Pianificare e implementare NPS
NPS esegue l'autenticazione centralizzata della connessione, l'autorizzazione e la contabilità per server Gateway RD, commutatori di autenticazione, VPN e connessioni remote. Ma Contoso deve prima configurare i criteri di rete usati dal server NPS per autorizzare richieste di connessione, nonché per configurare l'accounting RADIUS in modo che il server NPS registri le informazioni di accounting in file di registro sul disco rigido locale oppure in un database di Microsoft SQL Server.
Scegliere un metodo di autenticazione NPS
Il server NPS esegue l'autenticazione e l'autorizzazione di una richiesta di connessione prima di consentire o negare l'accesso quando un utente tenta di connettersi alla rete tramite NAS. Quando si distribuisce un server NPS, è possibile specificare il tipo di metodo di autenticazione richiesto per l'accesso in rete.
La tecnologia NPS supporta i metodi di autenticazione seguenti:
- PAP
- SPAP (Shiva Password Authentication Protocol)
- CHAP
- MS-CHAP
- MS-CHAP v2
- EAP
Suggerimento
Se si sceglie EAP come metodo di autenticazione, la negoziazione del tipo EAP viene effettuata tra il client di accesso e il server NPS.
Attenzione
Non è consigliabile usare i metodi PAP, SPAP, CHAP o MS-CHAP in un ambiente di produzione poiché non sono considerati per niente sicuri.
Accounting NPS
È necessario anche stabilire come configurare la procedura di registrazione per il server NPS. Le richieste di accounting e di autenticazione utente, ad esempio, possono essere registrate in file di log in formato testo o database oppure in una stored procedure di un database Microsoft SQL Server. La registrazione delle richieste può essere usata principalmente a scopo di analisi delle connessioni e di fatturazione e come strumento di indagine della sicurezza, poiché consente di rilevare le attività di eventuali pirati informatici.
Configurare i criteri in NPS
Il server NPS supporta i criteri di richiesta di connessione e i criteri di rete descritti nella tabella seguente.
| TIPO | Description |
|---|---|
| Criteri di richiesta di connessione | I criteri di richiesta di connessione consentono di scegliere se il server NPS locale deve elaborare in modo autonomo le richieste di connessione oppure inviarle a un altro server RADIUS per l'elaborazione |
| Criteri di rete | I criteri di rete consentono di definire quali utenti sono autorizzati a connettersi alla rete e le circostanze in cui possono o non possono connettersi. |
Definire i criteri di rete
I criteri di rete sono costituiti da un set di condizioni, vincoli e impostazioni che consentono di definire gli utenti che saranno autorizzati a connettersi alla rete e le circostanze in cui potranno o non potranno connettersi. Tutti i criteri di rete presentano quattro categorie di proprietà.
| Proprietà | Description |
|---|---|
| Informazioni generali | Le proprietà di panoramica consentono di specificare se i criteri sono abilitati, se concedono o negano l'accesso e se le richieste di connessione richiedono un determinato metodo di connessione in rete o un particolare tipo di server di accesso alla rete. Consentono inoltre di specificare se si vuole che vengano ignorate le proprietà di connessione remota degli account utente in AD DS. Se si seleziona questa opzione, NPS userà solo le impostazioni dei criteri di rete per determinare se autorizzare o meno la connessione. |
| Conditions | Queste proprietà consentono di specificare le condizioni che una richiesta di connessione deve soddisfare per rispondere ai criteri di rete. Se una richiesta di connessione soddisfa le condizioni configurate nei criteri, NPS applica alla connessione le impostazioni dei criteri di rete. Se, ad esempio, si specifica l'indirizzo IPv4 del server di accesso alla rete (indirizzo IPv4 NAS) come condizione dei criteri di rete e NPS riceve una richiesta di connessione da un server NAS con l'indirizzo IP specificato, la richiesta di connessione corrisponde alle condizioni stabilite nei criteri. |
| Constraints | I vincoli sono parametri aggiuntivi dei criteri di rete necessari per autorizzare una richiesta di connessione. Se la richiesta di connessione non corrisponde a un vincolo, il server NPS rifiuta automaticamente la richiesta. A differenza della risposta NPS in caso di condizioni non rispettate in rete, nel caso in cui non venga rispettato un vincolo, NPS non valuta i criteri di rete aggiuntivi e nega la richiesta di connessione. |
| Settings | Le proprietà delle impostazioni consentono di specificare le impostazioni che il server NPS applica alla richiesta di connessione, supponendo che tutte le condizioni dei criteri di rete siano soddisfate e che la richiesta venga accettata. |
Importante
Quando si distribuisce per la prima volta il ruolo NPS, i due criteri di rete predefiniti negano l'accesso remoto a tutti i tentativi di connessione. È quindi possibile configurare criteri di rete aggiuntivi per gestire i tentativi di connessione.
Se il server NPS autorizza una richiesta di connessione, confronta la richiesta con tutti i criteri di rete presenti nell'elenco ordinato dei criteri, a partire dal primo e passando via via a quelli successivi. Se il server NPS rileva dei criteri alle cui condizioni corrisponde la richiesta di connessione, NPS usa i criteri di corrispondenza e le proprietà di connessione dell'account utente per autorizzare la richiesta. Se si configurano le proprietà di connessione remota dell'account utente per concedere o controllare l'accesso tramite criteri di rete e la richiesta di connessione è autorizzata, il server NPS applica alla connessione le impostazioni configurate nei criteri di rete alla connessione:
- Se invece il server NPS non trova criteri di rete corrispondenti alla richiesta di connessione, la connessione viene rifiutata.
- Se le proprietà di connessione dell'account utente sono impostate in modo da negare l'accesso, il server NPS rifiuterà comunque la richiesta di connessione,
come illustrato nella figura seguente:
