Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode usar este tópico para obter uma visão geral do uso de nomes de território no processamento de solicitações de conexão do Servidor de Diretivas de Rede.
O atributo RADIUS User-Name é uma cadeia de caracteres que normalmente contém um local de conta de usuário e um nome de conta de usuário. O local da conta de utilizador também é chamado de realm ou nome do realm e é sinónimo do conceito de domínio, incluindo domínios DNS, domínios do Active Directory® e domínios do Windows NT 4.0. Por exemplo, se uma conta de usuário estiver localizada no banco de dados de contas de usuário de um domínio chamado example.com, example.com será o nome do território.
Em outro exemplo, se o atributo User-Name RADIUS contiver o nome de usuário user1@example.com, user1 é o nome da conta de utilizador e example.com é o nome do domínio. Os nomes de território podem ser apresentados no nome de usuário como um prefixo ou como um sufixo:
Example\user1. In this example, the realm name Example is a prefix; and it is also the name of an Active Directory® Domain Services (AD DS) domain.
user1@example.com. In this example, the realm name example.com is a suffix; and it is either a DNS domain name or the name of an AD DS domain.
Você pode usar nomes de território configurados em políticas de solicitação de conexão ao projetar e implantar sua infraestrutura RADIUS para garantir que as solicitações de conexão sejam roteadas de clientes RADIUS, também chamados de servidores de acesso à rede, para servidores RADIUS que possam autenticar e autorizar a solicitação de conexão.
Quando o NPS é configurado como um servidor RADIUS com a diretiva de solicitação de conexão padrão, o NPS processa solicitações de conexão para o domínio do qual o NPS é membro e para domínios confiáveis.
Para configurar o NPS para atuar como um proxy RADIUS e encaminhar solicitações de conexão para domínios não confiáveis, você deve criar uma nova diretiva de solicitação de conexão. Na nova política de solicitação de conexão, você deve configurar o atributo Nome de Usuário com o nome do território que estará contido no atributo User-Name das solicitações de conexão que deseja encaminhar. Você também deve configurar a diretiva de solicitação de conexão com um grupo de servidores remotos RADIUS. A diretiva de solicitação de conexão permite que o NPS calcule quais solicitações de conexão devem ser encaminhadas para o grupo de servidores remotos RADIUS com base na parte do território do atributo User-Name.
Adquirindo o nome do domínio
A parte do nome de domínio do nome de utilizador é fornecida quando o utilizador digita credenciais baseadas em senha durante uma tentativa de conexão ou quando um perfil do Gestor de Ligações no computador do utilizador é configurado para fornecer automaticamente o nome de domínio.
Você pode designar que os usuários da sua rede forneçam o nome do território ao digitar suas credenciais durante as tentativas de conexão de rede.
For example, you can require users to type their user name, including the user account name and the realm name, in User name in the Connect dialog box when making a dial-up or virtual private network (VPN) connection.
Além disso, se você criar um pacote de discagem personalizado com o Kit de Administração do Gerenciador de Conexões (CMAK), poderá ajudar os usuários adicionando o nome do território automaticamente ao nome da conta de usuário nos perfis CM instalados nos computadores dos usuários. Por exemplo, você pode especificar um nome de território e sintaxe de nome de usuário no perfil CM para que o usuário só precise especificar o nome da conta de usuário ao digitar credenciais. Nesta circunstância, o usuário não precisa conhecer ou lembrar o domínio onde sua conta de usuário está localizada.
Durante o processo de autenticação, depois que os usuários digitam suas credenciais baseadas em senha, o nome de usuário é passado do cliente de acesso para o servidor de acesso à rede. O servidor de acesso à rede constrói uma solicitação de conexão e inclui o nome do território dentro do atributo RADIUS User-Name na mensagem Access-Request enviada ao proxy ou servidor RADIUS.
Se o servidor RADIUS for um NPS, a mensagem Access-Request será avaliada em relação ao conjunto de diretivas de solicitação de conexão configuradas. As condições na política de solicitação de conexão podem incluir a especificação do conteúdo do atributo User-Name.
Você pode configurar um conjunto de políticas de solicitação de conexão que são específicas para o nome do território dentro do atributo User-Name das mensagens de entrada. Isso permite criar regras de roteamento que encaminham mensagens RADIUS com um nome de território específico para um conjunto específico de servidores RADIUS quando o NPS é usado como um proxy RADIUS.
Regras de manipulação de atributos
Antes que a mensagem RADIUS seja processada localmente (quando o NPS está sendo usado como um servidor RADIUS) ou encaminhada para outro servidor RADIUS (quando o NPS está sendo usado como um proxy RADIUS), o atributo User-Name na mensagem pode ser modificado por regras de manipulação de atributo. You can configure attribute manipulation rules for the User-Name attribute by selecting User name on the Conditions tab in the properties of a connection request policy. As regras de manipulação de atributos NPS usam sintaxe de expressão regular.
Note
A manipulação de domínio não funciona com PEAP.
O comportamento desejado pode ser realizado alternando para EAP-TLS ou EAP-MSCHAPv2 para autenticação ou adicionando um sufixo UPN ao de domínio para cada nome de domínio adicional que você precisa resolver.
Você pode configurar regras de manipulação de atributo para o atributo User-Name para alterar o seguinte:
Remova o nome do território do nome de usuário (também conhecido como remoção de realm). Por exemplo, o nome user1@example.com de usuário é alterado para user1.
Altere o nome do reino, mas não sua sintaxe. Por exemplo, o nome user1@example.com de usuário é alterado para user1@wcoast.example.com.
Altere a sintaxe do nome do território. Por exemplo, o nome de usuário example\user1 é alterado para user1@example.com.
Depois que o atributo User-Name é modificado de acordo com as regras de manipulação de atributos que você configura, configurações adicionais da primeira diretiva de solicitação de conexão correspondente são usadas para determinar se:
O NPS processa a mensagem Access-Request localmente (quando o NPS está sendo usado como um servidor RADIUS).
O NPS encaminha a mensagem para outro servidor RADIUS (quando o NPS está sendo usado como um proxy RADIUS).
Configurando o nome de domínio fornecido pelo NPS
Quando o nome de usuário não contém um nome de domínio, o NPS fornece um. Por padrão, o nome de domínio fornecido pelo NPS é o domínio do qual o NPS é membro. Você pode especificar o nome de domínio fornecido pelo NPS por meio da seguinte configuração do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Caution
A edição incorreta do registo pode danificar gravemente o seu sistema. Antes de fazer alterações no Registro, você deve fazer backup de todos os dados valiosos no computador.
Alguns servidores de acesso à rede que não são da Microsoft excluem ou modificam o nome de domínio conforme especificado pelo usuário. Como resultado, a solicitação de acesso à rede é autenticada no domínio padrão, que pode não ser o domínio da conta do usuário. Para resolver esse problema, configure seus servidores RADIUS para alterar o nome de usuário para o formato correto com o nome de domínio preciso.