Pianificare Server dei criteri di rete come proxy RADIUS
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Quando si distribuisce Server dei criteri di rete (NPS) come proxy RADIUS (Remote Authentication Dial-In User Service), Server dei criteri di rete riceve le richieste di connessione dai client RADIUS, ad esempio server di accesso alla rete o altri proxy RADIUS, e quindi inoltra queste richieste di connessione ai server che eseguono Server dei criteri di rete o altri server RADIUS. È possibile usare queste linee guida per la pianificazione per semplificare la distribuzione RADIUS.
Queste linee guida di pianificazione non includono le circostanze in cui si vuole distribuire NPS come server RADIUS. Quando si distribuisce NPS come server RADIUS, server dei criteri di rete esegue l'autenticazione, l'autorizzazione e la contabilità delle richieste di connessione per il dominio locale e per i domini che considerano attendibile il dominio locale.
Prima di distribuire NPS come proxy RADIUS nella rete, usare le linee guida seguenti per pianificare la distribuzione.
Pianificare la configurazione di NPS.
Pianificare i client RADIUS.
Pianificare gruppi di server RADIUS remoti.
Pianificare le regole di manipolazione degli attributi per l'inoltro dei messaggi.
Pianificare criteri di richiesta connessione.
Pianificare la contabilità NPS.
Pianificare la configurazione di NPS
Quando si usa NPS come proxy RADIUS, Server dei criteri di rete inoltra le richieste di connessione a un NPS o ad altri server RADIUS per l'elaborazione. Per questo motivo, l'appartenenza al dominio del proxy NPS è irrilevante. Non è necessario registrare il proxy in Active Directory Domain Services (AD DS) perché non è necessario accedere alle proprietà di accesso esterno degli account utente. Inoltre, non è necessario configurare i criteri di rete in un proxy NPS perché il proxy non esegue l'autorizzazione per le richieste di connessione. Il proxy NPS può essere un membro di dominio oppure può essere un server autonomo senza appartenenza a un dominio.
NPS deve essere configurato per comunicare con i client RADIUS, detti anche server di accesso alla rete, usando il protocollo RADIUS. Inoltre, è possibile configurare i tipi di eventi registrati da NPS nel registro eventi ed è possibile immettere una descrizione per il server.
Passaggi chiave
Durante la pianificazione della configurazione del proxy NPS, è possibile seguire questa procedura.
Determinare le porte RADIUS usate dal proxy NPS per ricevere messaggi RADIUS dai client RADIUS e inviare messaggi RADIUS ai membri dei gruppi di server RADIUS remoti. Le porte UDP (User Datagram Protocol) predefinite sono 1812 e 1645 per i messaggi di autenticazione RADIUS e le porte UDP 1813 e 1646 per i messaggi di accounting RADIUS.
Se il proxy NPS è configurato con più schede di rete, determinare le schede su cui si vuole consentire il traffico RADIUS.
Determinare i tipi di eventi da registrare nel registro eventi. È possibile registrare richieste di connessione rifiutate, richieste di connessione riuscite o entrambe.
Determinare se si distribuiscono più proxy NPS. Per fornire la tolleranza di errore, usare almeno due proxy NPS. Un proxy NPS viene usato come proxy RADIUS primario e l'altro viene usato come backup. Ciascun client RADIUS viene quindi configurato in entrambi i proxy NPS. Se il proxy NPS primario non è più disponibile, i client RADIUS inviano messaggi di richiesta di accesso al proxy NPS alternativo.
Pianificare lo script usato per copiare una configurazione proxy NPS in altri proxy nps per risparmiare sul sovraccarico amministrativo e impedire la configurazione errata di un server. Server dei criteri di rete fornisce i comandi Netsh che consentono di copiare tutto o parte di una configurazione proxy NPS per l'importazione in un altro proxy NPS. È possibile eseguire manualmente i comandi al prompt di Netsh. Tuttavia, se si salva la sequenza di comandi come script, è possibile eseguire lo script in un secondo momento se si decide di modificare le configurazioni proxy.
Pianificare i client RADIUS
I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, server VPN (Virtual Private Network), switch compatibili con 802.1X e server di connessione remota. I proxy RADIUS, che inoltrano i messaggi di richiesta di connessione ai server RADIUS, sono anche client RADIUS. NPS supporta tutti i server di accesso alla rete e i proxy RADIUS conformi al protocollo RADIUS, come descritto in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" e RFC 2866, "Radius Accounting".
Inoltre, sia i punti di accesso wireless che i commutatori devono essere in grado di eseguire l'autenticazione 802.1X. Se si vuole distribuire Extensible Authentication Protocol (EAP) o PEAP (Protected Extensible Authentication Protocol), i punti di accesso e le opzioni devono supportare l'uso di EAP.
Per testare l'interoperabilità di base per le connessioni PPP per i punti di accesso wireless, configurare il punto di accesso e il client di accesso per l'uso del protocollo PAP (Password Authentication Protocol). Usare protocolli di autenticazione aggiuntivi basati su PPP, ad esempio PEAP, fino a quando non sono stati testati quelli che si intende usare per l'accesso alla rete.
Passaggi chiave
Durante la pianificazione per i client RADIUS, è possibile seguire questa procedura.
Documentare gli attributi specifici del fornitore (VSA) che è necessario configurare in NPS. Se i servizi NAS richiedono VSA, registrare le informazioni VSA per usarle in un secondo momento quando si configurano i criteri di rete in NPS.
Documentare gli indirizzi IP dei client RADIUS e il proxy NPS per semplificare la configurazione di tutti i dispositivi. Quando si distribuiscono i client RADIUS, è necessario configurarli per l'uso del protocollo RADIUS, con l'indirizzo IP proxy NPS immesso come server di autenticazione. Quando si configura NPS per comunicare con i client RADIUS, è necessario immettere gli indirizzi IP client RADIUS nello snap-in NPS.
Creare segreti condivisi per la configurazione nei client RADIUS e nello snap-in NPS. È necessario configurare i client RADIUS con un segreto condiviso o una password, che verranno inseriti nello snap-in NPS durante la configurazione dei client RADIUS in Server dei criteri di rete.
Pianificare gruppi di server RADIUS remoti
Quando si configura un gruppo di server RADIUS remoto in un proxy NPS, si indica al proxy NPS dove inviare alcuni o tutti i messaggi di richiesta di connessione ricevuti dai server di accesso alla rete e dai proxy NPS o da altri proxy RADIUS.
È possibile usare NPS come proxy RADIUS per inoltrare le richieste di connessione a uno o più gruppi di server RADIUS remoti e ogni gruppo può contenere uno o più server RADIUS. Quando si desidera che il proxy NPS inoltra i messaggi a più gruppi, configurare un criterio di richiesta di connessione per gruppo. I criteri di richiesta di connessione contengono informazioni aggiuntive, ad esempio le regole di manipolazione degli attributi, che indicano al proxy NPS quali messaggi inviare al gruppo di server RADIUS remoto specificato nei criteri.
È possibile configurare gruppi di server RADIUS remoti usando i comandi Netsh per Server dei criteri di rete, configurando i gruppi direttamente nello snap-in Server NPS in Gruppi di server RADIUS remoti oppure eseguendo la procedura guidata Nuovi criteri di richiesta di connessione.
Passaggi chiave
Durante la pianificazione per i gruppi di server RADIUS remoti, è possibile seguire questa procedura.
Determinare i domini che contengono i server RADIUS a cui si vuole che il proxy NPS inoltra le richieste di connessione. Questi domini contengono gli account utente per gli utenti che si connettono alla rete tramite i client RADIUS distribuiti.
Determinare se è necessario aggiungere nuovi server RADIUS nei domini in cui RADIUS non è già distribuito.
Documentare gli indirizzi IP dei server RADIUS da aggiungere ai gruppi di server RADIUS remoti.
Determinare il numero di gruppi di server RADIUS remoti da creare. In alcuni casi, è consigliabile creare un gruppo di server RADIUS remoto per dominio e quindi aggiungere i server RADIUS per il dominio al gruppo. Tuttavia, potrebbero verificarsi casi in cui si dispone di una grande quantità di risorse in un dominio, incluso un numero elevato di utenti con account utente nel dominio, un numero elevato di controller di dominio e un numero elevato di server RADIUS. Oppure il dominio potrebbe coprire un'area geografica di grandi dimensioni, causando la presenza di server di accesso alla rete e server RADIUS in posizioni distanti l'una dall'altra. In questi ed eventualmente in altri casi, è possibile creare più gruppi di server RADIUS remoti per dominio.
Creare segreti condivisi per la configurazione nel proxy NPS e nei server RADIUS remoti.
Pianificare le regole di manipolazione degli attributi per l'inoltro dei messaggi
Le regole di modifica degli attributi, configurate nei criteri di richiesta di connessione, consentono di identificare i messaggi di richiesta di accesso da inoltrare a un gruppo di server RADIUS remoto specifico.
È possibile configurare NPS per inoltrare tutte le richieste di connessione a un gruppo di server RADIUS remoto senza usare regole di manipolazione degli attributi.
Se si dispone di più di un percorso a cui si desidera inoltrare le richieste di connessione, tuttavia, è necessario creare un criterio di richiesta di connessione per ogni posizione, quindi configurare i criteri con il gruppo di server RADIUS remoto a cui si desidera inoltrare i messaggi, nonché con le regole di manipolazione degli attributi che indicano a NPS quali messaggi inoltrare.
È possibile creare regole per gli attributi seguenti.
Called-Station-ID. Numero di telefono del server di accesso alla rete (NAS). Il valore di questo attributo è una stringa di caratteri. È possibile usare la sintassi dei criteri di ricerca per specificare i codici di area.
Calling-Station-ID. Numero di telefono usato dal chiamante. Il valore di questo attributo è una stringa di caratteri. È possibile usare la sintassi dei criteri di ricerca per specificare i codici di area.
User_Name. Nome utente fornito dal client di accesso e incluso dal NAS nel messaggio RADIUS Access-Request. Il valore di questo attributo è una stringa di caratteri che in genere contiene un nome dell'area di autenticazione e un nome account utente.
Per sostituire o convertire correttamente i nomi dell'area di autenticazione nel nome utente di una richiesta di connessione, è necessario configurare le regole di manipolazione degli attributi per l'attributo User-Name nei criteri di richiesta di connessione appropriati.
Passaggi chiave
Durante la pianificazione delle regole di manipolazione degli attributi, è possibile seguire questa procedura.
Pianificare il routing dei messaggi dal NAS tramite il proxy ai server RADIUS remoti per verificare di avere un percorso logico con cui inoltrare i messaggi ai server RADIUS.
Determinare uno o più attributi da usare per ogni criterio di richiesta di connessione.
Documentare le regole di manipolazione degli attributi che si prevede di usare per ogni criterio di richiesta di connessione e associare le regole al gruppo di server RADIUS remoto a cui vengono inoltrati i messaggi.
Pianificare criteri di richiesta connessione
I criteri di richiesta di connessione predefiniti vengono configurati per NPS quando vengono usati come server RADIUS. È possibile usare criteri di richiesta di connessione aggiuntivi per definire condizioni più specifiche, creare regole di manipolazione degli attributi che indicano a NPS quali messaggi inoltrare ai gruppi di server RADIUS remoti e specificare attributi avanzati. Utilizzare la procedura guidata Criteri di richiesta nuova connessione per creare criteri di richiesta di connessione comuni o personalizzati.
Passaggi chiave
Durante la pianificazione dei criteri di richiesta di connessione, è possibile seguire questa procedura.
Eliminare i criteri di richiesta di connessione predefiniti in ogni server che esegue NPS che funziona esclusivamente come proxy RADIUS.
Pianificare condizioni e impostazioni aggiuntive necessarie per ogni criterio, combinando queste informazioni con il gruppo di server RADIUS remoto e le regole di modifica degli attributi pianificate per i criteri.
Progettare il piano per distribuire i criteri comuni di richiesta di connessione a tutti i proxy NPS. Creare criteri comuni a più proxy NPS in un server dei criteri di rete e quindi usare i comandi Netsh per NPS per importare i criteri di richiesta di connessione e la configurazione del server in tutti gli altri proxy.
Pianificare la contabilità NPS
Quando si configura NPS come proxy RADIUS, è possibile configurarlo per eseguire la contabilità RADIUS usando file di log in formato NPS, file di log di formato compatibili con il database o registrazione di SERVER dei criteri di rete di SQL Server.
È anche possibile inoltrare messaggi contabili a un gruppo di server RADIUS remoto che esegue la contabilità usando uno di questi formati di registrazione.
Passaggi chiave
Durante la pianificazione dell'accounting NPS, è possibile seguire questa procedura.
Determinare se si vuole che il proxy NPS esegua servizi di contabilità o inoltra i messaggi contabili a un gruppo di server RADIUS remoto per la contabilità.
Pianificare la disabilitazione dell'accounting proxy NPS locale se si prevede di inoltrare i messaggi contabili ad altri server.
Pianificare i passaggi di configurazione dei criteri di richiesta di connessione se si prevede di inoltrare messaggi contabili ad altri server. Se si disabilita l'accounting locale per il proxy NPS, ogni criterio di richiesta di connessione configurato in tale proxy deve avere l'inoltro dei messaggi contabili abilitato e configurato correttamente.
Determinare il formato di registrazione da usare: file di log in formato IAS, file di log di formato compatibili con il database o registrazione SQL Server NPS.
Per configurare il bilanciamento del carico per Server dei criteri di rete come proxy RADIUS, consultare la sezione Bilanciamento del carico del server proxy NPS.