Planejar NPS como um servidor RADIUS

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Quando você implanta o NPS (Servidor de Políticas de Rede) como um servidor RADIUS (Remote Authentication Dial-In User Service), o NPS executa autenticação, autorização e contabilização de solicitações de conexão para o domínio local e para domínios que confiam no domínio local. Você pode usar essas diretrizes de planejamento para simplificar sua implantação radius.

Essas diretrizes de planejamento não incluem circunstâncias nas quais você deseja implantar o NPS como um proxy RADIUS. Quando você implanta o NPS como um proxy RADIUS, o NPS encaminha solicitações de conexão para um servidor que executa o NPS ou outros servidores RADIUS em domínios remotos, domínios não confiáveis ou ambos.

Antes de implantar o NPS como um servidor RADIUS em sua rede, use as diretrizes a seguir para planejar sua implantação.

  • Planejar a configuração do NPS.

  • Planejar clientes RADIUS.

  • Planeje o uso de métodos de autenticação.

  • Planejar políticas de rede.

  • Planejar a contabilidade do NPS.

Planejar a configuração do NPS

Você deve decidir em qual domínio o NPS é membro. Para ambientes de vários domínios, um NPS pode autenticar credenciais para contas de usuário no domínio do qual ele é membro e para todos os domínios que confiam no domínio local do NPS. Para permitir que o NPS leia as propriedades discadas de contas de usuário durante o processo de autorização, você deve adicionar a conta de computador do NPS ao grupo RAS e NPSs para cada domínio.

Depois de determinar a associação de domínio do NPS, o servidor deve ser configurado para se comunicar com clientes RADIUS, também chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso, você pode configurar os tipos de eventos que o NPS registra no log de eventos e pode inserir uma descrição para o servidor.

Etapas principais

Durante o planejamento da configuração do NPS, você pode usar as etapas a seguir.

  • Determine as portas RADIUS que o NPS usa para receber mensagens RADIUS de clientes RADIUS. As portas padrão são as portas UDP 1812 e 1645 para mensagens de autenticação RADIUS e as portas 1813 e 1646 para mensagens de contabilidade RADIUS.

  • Se o NPS estiver configurado com vários adaptadores de rede, determine os adaptadores sobre os quais você deseja que o tráfego RADIUS seja permitido.

  • Determine os tipos de eventos que você deseja que o NPS registre no Log de Eventos. Você pode registrar solicitações de autenticação rejeitadas, solicitações de autenticação bem-sucedidas ou ambos os tipos de solicitações.

  • Determine se você está implantando mais de um NPS. Para fornecer tolerância a falhas para autenticação e contabilidade baseadas em RADIUS, use pelo menos dois NPSs. Um NPS é usado como o servidor RADIUS primário e o outro é usado como backup. Cada cliente RADIUS é configurado em ambos os NPSs. Se o NPS primário ficar indisponível, os clientes RADIUS Access-Request mensagens para o NPS alternativo.

  • Planeje o script usado para copiar uma configuração do NPS para outros NPSs para economizar na sobrecarga administrativa e evitar a cofiguração incorreta de um servidor. O NPS fornece os comandos Netsh que permitem copiar toda ou parte de uma configuração do NPS para importação para outro NPS. Você pode executar os comandos manualmente no prompt do Netsh. No entanto, se você salvar a sequência de comandos como um script, poderá executar o script em uma data posterior se decidir alterar as configurações do servidor.

Planejar clientes RADIUS

Os clientes RADIUS são servidores de acesso à rede, como pontos de acesso sem fio, servidores VPN (rede virtual privada), comutadores com capacidade para 802.1X e servidores discados. Os proxies RADIUS, que encaminham mensagens de solicitação de conexão para servidores RADIUS, também são clientes RADIUS. O NPS dá suporte a todos os servidores de acesso à rede e proxies RADIUS que estão em conformidade com o protocolo RADIUS, conforme descrito em RFC 2865, "RADIUS (Serviço de Usuário Discado de Autenticação Remota) e RFC 2866, "Contabilidade RADIUS".

Importante

Os clientes de acesso, como computadores cliente, não são clientes RADIUS. Somente servidores de acesso à rede e servidores proxy que suportam o protocolo RADIUS são clientes RADIUS.

Além disso, os pontos de acesso sem fio e as opções devem ser capazes de autenticação 802.1X. Se você quiser implantar o Protocolo de Autenticação Extensível (EAP) ou o PEAP (Protocolo de Autenticação Extensível Protegido), os pontos de acesso e as opções deverão dar suporte ao uso do EAP.

Para testar a interoperabilidade básica para conexões PPP para pontos de acesso sem fio, configure o ponto de acesso e o cliente de acesso para usar o PROTOCOLO DE AUTENTICAÇÃO de Senha (PAP). Use protocolos de autenticação adicionais baseados em PPP, como PEAP, até que você teste aqueles que pretende usar para acesso à rede.

Etapas principais

Durante o planejamento de clientes RADIUS, você pode usar as etapas a seguir.

  • Documente os VSAs (atributos específicos do fornecedor) que você deve configurar no NPS. Se os servidores de acesso à rede exigirem VSAs, registre as informações do VSA para uso posterior ao configurar suas políticas de rede no NPS.

  • Documente os endereços IP de clientes RADIUS e o NPS para simplificar a configuração de todos os dispositivos. Ao implantar seus clientes RADIUS, você deve configurá-los para usar o protocolo RADIUS, com o endereço IP NPS inserido como o servidor de autenticação. E ao configurar o NPS para se comunicar com seus clientes RADIUS, você deve inserir os endereços IP do cliente RADIUS no snap-in do NPS.

  • Crie segredos compartilhados para configuração nos clientes RADIUS e no snap-in do NPS. Você deve configurar clientes RADIUS com um segredo compartilhado ou senha, que você também inserirá no snap-in nps ao configurar clientes RADIUS no NPS.

Planejar o uso de métodos de autenticação

O NPS dá suporte a métodos de autenticação baseados em senha e de certificado. No entanto, nem todos os servidores de acesso à rede são suportados pelos mesmos métodos de autenticação. Em alguns casos, talvez você queira implantar um método de autenticação diferente com base no tipo de acesso à rede.

Por exemplo, talvez você queira implantar o acesso sem fio e VPN para sua organização, mas use um método de autenticação diferente para cada tipo de acesso: EAP-TLS para conexões VPN, devido à segurança forte que o EAP com o EAP-TLS (Transport Layer Security) fornece e PEAP-MS-CHAP v2 para conexões sem fio 802.1X.

O PEAP com o Protocolo de Autenticação de Handshake de Desafio da Microsoft versão 2 (PEAP-MS-CHAP v2) fornece um recurso chamado reconexão rápida, projetado especificamente para uso com computadores portáteis e outros dispositivos sem fio. A reconexão rápida permite que os clientes sem fio se movam entre pontos de acesso sem fio na mesma rede sem serem autenticados novamente sempre que se associam a um novo ponto de acesso. Isso fornece uma experiência melhor para usuários sem fio e permite que eles se movam entre os pontos de acesso sem a necessidade de retipo de suas credenciais. Devido à reconexão rápida e à segurança que o PEAP-MS-CHAP v2 fornece, o PEAP-MS-CHAP v2 é uma opção lógica como um método de autenticação para conexões sem fio.

Para conexões VPN, o EAP-TLS é um método de autenticação baseado em certificado que fornece segurança forte que protege o tráfego de rede, mesmo quando ele é transmitido pela Internet de computadores móveis ou de casa para os servidores VPN da sua organização.

Métodos de autenticação baseados em certificado

Os métodos de autenticação baseados em certificado têm a vantagem de fornecer segurança forte; e têm a desvantagem de serem mais difíceis de implantar do que os métodos de autenticação baseados em senha.

PEAP-MS-CHAP v2 e EAP-TLS são métodos de autenticação baseados em certificado, mas há muitas diferenças entre eles e a maneira como eles são implantados.

EAP-TLS

O EAP-TLS usa certificados para autenticação de cliente e servidor e requer que você implante uma PKI (infraestrutura de chave pública) em sua organização. A implantação de uma PKI pode ser complexa e requer uma fase de planejamento que seja independente do planejamento para o uso do NPS como um servidor RADIUS.

Com o EAP-TLS, o NPS registra um certificado do servidor de uma AC (autoridade de certificação) e o certificado é salvo no computador local no armazenamento de certificados. Durante o processo de autenticação, a autenticação do servidor ocorre quando o NPS envia seu certificado de servidor para o cliente de acesso para provar sua identidade para o cliente de acesso. O cliente de acesso examina várias propriedades de certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma AC em que o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.

Da mesma forma, a autenticação do cliente ocorre durante o processo de autenticação quando o cliente envia seu certificado de cliente para o NPS para provar sua identidade para o NPS. O NPS examina o certificado e, se o certificado do cliente atende aos requisitos mínimos de certificado do cliente e é emitido por uma AC em que o NPS confia, o cliente de acesso é autenticado com êxito pelo NPS.

Embora seja necessário que o certificado do servidor seja armazenado no armazenamento de certificados no NPS, o certificado do cliente ou do usuário pode ser armazenado no armazenamento de certificados no cliente ou em um cartão inteligente.

Para que esse processo de autenticação seja bem-sucedido, é necessário que todos os computadores tenham o certificado de autoridade de certificação da sua organização no armazenamento de certificados autoridades de certificação raiz confiáveis para o computador local e o usuário atual.

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 usa um certificado para autenticação de servidor e credenciais baseadas em senha para autenticação de usuário. Como os certificados são usados apenas para autenticação de servidor, você não precisa implantar uma PKI para usar PEAP-MS-CHAP v2. Ao implantar o PEAP-MS-CHAP v2, você pode obter um certificado do servidor para o NPS de uma das duas maneiras a seguir:

  • Você pode instalar Serviços de Certificados do Active Directory (AD CS) e, em seguida, o registro automático de certificados no NPSs. Se você usar esse método, também deverá registrar o certificado de AC em computadores cliente que se conectam à sua rede para que eles confiem no certificado emitido para o NPS.

  • Você pode comprar um certificado do servidor de uma AC pública, como VeriSign. Se você usar esse método, selecione uma AC que já seja confiável para computadores cliente. Para determinar se os computadores cliente confiam em uma AC, abra o snap-in MMC (Certificados Console de Gerenciamento Microsoft) em um computador cliente e, em seguida, veja o armazenamento autoridades de certificação raiz confiáveis para o computador local e para o usuário atual. Se houver um certificado da AC nesses armazenamentos de certificados, o computador cliente confiará na AC e, portanto, confiará em qualquer certificado emitido pela AC.

Durante o processo de autenticação com PEAP-MS-CHAP v2, a autenticação do servidor ocorre quando o NPS envia seu certificado do servidor para o computador cliente. O cliente de acesso examina várias propriedades de certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma AC em que o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.

A autenticação do usuário ocorre quando um usuário tenta se conectar aos tipos de rede com credenciais baseadas em senha e tenta fazer logoff. O NPS recebe as credenciais e executa autenticação e autorização. Se o usuário for autenticado e autorizado com êxito e se o computador cliente tiver autenticado com êxito o NPS, a solicitação de conexão será concedida.

Etapas principais

Durante o planejamento do uso de métodos de autenticação, você pode usar as etapas a seguir.

  • Identifique os tipos de acesso à rede que você planeja oferecer, como sem fio, VPN, com opção 802.1X e acesso discado.

  • Determine o método de autenticação ou os métodos que você deseja usar para cada tipo de acesso. É recomendável que você use os métodos de autenticação baseados em certificado que fornecem segurança forte; no entanto, pode não ser prático implantar uma PKI, portanto, outros métodos de autenticação podem fornecer um melhor equilíbrio do que você precisa para sua rede.

  • Se você estiver implantando o EAP-TLS, planeje sua implantação de PKI. Isso inclui o planejamento dos modelos de certificado que você usará para certificados de servidor e certificados de computador cliente. Ele também inclui determinar como registrar certificados em computadores membros do domínio e não membros do domínio e determinar se você deseja usar cartões inteligentes.

  • Se você estiver implantando PEAP-MS-CHAP v2, determine se deseja instalar o AD CS para emitir certificados de servidor para seus NPSs ou se deseja comprar certificados de servidor de uma AC pública, como VeriSign.

Planejar políticas de rede

As políticas de rede são usadas pelo NPS para determinar se as solicitações de conexão recebidas de clientes RADIUS estão autorizadas. O NPS também usa as propriedades discadas da conta de usuário para fazer uma determinação de autorização.

Como as políticas de rede são processadas na ordem em que aparecem no snap-in nps, planeje colocar suas políticas mais restritivas primeiro na lista de políticas. Para cada solicitação de conexão, o NPS tenta corresponder as condições da política com as propriedades da solicitação de conexão. O NPS examina cada política de rede na ordem até encontrar uma combinação. Se ele não encontrar uma combinação, a solicitação de conexão será rejeitada.

Etapas principais

Durante o planejamento de políticas de rede, você pode usar as etapas a seguir.

  • Determine a ordem de processamento do NPS preferencial das políticas de rede, da mais restritiva à menos restritiva.

  • Determine o estado da política. O estado da política pode ter o valor de habilitado ou desabilitado. Se a política estiver habilitada, o NPS avaliará a política durante a execução da autorização. Se a política não estiver habilitada, ela não será avaliada.

  • Determine o tipo de política. Você deve determinar se a política foi projetada para conceder acesso quando as condições da política são corresponderes pela solicitação de conexão ou se a política foi projetada para negar acesso quando as condições da política são corresponderem pela solicitação de conexão. Por exemplo, se você quiser negar explicitamente o acesso sem fio aos membros de um grupo Windows, poderá criar uma política de rede que especifique o grupo, o método de conexão sem fio e que tenha uma configuração de tipo de política negar acesso.

  • Determine se você deseja que o NPS ignore as propriedades discadas das contas de usuário que são membros do grupo no qual a política se baseia. Quando essa configuração não está habilitada, as propriedades discadas das contas de usuário substituem as configurações configuradas nas políticas de rede. Por exemplo, se uma política de rede estiver configurada que concede acesso a um usuário, mas as propriedades discadas da conta de usuário para esse usuário estão definidas para negar o acesso, o usuário terá o acesso negado. Mas se você habilitar a configuração de tipo de política Ignorar propriedades discadas da conta de usuário, o mesmo usuário terá acesso à rede.

  • Determine se a política usa a configuração de origem da política. Essa configuração permite que você especifique facilmente uma origem para todas as solicitações de acesso. As fontes possíveis são um Gateway de Serviços de Terminal (Gateway de TS), um servidor de acesso remoto (VPN ou discagem), um servidor DHCP, um ponto de acesso sem fio e um servidor da Autoridade de Registro de Saúde. Como alternativa, você pode especificar uma fonte específica do fornecedor.

  • Determine as condições que devem ser corresponder para que a política de rede seja aplicada.

  • Determine as configurações aplicadas se as condições da política de rede corresponderem à solicitação de conexão.

  • Determine se você deseja usar, modificar ou excluir as políticas de rede padrão.

Planejar a contabilidade do NPS

O NPS fornece a capacidade de registrar dados de contabilidade RADIUS, como solicitações de contabilidade e autenticação de usuário, em três formatos: formato IAS, formato compatível com banco de dados e registro Microsoft SQL Server registro em log.

Formato IAS e formato compatível com banco de dados criam arquivos de log no NPS local no formato de arquivo de texto.

O log SQL Server fornece a capacidade de fazer logoff em um banco de dados em conformidade com XML do SQL Server 2000 ou SQL Server 2005, estendendo a contabilidade RADIUS para aproveitar as vantagens do registro em log para um banco de dados relacional.

Etapas principais

Durante o planejamento da contabilidade do NPS, você pode usar as etapas a seguir.

  • Determine se você deseja armazenar dados de contabilidade NPS em arquivos de log ou em um banco SQL Server dados.

Contabilidade do NPS usando arquivos de log locais

A gravação de solicitações de contabilidade e autenticação de usuário em arquivos de log é usada principalmente para fins de análise de conexão e cobrança e também é útil como uma ferramenta de investigação de segurança, fornecendo um método para acompanhar a atividade de um usuário mal-intencionado após um ataque.

Etapas principais

Durante o planejamento da contabilidade do NPS usando arquivos de log locais, você pode usar as etapas a seguir.

  • Determine o formato de arquivo de texto que você deseja usar para seus arquivos de log NPS.

  • Escolha o tipo de informação que você deseja registrar em log. Você pode registrar solicitações de contabilidade, solicitações de autenticação e status periódico.

  • Determine o local do disco rígido em que você deseja armazenar os arquivos de log.

  • Projete sua solução de backup de arquivo de log. O local do disco rígido em que você armazena os arquivos de log deve ser um local que permite que você faça backup facilmente de seus dados. Além disso, o local do disco rígido deve ser protegido configurando a ACL (lista de controle de acesso) para a pasta em que os arquivos de log estão armazenados.

  • Determine a frequência na qual você deseja que novos arquivos de log sejam criados. Se você quiser que os arquivos de log sejam criados com base no tamanho do arquivo, determine o tamanho máximo permitido do arquivo antes que um novo arquivo de log seja criado pelo NPS.

  • Determine se você deseja que o NPS exclua arquivos de log mais antigos se o disco rígido ficar sem espaço de armazenamento.

  • Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados de contabilidade e produzir relatórios.

Registro em log SQL Server NPS

O log SQL Server NPS é usado quando você precisa de informações de estado de sessão, para fins de criação de relatório e análise de dados, e para centralizar e simplificar o gerenciamento de seus dados de contabilidade.

O NPS fornece a capacidade de usar o log do SQL Server para registrar solicitações de autenticação e contabilidade de usuário recebidas de um ou mais servidores de acesso à rede para uma fonte de dados em um computador que executa o Mecanismo de Área de Trabalho do Microsoft SQL Server (MSDE 2000) ou qualquer versão do SQL Server posterior ao SQL Server 2000.

Os dados de contabilidade são passados do NPS no formato XML para um procedimento armazenado no banco de dados, que dá suporte a linguagem de consulta estruturada (SQL) e XML (SQLXML). A gravação de solicitações de autenticação e contabilidade de usuário em um banco de dados em conformidade com XML SQL Server permite que vários NPSs tenham uma fonte de dados.

Etapas principais

Durante o planejamento da contabilidade do NPS usando o nps SQL Server log, você pode usar as etapas a seguir.

  • Determine se você ou outro membro da sua organização tem uma experiência de desenvolvimento de banco de dados relacional do SQL Server 2000 ou SQL Server 2005 e você entende como usar esses produtos para criar, modificar, administrar e gerenciar bancos de dados SQL Server.

  • Determine se SQL Server está instalado no NPS ou em um computador remoto.

  • Projete o procedimento armazenado que você usará em seu banco de dados SQL Server para processar arquivos XML de entrada que contêm dados de contabilidade NPS.

  • Projete a estrutura SQL Server e o fluxo de replicação de banco de dados.

  • Determine o aplicativo ou os aplicativos que você deseja usar para exibir dados de contabilidade e produzir relatórios.

  • Planeje usar servidores de acesso à rede que enviam o atributo Class em todas as solicitações de contabilidade. O atributo Class é enviado ao cliente RADIUS em uma mensagem Access-Accept e é útil para correlacionar mensagens Accounting-Request com sessões de autenticação. Se o atributo Class for enviado pelo servidor de acesso à rede nas mensagens de solicitação de contabilidade, ele poderá ser usado para corresponder aos registros de contabilidade e autenticação. A combinação dos atributos Unique-Serial-Number, Service-Reboot-Time e Server-Address deve ser uma identificação exclusiva para cada autenticação que o servidor aceita.

  • Planeje usar servidores de acesso à rede que deem suporte à contabilidade provisória.

  • Planeje usar servidores de acesso à rede que enviam mensagens de contabilidade e contabilidade.

  • Planeje usar servidores de acesso à rede que deem suporte ao armazenamento e encaminhamento de dados de contabilidade. Os servidores de acesso à rede que suportam esse recurso podem armazenar dados de contabilidade quando o servidor de acesso à rede não pode se comunicar com o NPS. Quando o NPS está disponível, o servidor de acesso à rede encaminha os registros armazenados para o NPS, fornecendo maior confiabilidade na contabilidade em servidores de acesso à rede que não fornecem esse recurso.

  • Planeje sempre configurar o atributo Acct-Interim-Interval em políticas de rede. O atributo Acct-Interim-Interval define o intervalo (em segundos) entre cada atualização provisória que o servidor de acesso à rede envia. De acordo com o RFC 2869, o valor do atributo Acct-Interim-Interval não deve ser menor que 60 segundos ou um minuto e não deve ser menor que 600 segundos ou 10 minutos. Para obter mais informações, consulte RFC 2869, "Extensões RADIUS".

  • Verifique se o registro em log do status periódico está habilitado em seus NPSs.