Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Puoi utilizzare questo argomento per ottenere una panoramica sull'uso dei nomi dell'area di autenticazione nell'elaborazione delle richieste di connessione da parte del server dei criteri di rete.
L'attributo RADIUS User-Name è una stringa di caratteri che in genere contiene una posizione dell'account utente e un nome account utente. L'ubicazione dell'account utente è anche chiamata realm o nome del realm ed è sinonimo del concetto di dominio, inclusi domini DNS, domini di Active Directory® e domini di Windows NT 4.0. Ad esempio, se un account utente si trova nel database degli account utente per un dominio denominato example.com, example.com è il nome dell'area di autenticazione.
In un altro esempio, se l'attributo RADIUS User-Name contiene il nome utente user1@example.com, user1 è il nome dell'account utente e example.com è il nome dell'area di autenticazione. I nomi di dominio possono essere presentati nel nome utente come prefisso o come suffisso.
Example\user1. In this example, the realm name Example is a prefix; and it is also the name of an Active Directory® Domain Services (AD DS) domain.
user1@example.com. In this example, the realm name example.com is a suffix; and it is either a DNS domain name or the name of an AD DS domain.
È possibile usare i nomi dell'area di autenticazione configurati nei criteri di richiesta di connessione durante la progettazione e la distribuzione dell'infrastruttura RADIUS per garantire che le richieste di connessione vengano instradate dai client RADIUS, detti anche server di accesso alla rete, ai server RADIUS in grado di autenticare e autorizzare la richiesta di connessione.
Quando NPS è configurato come server RADIUS con i criteri di richiesta di connessione predefiniti, NPS elabora le richieste di connessione per il dominio in cui il server dei criteri di rete è un membro e per i domini attendibili.
Per configurare NPS in modo da fungere da proxy RADIUS e inoltrare le richieste di connessione a domini non attendibili, è necessario creare un nuovo criterio di richiesta di connessione. Nei nuovi criteri di richiesta di connessione è necessario configurare l'attributo User Name con il nome dell'area di autenticazione che sarà contenuto nell'attributo User-Name delle richieste di connessione da inoltrare. È inoltre necessario configurare i criteri di richiesta di connessione con un gruppo di server RADIUS remoto. I criteri di richiesta di connessione consentono a NPS di calcolare le richieste di connessione da inoltrare al gruppo di server RADIUS remoto in base alla parte dell'area di autenticazione dell'attributo User-Name.
Acquisizione del nome del regno
La porzione del nome del dominio nel nome utente viene fornita quando l'utente digita le credenziali basate su password durante un tentativo di connessione, oppure quando un profilo del Gestore connessioni (CM) sul computer dell'utente è configurato per fornire automaticamente il nome del dominio.
È possibile richiedere che gli utenti della rete forniscano il nome del dominio durante i tentativi di connessione di rete.
For example, you can require users to type their user name, including the user account name and the realm name, in User name in the Connect dialog box when making a dial-up or virtual private network (VPN) connection.
Inoltre, se si crea un pacchetto di composizione personalizzato con CMAK (Connection Manager Administration Kit) è possibile aiutare gli utenti aggiungendo automaticamente il nome dell'area di autenticazione al nome dell'account utente nei profili CM installati nei computer degli utenti. Ad esempio, è possibile specificare un nome dell'area di autenticazione e una sintassi del nome utente nel profilo CM in modo che l'utente debba specificare solo il nome dell'account utente durante la digitazione delle credenziali. In questa circostanza, l'utente non deve conoscere o ricordare il dominio in cui si trova l'account utente.
Durante il processo di autenticazione, dopo che gli utenti digitano le credenziali basate su password, il nome utente viene passato dal client di accesso al server di accesso alla rete. Il server di accesso alla rete costruisce una richiesta di connessione e include il nome del realm all'interno dell'attributo RADIUS User-Name nel messaggio di richiesta di accesso inviato al proxy o al server RADIUS.
Se il server RADIUS è un server NPS, il messaggio di richiesta di accesso viene valutato rispetto al set di criteri di richiesta di connessione configurati. Le condizioni per i criteri di richiesta di connessione possono includere la specifica del contenuto dell'attributo User-Name.
È possibile configurare un set di criteri di richiesta di connessione specifici per il nome del realm all'interno dell'attributo User-Name dei messaggi in arrivo. In questo modo, è possibile creare regole di routing che inoltrano messaggi RADIUS con un nome di realm specifico a un set specifico di server RADIUS quando il Server dei criteri di rete (NPS) viene usato come proxy RADIUS.
Regole di manipolazione degli attributi
Prima che il messaggio RADIUS venga elaborato localmente (quando NPS viene usato come server RADIUS) o inoltrato a un altro server RADIUS (quando NPS viene usato come proxy RADIUS), l'attributo User-Name nel messaggio può essere modificato dalle regole di manipolazione degli attributi. You can configure attribute manipulation rules for the User-Name attribute by selecting User name on the Conditions tab in the properties of a connection request policy. Le regole di manipolazione degli attributi NPS usano la sintassi delle espressioni regolari.
Note
La manipolazione del Realm non funziona con PEAP.
Il comportamento desiderato può essere eseguito passando a EAP-TLS o EAP-MSCHAPv2 per l'autenticazione o aggiungendo un suffisso UPN al dominio per ogni nome di dominio aggiuntivo che è necessario risolvere.
È possibile configurare le regole di manipolazione degli attributi per l'attributo User-Name per modificare quanto segue:
Rimuovere il nome dell'area di autenticazione dal nome utente (noto anche come rimozione dell'area di autenticazione). Ad esempio, il nome utente user1@example.com viene modificato in user1.
Modificare il nome del realm ma non la relativa sintassi. Ad esempio, il nome utente user1@example.com viene modificato in user1@wcoast.example.com.
Modificare la sintassi del nome dell'ambito. Ad esempio, il nome utente example\user1 viene modificato in user1@example.com.
Dopo aver modificato l'attributo User-Name in base alle regole di modifica degli attributi configurate, vengono usate impostazioni aggiuntive dei primi criteri di richiesta di connessione corrispondenti per determinare se:
NPS elabora il messaggio di richiesta di accesso in locale (quando NPS viene usato come server RADIUS).
NPS inoltra il messaggio a un altro server RADIUS (quando NPS viene usato come proxy RADIUS).
Configurazione del nome di dominio fornito da NPS
Quando il nome utente non contiene un nome di dominio, NPS ne fornisce uno. Per impostazione predefinita, il nome di dominio fornito da NPS è il dominio di cui NPS è membro. È possibile specificare il nome di dominio fornito da NPS tramite l'impostazione del registro seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Caution
È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.
Alcuni server di accesso alla rete non Microsoft eliminano o modificano il nome di dominio come specificato dall'utente. Di conseguenza, la richiesta di accesso alla rete viene autenticata nel dominio predefinito, che potrebbe non essere il dominio per l'account dell'utente. Per risolvere questo problema, configurare i server RADIUS per modificare il nome utente nel formato corretto con il nome di dominio accurato.