Configurare i client RADIUS

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

È possibile usare questo argomento per configurare i server di accesso alla rete come client RADIUS in NPS.

Quando si aggiunge un nuovo server di accesso alla rete (server VPN, punto di accesso wireless, switch di autenticazione o server di connessione remota) alla rete, è necessario aggiungere il server come client RADIUS in NPS e configurare il client RADIUS affinché comunichi con NPS.

Importante

I computer e i dispositivi client, ad esempio computer laptop, tablet, telefoni e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio, punti di accesso wireless, commutatori di autenticazione che supportano 802.1 X, server di rete privata virtuale (VPN) e server di connessione remota, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio i server dei criteri di rete (NPS).

Questo passaggio è necessario anche quando il server dei criteri di rete è membro di un gruppo di server RADIUS remoto configurato in un proxy NPS. In questa circostanza, oltre a eseguire i passaggi di questa attività nel proxy NPS, è necessario eseguire le operazioni seguenti:

  • Nel proxy NPS configurare un gruppo di server RADIUS remoto che contiene NPS.
  • In NPS, configurare il proxy NPS come client RADIUS.

Per eseguire le procedure descritte in questo argomento, è necessario disporre di almeno un server di accesso alla rete (server VPN, punto di accesso wireless, commutatore di autenticazione o server di connessione remota) o proxy NPS installato fisicamente nella rete.

Configurare il server di accesso alla rete

Utilizzare questa procedura per configurare i server di accesso alla rete da usare con NPS. Quando si distribuiscono i server di accesso alla rete (NAS) come client RADIUS, è necessario configurare i client per comunicare con gli NPS in cui i servizi di rete sono configurati come client.

Questa procedura fornisce linee guida generali sulle impostazioni da usare per configurare i servizi nas; per istruzioni specifiche su come configurare il dispositivo che si sta distribuendo nella rete, vedere la documentazione del prodotto NAS.

Per configurare il server di accesso alla rete

  1. In NAS, nelle Impostazioni RADIUS, selezionare Autenticazione RADIUS sulla porta UPD (Datagram Protocol) 1812 e Contabilità RADIUS sulla porta UDP 1813.
  2. In Server di autenticazione o Server RADIUS, specificare il server dei criteri di rete in base all'indirizzo IP o al nome di dominio completo (FQDN), a seconda dei requisiti del NAS.
  3. In Segreto o Segreto condiviso, digitare una password complessa. Quando si configura NAS come client RADIUS in NPS, si userà la stessa password, quindi non dimenticarlo.
  4. Se si usa PEAP o EAP come metodo di autenticazione, configurare il NAS per l'uso dell'autenticazione EAP.
  5. Se si configura un punto di accesso wireless, in SSID, specificare un identificatore SSID (Service Set Identifier), ovvero una stringa alfanumerica che funge da nome di rete. Questo nome viene trasmesso dai punti di accesso ai client wireless ed è visibile agli utenti presso gli hotspot di fedeltà wireless (Wi-Fi).
  6. Se si configura un punto di accesso wireless, in 802.1X e WPA abilitare l'autenticazione IEEE 802.1X se si desidera distribuire PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS.

Aggiungere il server di accesso alla rete come client RADIUS in NPS

Utilizzare questa procedura per aggiungere un server di accesso alla rete come client RADIUS in NPS. È possibile usare questa procedura per configurare un NAS come client RADIUS usando la console NPS.

Per completare questa procedura, è necessario essere un membro del amministratori gruppo.

Per aggiungere un server di accesso alla rete come client RADIUS in Server dei criteri di rete

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .
  2. Nella console Server dei criteri di rete, fare doppio clic su Client e server RADIUS. Fare clic con il pulsante destro del mouse su Client RADIUS, quindi fare clic su Nuovo client RADIUS.
  3. In Nuovo Client RADIUS, verificare che il attiva questo client RADIUS casella di controllo è selezionata.
  4. In Nuovo Client RADIUS, in nome descrittivo, digitare un nome di visualizzazione per NAS. In Indirizzo (IP o DNS), digitare l'indirizzo IP NAS o nome di dominio completo (FQDN). Se si immette FQDN, fare clic su Verifica se si desidera verificare che il nome sia corretto e che sia mappato a un indirizzo IP valido.
  5. In Nuovo client RADIUS, in Fornitore, specificare il nome del produttore del NAS. Se non si è certi del nome del produttore NAS, selezionare standard RADIUS.
  6. In Nuovo Client RADIUS, in Segreto condiviso, effettuare una delle operazioni seguenti:
    • Assicurarsi che l'opzione Manuale sia selezionata, quindi in Segreto condiviso, digitare la password complessa immessa anche nel NAS. Digitare nuovamente il segreto condiviso in Conferma segreto condiviso.
    • Selezionare Genera,, quindi fare clic su Genera per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con NPS.
  7. In Nuovo client RADIUS, in Opzioni aggiuntive, se si usa un qualsiasi metodo di autenticazione diverso da EAP e PEAP, e se NAS supporta l'uso dell'attributo Message authenticator, selezionare I messaggi di richiesta di accesso devono contenere l'attributo Message Authenticator.
  8. Fare clic su OK. Il server di accesso alla rete viene visualizzato nell'elenco dei client RADIUS configurati nel server dei criteri di rete.

Configurare i client RADIUS per intervallo di indirizzi IP in Windows Server 2016 Datacenter

Se si esegue Windows Server 2016 Datacenter, è possibile configurare i client RADIUS in NPS in base all'intervallo di indirizzi IP. In questo modo, è possibile aggiungere un numero elevato di client RADIUS (ad esempio i punti di accesso wireless) alla console NPS contemporaneamente, anziché aggiungere singolarmente ogni client RADIUS.

Non è possibile configurare i client RADIUS in base all'intervallo di indirizzi IP se si esegue NPS in Windows Server 2016 Standard.

Utilizzare questa procedura per aggiungere un gruppo di server di accesso alla rete (NAS) come client RADIUS che sono tutti configurati con indirizzi IP dello stesso intervallo di indirizzi IP.

Tutti i client RADIUS nell'intervallo devono usare la stessa configurazione e la stessa chiave privata condivisa.

Per completare questa procedura, è necessario essere un membro del amministratori gruppo.

Per configurare i client RADIUS in base all'intervallo di indirizzi IP

  1. Su NPS, in Server Manager, fare clic su Strumenti quindi fare clic su Server criteri di rete. Si apre la console NPS .
  2. Nella console Server dei criteri di rete, fare doppio clic su Client e server RADIUS. Fare clic con il pulsante destro del mouse su Client RADIUS, quindi fare clic su Nuovo client RADIUS.
  3. In Nuovo Client RADIUS, in nome descrittivo, digitare un nome per l'acquisizione di NAS.
  4. In Indirizzo (IP o DNS), digitare l'intervallo di indirizzi IP per i client RADIUS usando la notazione CIDR (Classless Inter-Domain Routing). Ad esempio, se l'intervallo di indirizzi IP per NAS è 10.10.0.0, digitare 10.10.0.0/16.
  5. In Nuovo client RADIUS, in Fornitore, specificare il nome del produttore del NAS. Se non si è certi del nome del produttore NAS, selezionare standard RADIUS.
  6. In Nuovo Client RADIUS, in Segreto condiviso, effettuare una delle operazioni seguenti:
    • Assicurarsi che l'opzione Manuale sia selezionata, quindi in Segreto condiviso, digitare la password complessa immessa anche nel NAS. Digitare nuovamente il segreto condiviso in Conferma segreto condiviso.
    • Selezionare Genera,, quindi fare clic su Genera per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con NPS.
  7. In Nuovo client RADIUS, in Opzioni aggiuntive, se si usa un qualsiasi metodo di autenticazione diverso da EAP e PEAP, e se i NAS supportano l'uso dell'attributo Message authenticator, selezionare I messaggi di richiesta di accesso devono contenere l'attributo Message Authenticator.
  8. Fare clic su OK. I NAS appaiono nell'elenco dei client RADIUS configurati nel server dei criteri di rete.

Per maggiori informazioni, consultare la sezione Client RADIUS.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).