Autenticación, autorización y contabilidad radius
Nota
A partir de Windows Server 2008, se cambió el nombre del servicio de autenticación de Internet (IAS). El contenido de este tema se aplica tanto a IAS como a NPS. A lo largo del texto, NPS se usa para hacer referencia a todas las versiones del servicio, incluidas las versiones a las que se hace referencia originalmente como IAS.
NPS es totalmente compatible con el protocolo servicio de usuario de acceso telefónico local (RADIUS) de autenticación remota. El protocolo RADIUS es el estándar de facto para la autenticación remota de usuarios y se documenta en RFC 2865 y RFC 2866.
Autenticación y autorización RADIUS
En el diagrama siguiente se muestra un cliente de autenticación ("Usuario") que se conecta a un servidor de acceso a la red (NAS) a través de una conexión de acceso telefónico, mediante el Protocolo de punto a punto (PPP). Para autenticar al usuario, el NAS se pone en contacto con un servidor remoto que ejecuta NPS. El NAS y el servidor NPS se comunican mediante el protocolo RADIUS.
Un NAS funciona como un cliente de un servidor o servidores que admiten el protocolo RADIUS. Los servidores que admiten el protocolo RADIUS se conocen generalmente como servidores RADIUS. El cliente RADIUS, es decir, el NAS, pasa información sobre el usuario a los servidores RADIUS designados y, a continuación, actúa en la respuesta que devuelven los servidores. La solicitud enviada por el NAS al servidor RADIUS para autenticar al usuario suele denominarse "solicitud de autenticación".
Si un servidor RADIUS autentica correctamente al usuario, el servidor RADIUS devuelve información de configuración al NAS para que pueda proporcionar servicio de red al usuario. Esta información de configuración se compone de "autorizaciones" y contiene, entre otros, el tipo de servicio NAS puede proporcionar al usuario (por ejemplo, PPP o telnet).
Mientras el servidor RADIUS está procesando la solicitud de autenticación, puede realizar funciones de autorización como comprobar el número de teléfono del usuario y comprobar si el usuario ya tiene una sesión en curso. El servidor RADIUS puede determinar si el usuario ya tiene una sesión en curso poniéndose en contacto con un servidor de estado.
Para obtener más información sobre la autenticación y autorización RADIUS, consulte RFC 2865.
Contabilidad radius
El servidor RADIUS también recopila una variedad de información enviada por el NAS que se puede usar para contabilidad e informes sobre la actividad de red. El cliente RADIUS envía información a los servidores RADIUS designados cuando el usuario inicia sesión y cierra sesión. El cliente RADIUS puede enviar información de uso adicional periódicamente mientras la sesión está en curso. Las solicitudes enviadas por el cliente al servidor para registrar el inicio de sesión o el inicio de sesión y la información de uso generalmente se denominan "solicitudes de contabilidad".
Para obtener más información sobre la contabilidad RADIUS, consulte RFC 2866.
Proxy RADIUS
Un servidor RADIUS puede actuar como un cliente proxy a otros servidores RADIUS. En estos casos, el servidor RADIUS contactado por el NAS pasa la solicitud de autenticación o contabilidad a otro servidor RADIUS que realiza realmente la autenticación o la tarea de contabilidad.
Temas relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de