Planejar NPS como um proxy RADIUS

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Quando você implanta o NPS (Servidor de Política de Rede) como um proxy RADIUS (Remote Authentication Dial-In User Service), o NPS recebe solicitações de conexão de clientes RADIUS, como servidores de acesso à rede ou outros proxies RADIUS, e encaminha essas solicitações para servidores NPS ou outros servidores RADIUS. É possível usar essas orientações de planejamento para simplificar a implantação do RADIUS.

As orientações não incluem cenários em que se deseja implantar o NPS como um servidor RADIUS. Quando você implanta o NPS como um servidor RADIUS, o NPS faz a autenticação, a autorização e a contabilização das solicitações de conexão para o domínio local e para os domínios de confiança do domínio local.

Antes de implantar o NPS como um proxy RADIUS na rede, use as orientações a seguir para planejar a implantação.

  • Planeje a configuração do NPS.

  • Planeje os clientes RADIUS.

  • Planeje os grupos de servidores remotos RADIUS.

  • Planeje as regras de manipulação de atributo para o encaminhamento de mensagens.

  • Planeje as políticas de solicitações de conexão.

  • Planeje a contabilização do NPS.

Planejar a configuração do NPS

Quando o NPS é usado como um proxy RADIUS, o NPS encaminha as solicitações de conexão para um NPS ou outros servidores RADIUS processarem. Por essa razão, a associação de domínio do proxy NPS é irrelevante. O proxy não precisa ser registrado no AD DS (Active Directory Domain Services) porque ele não precisa acessar as propriedades de discagem das contas de usuário. Além disso, você não precisa configurar políticas de rede em um proxy NPS porque o proxy não efetua autorização para solicitações de conexão. O proxy NPS pode ser um membro de domínio ou um servidor autônomo sem ser membro de domínio.

O NPS deve ser configurado para se comunicar com os clientes RADIUS, também chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso, é possível configurar os tipos de eventos que o NPS registra no log de eventos e inserir uma descrição para o servidor.

Principais etapas

Siga as etapas abaixo para planejar a configuração do proxy NPS.

  • Determine as portas RADIUS que o proxy NPS usa para receber mensagens RADIUS de clientes RADIUS e enviar mensagens RADIUS para membros de grupos de servidores remotos RADIUS. As portas UDP (User Datagram Protocol) padrão são 1812 e 1645 para mensagens de autenticação RADIUS e portas UDP 1813 e 1646 para mensagens de contabilização RADIUS.

  • Se o proxy NPS estiver configurado com vários adaptadores de rede, defina quais adaptadores poderão receber o tráfego do RADIUS.

  • Determine os tipos de eventos que você quer que o NPS registre no Log de eventos. Você pode registrar solicitações de conexão tanto rejeitadas quanto bem-sucedidas.

  • Defina se você está implantando mais de um proxy NPS. Para obter uma margem de tolerância a falhas, use pelo menos dois proxies NPS. Use um proxy NPS como o principal proxy RADIUS e o outro como um backup. Cada cliente RADIUS é configurado em ambos os proxies NPS. Se o principal proxy NPS ficar indisponível, os clientes RADIUS enviarão as mensagens de solicitação de acesso para o proxy NPS de backup.

  • Planeje o script usado para copiar uma configuração do proxy NPS para outros proxies NPS para não sobrecarregar a administração e evitar a configuração incorreta de um servidor. O NPS fornece comandos Netsh para copiar toda ou parte de uma configuração do proxy NPS para importar para outro proxy NPS. Você pode executar os comandos manualmente no prompt do Netsh. Salve a sequência de comandos como um script para executá-lo posteriormente quando quiser alterar as configurações do proxy.

Planejar os clientes RADIUS

Os clientes RADIUS são servidores de acesso à rede, como os pontos de acesso sem fio, servidores VPN (Rede Virtual Privada), switches compatíveis com 802.1X e servidores por conexão discada. Os proxies RADIUS que encaminham mensagens de solicitação de conexão para servidores RADIUS também são clientes RADIUS. O NPS é compatível com todos os servidores de acesso à rede e os proxies RADIUS que estão em conformidade com o protocolo RADIUS, conforme descrito na RFC 2865 (RADIUS (Remote Authentication Dial-In User Service)) e na RFC 2866 (Contabilização RADIUS).

Além disso, os pontos de acesso sem fio e os switches devem ser compatíveis com a autenticação 802.1X. Se você quiser implantar o EAP (Extensible Authentication Protocol) ou o PEAP (Protected Extensible Authentication Protocol), os pontos de acesso e os switches deverão suportar o uso do EAP.

Para testar a interoperabilidade básica para conexões PPP dos pontos de acesso sem fio, configure o ponto de acesso e o cliente de acesso para usar o PAP (Password Authentication Protocol). Enquanto estiver testando os protocolos que pretende usar para o acesso à rede,use outros protocolos de autenticação baseados em PPP, como o PEAP.

Principais etapas

Siga as etapas abaixo para planejar os clientes RADIUS.

  • Documente os VSAs (atributos específicos do fornecedor) que você deve configurar no NPS. Se os NASs exigirem VSAs, registre as informações dos VSAs para usar posteriormente quando for configurar as políticas de rede no NPS.

  • Documente os endereços IP dos clientes RADIUS e o proxy NPS para simplificar a configuração de todos os dispositivos. Ao implantar os clientes RADIUS, você deve configurá-los para usar o protocolo RADIUS com o endereço IP do proxy NPS inserido como o servidor de autenticação. Na configuração da comunicação do NPS com os clientes RADIUS, você deve inserir os endereços IP do cliente RADIUS no snap-in do NPS.

  • Crie segredos compartilhados para a configuração dos clientes RADIUS e do snap-in do NPS. Você deve configurar os clientes RADIUS com um segredo compartilhado ou senha, que também será inserido/a no snap-in do NPS no momento da configuração dos clientes RADIUS no NPS.

Planejar os grupos de servidores remotos RADIUS

Na configuração do grupo de servidores remotos RADIUS em um proxy NPS, você informa ao proxy NPS para onde ele deverá enviar algumas ou todas as mensagens de solicitação de conexão que ele recebe de servidores de acesso à rede, proxies NPS ou outros proxies RADIUS.

Você pode usar o NPS como um proxy RADIUS para encaminhar solicitações de conexão para um ou mais grupos de servidores remotos RADIUS, e cada grupo pode conter um ou mais servidores RADIUS. Se você quiser que o proxy NPS encaminhe mensagens para vários grupos, configure uma política de solicitação de conexão por grupo. A política de solicitação de conexão contém informações adicionais, como as regras de manipulação de atributos, que informam ao proxy NPS quais mensagens ele deve enviar para o grupo de servidores remotos RADIUS, especificado na política.

Você pode configurar os grupos de servidores remotos RADIUS usando os comandos Netsh para NPS, configurando grupos diretamente no snap-in do NPS nos grupos de servidores remotos RADIUS ou executando o assistente da Nova Política de Solicitação de Conexão.

Principais etapas

Siga as etapas abaixo para planejar os grupos de servidores remotos RADIUS.

  • Defina os domínios que contêm os servidores RADIUS que receberão as solicitações de conexão encaminhadas pelo proxy NPS. Esses domínios contêm as contas dos usuários que se conectarão à rede por meio dos clientes RADIUS implantados.

  • Determine se você precisa adicionar novos servidores RADIUS em domínios em que o RADIUS ainda não está implantado.

  • Documente os endereços IP dos servidores RADIUS que você quer adicionar aos grupos de servidores remotos RADIUS.

  • Determine quantos grupos de servidores remotos RADIUS você precisa criar. Em alguns casos, é melhor criar um grupo de servidores remotos RADIUS por domínio e adicionar os servidores RADIUS do domínio ao grupo. No entanto, pode haver casos em que há uma grande quantidade de recursos em um domínio, incluindo muitos usuários com contas de usuário no domínio, muitos controladores de domínio e muitos servidores RADIUS. Ou, o domínio pode abranger uma grande área geográfica, resultando em servidores de acesso à rede e servidores RADIUS em locais distantes uns dos outros. Para esses e outros casos, é possível criar vários grupos de servidores remotos RADIUS por domínio.

  • Crie segredos compartilhados para a configuração no proxy NPS e nos servidores RADIUS remotos.

Planejar as regras de manipulação de atributo para o encaminhamento de mensagens

As regras de manipulação de atributos, configuradas nas políticas de solicitação de conexão, permitem identificar as mensagens de solicitações de acesso que você quer encaminhar para um grupo específico de servidores remotos RADIUS.

Você pode configurar o NPS para encaminhar todas as solicitações de conexão para um grupo de servidores remotos RADIUS sem usar as regras de manipulação de atributos.

Porém, se você quiser encaminhar as solicitações de conexão para mais de um local, crie uma política de solicitação de conexão para cada local e configure a política com o grupo de servidores remotos RADIUS para o qual você quer encaminhar as mensagens e com as regras de manipulação de atributos que informam ao NPS quais mensagens devem ser encaminhadas.

É possível criar regras para os atributos abaixo.

  • Called-Station-ID. É o número de telefone do NAS (servidor de acesso à rede). O valor é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar códigos de área.

  • Calling-Station-ID. É o número de telefone usado por quem está chamando. O valor é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar códigos de área.

  • User-Name. É o nome de usuário fornecido pelo cliente de acesso e incluído pelo NAS na mensagem de solicitação de acesso do RADIUS. O valor é uma cadeia de caracteres que geralmente contém um nome de realm e um nome de conta de usuário.

Para substituir ou converter corretamente os nomes de realm no nome de usuário de uma solicitação de conexão, você deve configurar regras de manipulação de atributos para o atributo User-Name na política de solicitação de conexão apropriada.

Principais etapas

Siga as etapas abaixo para planejar as regras de manipulação de atributo.

  • Planeje o roteamento das mensagens do NAS usando o proxy dos servidores RADIUS remotos para verificar se você tem um caminho lógico para encaminhar as mensagens para os servidores RADIUS.

  • Determine um ou mais atributos para cada política de solicitação de conexão.

  • Documente as regras de manipulação de atributos que você planeja usar em cada política de solicitação de conexão e faça a correspondência das regras com o grupo de servidores remotos RADIUS para o qual as mensagens serão encaminhadas.

Planejar as políticas de solicitações de conexão

A política padrão de solicitação de conexão é configurada para o NPS quando ele é usado como um servidor RADIUS. Políticas adicionais de solicitação de conexão podem ser usadas para definir condições mais específicas, criar regras de manipulação de atributos que informam ao NPS quais mensagens devem ser encaminhadas para grupos de servidores remotos RADIUS e especificar atributos avançados. Use o Assistente de Nova Política de Solicitação de Conexão para criar políticas de solicitação de conexão comuns ou personalizadas.

Principais etapas

Siga as etapas abaixo para planejar as políticas de solicitação de conexão.

  • Exclua a política padrão de solicitação de conexão de cada servidor que executa o NPS que funciona exclusivamente como um proxy RADIUS.

  • Planeje as condições e configurações adicionais necessárias para cada política, combinando essas informações com o grupo de servidores remotos RADIUS e com as regras de manipulação de atributos planejadas para a política.

  • Projete o plano para distribuir as políticas comuns de solicitação de conexão para todos os proxies NPS. Crie políticas comuns a vários proxies NPS em um único NPS e use os comandos Netsh para NPS para importar as políticas de solicitação de conexão e a configuração do servidor em todos os outros proxies.

Planejar a contabilização do NPS

Ao configurar o NPS como um proxy RADIUS, você pode defini-lo para executar a contabilização RADIUS usando arquivos de log no formato NPS, arquivos de log no formato compatível com banco de dados ou log no SQL Server do NPS.

Também é possível encaminhar as mensagens de contabilização para um grupo de servidores remotos RADIUS que executará a contabilização usando um desses formatos de log.

Principais etapas

Siga as etapas abaixo para planejar a contabilização do NPS.

  • Determine se você quer que o proxy NPS execute os serviços de contabilização ou encaminhe as mensagens para um grupo de servidores remotos RADIUS para que façam a contabilização.

  • Se você vai encaminhar as mensagens de contabilização para outros servidores, desabilite a contabilização no proxy NPS local.

  • Se você vai encaminhar as mensagens de contabilização para outros servidores, planeje as etapas de configuração da política de solicitação de conexão. Se você desabilitar a contabilização local do proxy NPS, para cada política de solicitação de conexão nesse proxy, você precisará ativar e configurar corretamente o encaminhamento de mensagens de contabilização.

  • Defina o formato de log que quer usar: arquivos de log no formato IAS, no formato compatível com banco de dados ou log no SQL Server do NPS.

Para configurar o balanceamento de carga do NPS como um proxy RADIUS, confira Balanceamento de carga do servidor proxy NPS.