Planejar NPS como um servidor RADIUS

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Quando você implanta o NPS (Servidor de Políticas de Rede) como um servidor RADIUS (Remote Authentication Dial-In User Service), o NPS faz a autenticação, a autorização e a contabilização das solicitações de conexão para o domínio local e para os domínios de confiança do domínio local. É possível usar essas orientações de planejamento para simplificar a implantação do RADIUS.

As orientações não incluem cenários em que se deseja implantar o NPS como um proxy RADIUS. Quando você implanta o NPS como um proxy RADIUS, o NPS encaminha solicitações de conexão para um servidor que executa o NPS ou outros servidores RADIUS em domínios remotos, domínios não confiáveis ou ambos.

Antes de implantar o NPS como um servidor RADIUS na rede, use as orientações a seguir para planejar a implantação.

  • Planeje a configuração do NPS.

  • Planeje os clientes RADIUS.

  • Planeje o uso de métodos de autenticação.

  • Planeje as políticas de rede.

  • Planeje a contabilização do NPS.

Planejar a configuração do NPS

Você deve decidir em qual domínio o NPS é um membro. Para ambientes de vários domínios, um NPS pode autenticar credenciais para contas de usuário no domínio do qual é membro e para todos os domínios que confiam no domínio local do NPS. Para permitir que o NPS leia as propriedades de discagem das contas de usuário durante o processo de autorização, você deve adicionar a conta de computador do NPS ao grupo RAS e NPSs para cada domínio.

Depois de determinar a associação de domínio do NPS, o servidor deve ser configurado para se comunicar com os clientes RADIUS, também chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso, é possível configurar os tipos de eventos que o NPS registra no log de eventos e inserir uma descrição para o servidor.

Principais etapas

Siga as etapas abaixo para planejar a configuração do NPS.

  • Determine as portas RADIUS que o NPS usa para receber mensagens RADIUS de clientes RADIUS. As portas padrão são UDP 1812 e 1645 para mensagens de autenticação RADIUS e portas 1813 e 1646 para mensagens de contabilização RADIUS.

  • Se o NPS estiver configurado com vários adaptadores de rede, defina quais adaptadores poderão receber o tráfego do RADIUS.

  • Determine os tipos de eventos que você quer que o NPS registre no Log de eventos. Você pode registrar solicitações de autenticação rejeitadas, solicitações de autenticação bem-sucedidas ou ambos os tipos de solicitações.

  • Defina se você está implantando mais de um NPS. Para fornecer tolerância a falhas para autenticação e contabilidade baseadas em RADIUS, use pelo menos dois NPSs. Use um NPS como o servidor RADIUS principal e o outro como um backup. Cada cliente RADIUS é configurado em ambos os NPSs. Se o NPS principal ficar indisponível, os clientes RADIUS enviarão as mensagens de solicitação de acesso para o NPS de backup.

  • Planeje o script usado para copiar uma configuração do NPS para outros NPSs para não sobrecarregar a administração e evitar a configuração incorreta de um servidor. O NPS fornece comandos Netsh para copiar toda ou parte de uma configuração do NPS para importar para outro NPS. Você pode executar os comandos manualmente no prompt do Netsh. Salve a sequência de comandos como um script para executá-lo posteriormente quando quiser alterar as configurações do servidor.

Planejar os clientes RADIUS

Os clientes RADIUS são servidores de acesso à rede, como os pontos de acesso sem fio, servidores VPN (Rede Virtual Privada), switches compatíveis com 802.1X e servidores por conexão discada. Os proxies RADIUS que encaminham mensagens de solicitação de conexão para servidores RADIUS também são clientes RADIUS. O NPS é compatível com todos os servidores de acesso à rede e os proxies RADIUS que estão em conformidade com o protocolo RADIUS, conforme descrito na RFC 2865 "Remote Authentication Dial-in User Service (RADIUS)" e na RFC 2866 "Contabilização RADIUS".

Importante

Clientes de acesso, como computadores cliente, não são clientes RADIUS. Somente servidores de acesso à rede e servidores proxy que dão suporte ao protocolo RADIUS são clientes RADIUS.

Além disso, os pontos de acesso sem fio e os switches devem ser compatíveis com a autenticação 802.1X. Se você quiser implantar o EAP (Extensible Authentication Protocol) ou o PEAP (Protected Extensible Authentication Protocol), os pontos de acesso e os switches deverão suportar o uso do EAP.

Para testar a interoperabilidade básica para conexões PPP dos pontos de acesso sem fio, configure o ponto de acesso e o cliente de acesso para usar o PAP (Password Authentication Protocol). Enquanto estiver testando os protocolos que pretende usar para o acesso à rede,use outros protocolos de autenticação baseados em PPP, como o PEAP.

Principais etapas

Siga as etapas abaixo para planejar os clientes RADIUS.

  • Documente os VSAs (atributos específicos do fornecedor) que você deve configurar no NPS. Se os servidores de acesso à rede exigirem VSAs, registre as informações dos VSAs para usar posteriormente quando for configurar as políticas de rede no NPS.

  • Documente os endereços IP dos clientes RADIUS e o NPS para simplificar a configuração de todos os dispositivos. Ao implantar os clientes RADIUS, você deve configurá-los para usar o protocolo RADIUS com o endereço IP do NPS inserido como o servidor de autenticação. Na configuração da comunicação do NPS com os clientes RADIUS, você deve inserir os endereços IP do cliente RADIUS no snap-in do NPS.

  • Crie segredos compartilhados para a configuração dos clientes RADIUS e do snap-in do NPS. Você deve configurar os clientes RADIUS com um segredo compartilhado ou senha, que também será inserido/a no snap-in do NPS no momento da configuração dos clientes RADIUS no NPS.

Planejar o uso de métodos de autenticação

O NPS dá suporte a métodos de autenticação baseados em senha e certificado. No entanto, nem todos os servidores de acesso à rede dão suporte aos mesmos métodos de autenticação. Em alguns casos, talvez seja recomendável implantar um método de autenticação diferente com base no tipo de acesso à rede.

Por exemplo, talvez você queira implantar acesso sem fio e VPN para sua organização, mas usar um método de autenticação diferente para cada tipo de acesso: EAP-TLS para conexões VPN, devido à forte segurança que o EAP com o Transport Layer Security (EAP-TLS) fornece e PEAP-MS-CHAP v2 para conexões sem fio 802.1X.

PEAP com Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2) fornece um recurso chamado reconexão rápida que foi especificamente projetado para uso com computadores portáteis e outros dispositivos sem fio. A reconexão rápida permite que os clientes sem fio se movam entre pontos de acesso sem fio na mesma rede sem serem reautenticados sempre que se associarem a um novo ponto de acesso. Isso fornece uma experiência melhor para usuários sem fio e permite que eles se movam entre pontos de acesso sem precisar digitar novamente suas credenciais. Devido à reconexão rápida e à segurança que o PEAP-MS-CHAP v2 fornece, PEAP-MS-CHAP v2 é uma opção lógica como um método de autenticação para conexões sem fio.

Para conexões VPN, o EAP-TLS é um método de autenticação baseado em certificado que fornece segurança forte que protege o tráfego de rede, mesmo que seja transmitido pela Internet de computadores domésticos ou móveis para servidores VPN da sua organização.

Métodos de autenticação baseada em certificado

Os métodos de autenticação baseados em certificado têm a vantagem de fornecer segurança forte e a desvantagem de serem mais difíceis de implantar do que os métodos de autenticação baseados em senha.

O PEAP-MS-CHAP v2 e o EAP-TLS são métodos de autenticação baseados em certificado, mas há muitas diferenças entre eles e a maneira como eles são implantados.

EAP-TLS

O EAP-TLS usa certificados para autenticação de cliente e servidor e exige que você implante uma PKI (infraestrutura de chave pública) em sua organização. A implantação de uma PKI pode ser complexa e requer uma fase de planejamento independente do planejamento para uso do NPS como um servidor RADIUS.

Com o EAP-TLS, o NPS registra um certificado de servidor de uma AC (autoridade de certificação) e o certificado é salvo no computador local no repositório de certificados. Durante o processo de autenticação, a autenticação do servidor ocorre quando o NPS envia seu certificado de servidor para o cliente de acesso para provar sua identidade para o cliente de acesso. O cliente de acesso examina várias propriedades de certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma AC em que o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.

Da mesma forma, a autenticação do cliente ocorre durante o processo de autenticação quando o cliente envia seu certificado de cliente para o NPS para provar sua identidade para o NPS. O NPS examina o certificado e, se o certificado do cliente atender aos requisitos mínimos de certificado do cliente e for emitido por uma AC de confiança do NPS, o cliente de acesso será autenticado com êxito pelo NPS.

Embora seja necessário que o certificado do servidor seja armazenado no repositório de certificados no NPS, o certificado do cliente ou do usuário pode ser armazenado no repositório de certificados no cliente ou em um cartão inteligente.

Para que esse processo de autenticação seja bem-sucedido, é necessário que todos os computadores tenham o Certificado de Autoridade de Certificação da sua organização no repositório de certificados de Autoridades de Certificação Confiáveis para o Computador Local e o Usuário Atual.

PEAP-MS-CHAP v2

O PEAP-MS-CHAP v2 usa um certificado para autenticação de servidor e credenciais baseadas em senha para autenticação do usuário. Como os certificados são usados apenas para autenticação de servidor, você não precisa implantar uma PKI para usar PEAP-MS-CHAP v2. Ao implantar PEAP-MS-CHAP v2, você pode obter um certificado do servidor para o NPS de uma das duas seguintes maneiras:

  • Você pode instalar o AD CS (Serviços de Certificados do Active Directory) e, em seguida, registrar automaticamente certificados em NPSs. Se você usar esse método, também deverá registrar o certificado de AC em computadores cliente que se conectam à sua rede para que eles confiem no certificado emitido para o NPS.

  • Você pode comprar um certificado do servidor de uma AC pública, como a VeriSign. Se você usar esse método, selecione uma AC que já seja de confiança dos computadores cliente. Para determinar se os computadores cliente confiam em uma AC, abra o snap-in Certificados MMC (Console de Gerenciamento Microsoft) em um computador cliente e exiba o repositório Autoridades de Certificação Raiz Confiáveis para o Computador Local e para o Usuário Atual. Se houver um certificado da AC nesses repositórios de certificados, o computador cliente confiará na AC e, portanto, confiará em qualquer certificado emitido pela AC.

Durante o processo de autenticação com PEAP-MS-CHAP v2, a autenticação do servidor ocorre quando o NPS envia seu certificado do servidor para o computador cliente. O cliente de acesso examina várias propriedades de certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma AC em que o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.

A autenticação do usuário ocorre quando um usuário que tenta se conectar à rede digita credenciais baseadas em senha e tenta fazer logon. O NPS recebe as credenciais e executa a autenticação e autorização. Se o usuário for autenticado e autorizado com êxito e se o computador cliente tiver autenticado o NPS com êxito, a solicitação de conexão será concedida.

Principais etapas

Durante o planejamento para uso de métodos de autenticação, você pode usar as etapas a seguir.

  • Identifique os tipos de acesso à rede que você planeja oferecer, como sem fio, VPN, comutador compatível com 802.1X e acesso discado.

  • Determine o método de autenticação ou os métodos que você deseja usar para cada tipo de acesso. É recomendável que você use os métodos de autenticação baseados em certificado que fornecem segurança forte. No entanto, pode não ser prático implantar uma PKI, e outros métodos de autenticação podem fornecer um melhor equilíbrio do que você precisa para sua rede.

  • Se você estiver implantando o EAP-TLS, planeje sua implantação de PKI. Isso inclui o planejamento dos modelos de certificado que você usará para certificados do servidor e certificados de computador cliente. Também inclui determinar como registrar certificados em computadores membros do domínio e não membros do domínio e determinar se você deseja usar cartões inteligentes.

  • Se você estiver implantando PEAP-MS-CHAP v2, determine se deseja instalar o AD CS para emitir certificados de servidor para seus NPSs ou se deseja comprar certificados de servidor de uma AC pública, como a VeriSign.

Planejar as políticas de rede

As políticas de rede são usadas pelo NPS para determinar se as solicitações de conexão recebidas de clientes RADIUS são autorizadas. O NPS também usa as propriedades de discagem da conta de usuário para fazer uma determinação de autorização.

Como as políticas de rede são processadas na ordem em que aparecem no snap-in do NPS, tente colocar suas políticas mais restritivas em primeiro lugar na lista de políticas. Para cada solicitação de conexão, o NPS tenta corresponder as condições da política com as propriedades da solicitação de conexão. O NPS examina cada política de rede em ordem até encontrar uma correspondência. Se não encontrar uma correspondência, a solicitação de conexão será rejeitada.

Principais etapas

Siga as etapas abaixo para planejar as políticas de rede.

  • Determine a ordem de processamento de NPS preferencial das políticas de rede, da mais restritiva à menos restritiva.

  • Determine o estado da política. O estado da política pode ter o valor de habilitado ou desabilitado. Se a política estiver habilitada, o NPS avaliará a política ao executar a autorização. Se a política não estiver habilitada, ela não será avaliada.

  • Determine o tipo de política. Você deve determinar se a política foi projetada para conceder acesso quando as condições da política forem correspondidas pela solicitação de conexão ou se a política foi projetada para negar o acesso quando as condições da política forem correspondidas pela solicitação de conexão. Por exemplo, se você quiser negar explicitamente o acesso sem fio aos membros de um grupo do Windows, crie uma política de rede que especifique o grupo, o método de conexão sem fio e que tenha a configuração de tipo de política Negar acesso.

  • Determine se você deseja que o NPS ignore as propriedades de discagem das contas de usuário que são membros do grupo no qual a política se baseia. Quando essa configuração não está habilitada, as propriedades de discagem das contas de usuário substituem as configurações definidas nas políticas de rede. Por exemplo, se uma política de rede estiver configurada para conceder acesso a um usuário, mas as propriedades de discagem da conta de usuário para esse usuário estiverem definidas para negar acesso, o usuário terá o acesso negado. Mas se você habilitar a configuração de tipo de política Ignorar propriedades de discagem da conta de usuário, o mesmo usuário receberá acesso à rede.

  • Determine se a política usa a configuração de origem da política. Essa configuração permite que você especifique facilmente uma origem para todas as solicitações de acesso. As fontes possíveis são um Gateway dos Serviços de Terminal (Gateway TS), um servidor de acesso remoto (VPN ou discagem), um servidor DHCP, um ponto de acesso sem fio e um servidor da Autoridade de Registro de Integridade. Como alternativa, você pode especificar uma fonte específica do fornecedor.

  • Determine as condições que devem ser correspondidas para que a política de rede seja aplicada.

  • Determine as configurações que são aplicadas se as condições da política de rede forem correspondidas pela solicitação de conexão.

  • Determine se você deseja usar, modificar ou excluir as políticas de rede padrão.

Planejar a contabilização do NPS

O NPS fornece a capacidade de registrar dados contábeis RADIUS, como solicitações de contabilidade e autenticação de usuário, em três formatos: formato IAS, formato compatível com banco de dados e registro em log do Microsoft SQL Server.

O formato IAS e o formato compatível com o banco de dados criam arquivos de log no NPS local no formato de arquivo de texto.

O registro em log do SQL Server fornece a capacidade de fazer logon em um banco de dados compatível com o SQL Server 2000 ou SQL Server 2005 XML, estendendo a contabilidade RADIUS para aproveitar as vantagens do registro em log em um banco de dados relacional.

Principais etapas

Siga as etapas abaixo para planejar a contabilização do NPS.

  • Determine se deseja armazenar dados de contabilidade NPS em arquivos de log ou em um banco de dados do SQL Server.

Contabilidade do NPS usando arquivos de log locais

A gravação de solicitações de autenticação e contabilidade do usuário em arquivos de log é usada principalmente para fins de análise de conexão e cobrança e também é útil como uma ferramenta de investigação de segurança, fornecendo um método para acompanhar a atividade de um usuário mal-intencionado após um ataque.

Principais etapas

Durante o planejamento da contabilidade do NPS usando arquivos de log locais, você pode usar as etapas a seguir.

  • Determine o formato de arquivo de texto que você deseja usar para seus arquivos de log NPS.

  • Escolher o tipo de informação que você deseja registrar em log. Você pode registrar solicitações de contabilidade, solicitações de autenticação e status periódico.

  • Determine o local do disco rígido onde você deseja armazenar seus arquivos de log.

  • Crie sua solução de backup de arquivo de log. O local do disco rígido em que você armazena seus arquivos de log deve ser um local que permite fazer backup facilmente de seus dados. Além disso, o local do disco rígido deve ser protegido configurando a ACL (lista de controle de acesso) para a pasta em que os arquivos de log são armazenados.

  • Determine a frequência na qual você deseja que novos arquivos de log sejam criados. Se você quiser que os arquivos de log sejam criados com base no tamanho do arquivo, determine o tamanho máximo do arquivo permitido antes que um novo arquivo de log seja criado pelo NPS.

  • Determine se você deseja que o NPS exclua arquivos de log mais antigos se o disco rígido ficar sem espaço de armazenamento.

  • Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados contábeis e produzir relatórios.

Registro em log no SQL Server do NPS

O registro em log no SQL Server do NPS é usado quando você precisa de informações sobre o estado da sessão, para criação de relatórios e análise de dados e para centralizar e simplificar o gerenciamento dos dados contábeis.

O NPS fornece a capacidade de usar o registro em log no SQL Server para registrar solicitações de autenticação e contabilidade de usuário recebidas de um ou mais servidores de acesso à rede para uma fonte de dados em um computador que executa o Microsoft SQL Server Desktop Engine (MSDE 2000) ou qualquer versão do SQL Server posterior a SQL Server 2000.

Os dados de contabilidade são passados do NPS no formato XML para um procedimento armazenado no banco de dados, que dá suporte a SQL (linguagem de consulta estruturada) e XML (SQLXML). A gravação de solicitações de autenticação e contabilidade de usuário em um banco de dados SQL Server compatível com XML permite que vários NPSs tenham uma fonte de dados.

Principais etapas

Durante o planejamento da contabilidade do NPS usando o registro em log no SQL Server do NPS, você pode usar as etapas a seguir.

  • Determine se você ou outro membro da sua organização tem experiência de desenvolvimento de banco de dados relacional no SQL Server 2000 ou SQL Server 2005 e se entende como usar esses produtos para criar, modificar, administrar e gerenciar bancos de dados do SQL Server.

  • Determine se o SQL Server está instalado no NPS ou em um computador remoto.

  • Projete o procedimento armazenado que você usará em seu banco de dados SQL Server para processar arquivos XML de entrada que contêm dados contábeis NPS.

  • Projete a estrutura e o fluxo de replicação do banco de dados do SQL Server.

  • Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados contábeis e produzir relatórios.

  • Planeje usar servidores de acesso à rede que enviam o atributo Class em todas as solicitações de contabilidade. O atributo Class é enviado ao cliente RADIUS em uma mensagem Access-Accept e é útil para correlacionar mensagens Accounting-Request com sessões de autenticação. Se o atributo Class for enviado pelo servidor de acesso à rede nas mensagens de solicitação de contabilidade, ele poderá ser usado para corresponder aos registros de contabilidade e autenticação. A combinação dos atributos Unique-Serial-Number, Service-Reboot-Time e Server-Address deve ser uma identificação exclusiva para cada autenticação aceita pelo servidor.

  • Planeje usar servidores de acesso à rede que dão suporte à contabilidade provisória.

  • Planeje usar servidores de acesso à rede que enviam mensagens Accounting-on e Accounting-off.

  • Planeje usar servidores de acesso à rede que dão suporte ao armazenamento e encaminhamento de dados contábeis. Os servidores de acesso à rede que dão suporte a esse recurso podem armazenar dados de contabilidade quando não conseguirem se comunicar com o NPS. Quando o NPS está disponível, o servidor de acesso à rede encaminha os registros armazenados para o NPS, fornecendo maior confiabilidade na contabilidade em servidores de acesso à rede que não fornecem esse recurso.

  • Planeje sempre configurar o atributo Acct-Interim-Interval nas políticas de rede. O atributo Acct-Interim-Interval define o intervalo (em segundos) entre cada atualização provisória que o servidor de acesso à rede envia. De acordo com o RFC 2869, o valor do atributo Acct-Interim-Interval não deve ser menor que 60 segundos (1 minuto) e a recomendação é de que também não seja menor que 600 segundos (10 minutos), pois os valores acima de 600 segundos reduzem a frequência de atualizações recebidas pelo servidor RADIUS. Para saber mais, confira RFC 2869.

  • Verifique se o registro em log do status periódico está habilitado em seus NPSs.