Condividi tramite

Configurare i client RADIUS

È possibile usare questo argomento per configurare i server di accesso alla rete come client RADIUS in NPS.

Quando si aggiunge un nuovo server di accesso alla rete (server VPN, punto di accesso wireless, switch di autenticazione o server di connessione remota) alla rete, è necessario aggiungere il server come client RADIUS in NPS e configurare il client RADIUS affinché comunichi con NPS.

Importante

I computer e i dispositivi client, ad esempio computer laptop, tablet, telefoni e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio, punti di accesso wireless, commutatori di autenticazione che supportano 802.1X, server di rete privata virtuale (VPN) e server di accesso remoto, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio i server dei criteri di rete (NPS).

Questo passaggio è necessario anche quando l'NPS è membro di un gruppo di server RADIUS remoti, configurato su un proxy NPS. In questa circostanza, oltre a eseguire i passaggi di questa attività nel proxy NPS, è necessario eseguire le operazioni seguenti:

  • Nel proxy NPS, configura un gruppo di server RADIUS remoto che includa l'NPS.
  • Sul server NPS remoto, configurare il proxy NPS come client RADIUS.

Per eseguire le procedure descritte in questo argomento, è necessario disporre di almeno un server di accesso alla rete (server VPN, punto di accesso wireless, commutatore di autenticazione o server di connessione remota) o proxy NPS installato fisicamente nella rete.

Configurare il server di accesso alla rete

Utilizzare questa procedura per configurare i server di accesso alla rete da usare con NPS. Quando si distribuiscono i server di accesso alla rete (NAS) come client RADIUS, è necessario configurare i client per comunicare con gli NPS in cui i servizi di rete sono configurati come client.

Questa procedura fornisce linee guida generali sulle impostazioni da usare per configurare i servizi nas; per istruzioni specifiche su come configurare il dispositivo che si sta distribuendo nella rete, vedere la documentazione del prodotto NAS.

Per configurare il server di accesso alla rete

  1. Nelle impostazioni RADIUS del NAS selezionare Autenticazione RADIUS sulla porta UDP (User Datagram Protocol) 1812 e contabilizzazione RADIUS sulla porta UDP 1813.
  2. In Server di autenticazione o server RADIUS, specificare il tuo NPS in base all'indirizzo IP o al nome di dominio completo (FQDN), a seconda dei requisiti del NAS.
  3. In Segreto o Segreto condiviso digitare una password complessa. Quando si configura NAS come client RADIUS in NPS, si userà la stessa password, quindi non dimenticarlo.
  4. Se si usa PEAP o EAP come metodo di autenticazione, configurare il NAS per l'uso dell'autenticazione EAP.
  5. Se si configura un punto di accesso wireless, in SSID specificare un identificatore SSID (Service Set Identifier), ovvero una stringa alfanumerica che funge da nome di rete. Questo nome viene trasmesso dai punti di accesso ai client wireless ed è visibile agli utenti presso gli hotspot di fedeltà wireless (Wi-Fi).
  6. Se si configura un punto di accesso wireless, in 802.1X e WPA, abilitare l'autenticazione IEEE 802.1X se si vuole distribuire PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS.

Aggiungere il server di accesso alla rete come client RADIUS in NPS

Utilizzare questa procedura per aggiungere un server di accesso alla rete come client RADIUS in NPS. È possibile usare questa procedura per configurare un NAS come client RADIUS usando la console NPS.

Per completare questa procedura, è necessario essere membri del gruppo Administrators .

Per aggiungere un server di accesso alla rete come client RADIUS in NPS

  1. In NPS, nel Server Manager, fare clic su Strumenti, quindi su Server dei criteri di rete. Si apre la console NPS.
  2. Nella console NPS fare doppio clic su Client e server RADIUS. Fare clic con il pulsante destro del mouse su Client RADIUS, quindi scegliere Nuovo client RADIUS.
  3. In Nuovo client RADIUS verificare che la casella di controllo Abilita questo client RADIUS sia selezionata.
  4. In Nuovo client RADIUS, nella casella Nome descrittivo, digitare un nome visualizzato per il NAS. In Indirizzo (IP o DNS) digitare l'indirizzo IP NAS o il nome di dominio completo (FQDN). Se si immette il nome di dominio completo, fare clic su Verifica se si vuole verificare che il nome sia corretto e che venga eseguito il mapping a un indirizzo IP valido.
  5. In Nuovo client RADIUS, in Fornitore, specificare il nome del produttore NAS. Se non si è certi del nome del produttore NAS, selezionare RADIUS standard.
  6. In Nuovo client RADIUS, in Segreto condiviso, eseguire una delle operazioni seguenti:
    • Assicurarsi che l'opzione Manuale sia selezionata e quindi in Segreto condiviso digitare la password complessa immessa anche nel NAS. Digitare di nuovo il segreto condiviso in Conferma segreto condiviso.
    • Selezionare Genera e quindi fare clic su Genera per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con NPS.
  7. In Nuovo client RADIUS, in Opzioni aggiuntive, se si usano metodi di autenticazione diversi da EAP e PEAP e se il NAS supporta l'uso dell'attributo dell'autenticatore del messaggio, selezionare Access Request messages must contain the Message Authenticator attribute.
  8. Fare clic su OK. Il tuo NAS appare nell'elenco dei client RADIUS configurati sul NPS.

Configurare i client RADIUS per intervallo di indirizzi IP in Windows Server 2016 Datacenter

Se si esegue Windows Server 2016 Datacenter, è possibile configurare i client RADIUS in NPS in base all'intervallo di indirizzi IP. In questo modo, è possibile aggiungere un numero elevato di client RADIUS (ad esempio i punti di accesso wireless) alla console NPS contemporaneamente, anziché aggiungere singolarmente ogni client RADIUS.

Non è possibile configurare i client RADIUS in base all'intervallo di indirizzi IP se si esegue NPS in Windows Server 2016 Standard.

Utilizzare questa procedura per aggiungere un gruppo di server di accesso alla rete (NAS) come client RADIUS che sono tutti configurati con indirizzi IP dello stesso intervallo di indirizzi IP.

Tutti i client RADIUS nell'intervallo devono usare la stessa configurazione e la stessa chiave privata condivisa.

Per completare questa procedura, è necessario essere membri del gruppo Administrators .

Per configurare i client RADIUS in base all'intervallo di indirizzi IP

  1. In NPS, nel Server Manager, fare clic su Strumenti, quindi su Server dei criteri di rete. Si apre la console NPS.
  2. Nella console NPS fare doppio clic su Client e server RADIUS. Fare clic con il pulsante destro del mouse su Client RADIUS, quindi scegliere Nuovo client RADIUS.
  3. In New RADIUS Client, nel campo Nome descrittivo, digitare un nome visualizzato per la raccolta di NAS.
  4. In Indirizzo (IP o DNS) digitare l'intervallo di indirizzi IP per i client RADIUS usando la notazione Classless Inter-Domain Routing (CIDR). Ad esempio, se l'intervallo di indirizzi IP per nas è 10.10.0.0, digitare 10.10.0.0/16.
  5. In Nuovo client RADIUS, in Fornitore, specificare il nome del produttore NAS. Se non si è certi del nome del produttore NAS, selezionare RADIUS standard.
  6. In Nuovo client RADIUS, in Segreto condiviso, eseguire una delle operazioni seguenti:
    • Assicurarsi che l'opzione Manuale sia selezionata e quindi in Segreto condiviso digitare la password complessa immessa anche nel NAS. Digitare di nuovo il segreto condiviso in Conferma segreto condiviso.
    • Selezionare Genera e quindi fare clic su Genera per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con NPS.
  7. In Nuovo client RADIUS, in Opzioni aggiuntive, se si usano metodi di autenticazione diversi da EAP e PEAP e se tutti i servizi nas supportano l'uso dell'attributo dell'autenticatore del messaggio, selezionare Messaggi di richiesta di accesso deve contenere l'attributo Message Authenticator.
  8. Fare clic su OK. I tuoi NAS appaiono nell'elenco dei client RADIUS configurati sul NPS.

Per altre informazioni, vedere Client RADIUS.

Per ulteriori informazioni su Server dei criteri di rete (NPS), vedere Server dei criteri di rete.