIUS remotos.

  • Determine cuántos grupos de servidores RADIUS remotos necesita crear. En algunos casos, es mejor crear un grupo de servidores RADIUS remoto por dominio y, a continuación, agregar los servidores RADIUS para el dominio al grupo. Sin embargo, puede haber casos en los que tenga una gran cantidad de recursos en un dominio, incluido un gran número de usuarios con cuentas de usuario en el dominio, un gran número de controladores de dominio y un gran número de servidores RADIUS. O bien, el dominio puede cubrir un área geográfica grande, lo que hace que tenga servidores de acceso a la red y servidores RADIUS en ubicaciones distantes entre sí. En estos y posiblemente otros casos, puede crear varios grupos de servidores RADIUS remotos por dominio.

  • Cree secretos compartidos para la configuración en el proxy NPS y en los servidores RADIUS remotos.

Planificación de las reglas de manipulación de atributos para el reenvío de mensajes

Las reglas de manipulación de atributos, que se configuran en las directivas de solicitud de conexión, permiten identificar los mensajes de solicitud de acceso que desea reenviar a un grupo de servidores RADIUS remoto específico.

Puede configurar el NPS para reenviar todas las solicitudes de conexión a un grupo de servidores RADIUS remoto sin usar reglas de manipulación de atributos.

Sin embargo, si tiene más de una ubicación a la que desea reenviar solicitudes de conexión, debe crear una directiva de solicitud de conexión para cada ubicación y después debe configurar la directiva con el grupo de servidores RADIUS remoto al que desea reenviar mensajes, así como con las reglas de manipulación de atributos que indiquen al NPS qué mensajes reenviar.

Puede crear reglas para los siguientes atributos.

  • Called-Station-ID. Número de teléfono del servidor de acceso a la red (NAS). El valor de este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área.

  • Calling-Station-ID. Número de teléfono utilizado por el autor de la llamada. El valor de este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área.

  • User-Name. Nombre de usuario que proporciona el cliente de acceso y que incluye el NAS en el mensaje Access-Request RADIUS. El valor de este atributo es una cadena de caracteres que normalmente contiene un nombre de dominio kerberos y un nombre de cuenta de usuario.

Para reemplazar o convertir correctamente los nombres de dominio kerberos en el nombre de usuario de una solicitud de conexión, debe configurar reglas de manipulación de atributos para el atributo User-Name en la directiva de solicitud de conexión correspondiente.

Pasos clave

Durante la planificación de reglas de manipulación de atributos, puede seguir los pasos siguientes.

  • Planifique el enrutamiento de mensajes desde el NAS a través del proxy a los servidores RADIUS remotos para comprobar que tiene una ruta de acceso lógica con la que reenviar mensajes a los servidores RADIUS.

  • Determine uno o varios atributos que quiera usar para cada directiva de solicitud de conexión.

  • Documente las reglas de manipulación de atributos que tiene previsto usar para cada directiva de solicitud de conexión y haga coincidir las reglas con el grupo de servidores RADIUS remoto al que se reenvían los mensajes.

Planificación de las directivas de solicitud de conexión

La directiva de solicitud de conexión predeterminada se configura para NPS cuando se usa como servidor RADIUS. Se pueden usar directivas de solicitud de conexión adicionales para definir condiciones más específicas, crear reglas de manipulación de atributos que indiquen al NPS qué mensajes reenviar a los grupos de servidores RADIUS remotos y especificar atributos avanzados. Use el Asistente para nueva directiva de solicitud de conexión para crear directivas de solicitud de conexión comunes o personalizadas.

Pasos clave

Durante la planificación de las directivas de solicitud de conexión, puede seguir los pasos siguientes.

  • Elimine la directiva de solicitud de conexión predeterminada en cada servidor que ejecute el NPS y que funcione únicamente como proxy RADIUS.

  • Planifique las condiciones y configuraciones adicionales necesarias para cada directiva, combinando esta información con el grupo de servidores RADIUS remoto y las reglas de manipulación de atributos planificadas para la directiva.

  • Diseñe el plan para distribuir directivas de solicitud de conexión comunes a todos los servidores proxy NPS. Cree directivas comunes a varios servidores proxy NPS en un NPS y, a continuación, use los comandos Netsh para NPS para importar las directivas de solicitud de conexión y la configuración del servidor en el resto de servidores proxy.

Planificación de la contabilización de cuentas del NPS

Al configurar el NPS como un proxy RADIUS, puede configurarlo para la contabilización de cuentas RADIUS mediante archivos de registro de formato NPS, archivos de registro de formato compatibles con base de datos o el registro de SQL Server de NPS.

También puede reenviar mensajes de contabilización de cuentas a un grupo de servidores RADIUS remoto que realiza la contabilización de cuentas mediante uno de estos formatos de registro.

Pasos clave

Durante la planificación de la contabilización de cuentas NPS, puede seguir los pasos siguientes.

  • Determine si desea que el proxy NPS realice servicios de contabilización de cuentas o reenvíe los mensajes de contabilización de cuentas a un grupo de servidores RADIUS remoto para la contabilización de cuentas.

  • Planifique deshabilitar la contabilización de cuentas del proxy NPS local si tiene previsto reenviar mensajes de contabilización de cuentas a otros servidores.

  • Planifique los pasos de configuración de la directiva de solicitud de conexión si tiene previsto reenviar mensajes de contabilización de cuentas a otros servidores. Si deshabilita la contabilización de cuentas local para el proxy NPS, cada directiva de solicitud de conexión que configure en ese proxy debe tener habilitado y configurado correctamente el reenvío de mensajes de contabilización de cuentas.

  • Determine el formato de registro que desea usar: archivos de registro de formato IAS, archivos de registro de formato compatibles con la base de datos o registro de SQL Server de NPS.

Para configurar el equilibrio de carga para el NPS como un proxy RADIUS, consulte Equilibrio de carga de servidor en el proxy NPS.