Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este é um guia complementar do Guia de Rede Principal do Windows Server® 2016. O Guia da Rede Principal fornece instruções para planejar e implantar os componentes necessários para uma rede totalmente funcional e um novo domínio do Ative Directory® em uma nova floresta.
Este guia explica como construir sobre uma rede principal, fornecendo instruções sobre como implantar o acesso sem fio IEEE 802.11 autenticado pelo Institute of Electrical and Electronics Engineers (IEEE) 802.1X usando o Protected Extensible Authentication Protocol – Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2).
Como o PEAP-MS-CHAP v2 exige que os usuários forneçam credenciais baseadas em senha em vez de um certificado durante o processo de autenticação, normalmente é mais fácil e menos dispendioso implantar do que EAP-TLS ou PEAP-TLS.
Note
Neste guia, o acesso sem fio autenticado IEEE 802.1X com PEAP-MS-CHAP v2 é abreviado para "acesso sem fio" e "acesso WiFi".
Sobre este guia
Este guia, em combinação com os guias de pré-requisitos descritos abaixo, fornece instruções sobre como implantar a seguinte infraestrutura de acesso WiFi.
Um ou mais pontos de acesso sem fio (APs) 802.11 compatíveis com 802.1X.
Usuários e computadores dos Serviços de Domínio Ative Directory (AD DS).
Gerenciamento de Diretiva de Grupo.
Um ou mais servidores NPS (Servidor de Políticas de Rede).
Certificados de servidor para computadores que executam o NPS.
Computadores cliente sem fio que executam o Windows® 10, Windows 8.1 ou Windows 8.
Dependências para este guia
Para implantar com êxito a conexão sem fio autenticada com este guia, você deve ter um ambiente de rede e domínio com todas as tecnologias necessárias implantadas. Você também deve ter certificados de servidor implantados em seus NPSs de autenticação.
As seções a seguir fornecem links para a documentação que mostra como implantar essas tecnologias.
Dependências de ambiente de rede e domínio
Este guia foi projetado para administradores de rede e de sistema que seguiram as instruções do Guia de Rede Principal do Windows Server 2016 para implantar uma rede principal ou para aqueles que implantaram anteriormente as tecnologias principais incluídas na rede principal, incluindo AD DS, DNS (Sistema de Nomes de Domínio), DHCP (Dynamic Host Configuration Protocol), TCP/IP, NPS e WINS (Windows Internet Name Service).
O Guia de Rede Principal do Windows Server 2016 está disponível na Biblioteca Técnica do Windows Server 2016.
Dependências de certificado do servidor
Há duas opções disponíveis para registrar servidores de autenticação com certificados de servidor para uso com autenticação 802.1X - implantar sua própria infraestrutura de chave pública usando os Serviços de Certificados do Ative Directory (AD CS) ou usar certificados de servidor registrados por uma autoridade de certificação (CA) pública.
AD CS
Os administradores de rede e de sistema que implantam redes sem fio autenticadas devem seguir as instruções do Guia complementar da rede principal do Windows Server 2016, Implantar certificados de servidor para implantações com e sem fio 802.1X. Este guia explica como implantar e usar o AD CS para registrar automaticamente certificados de servidor em computadores que executam o NPS.
Este guia está disponível no seguinte local.
- O Guia Complementar da Rede Principal do Windows Server 2016 Implante certificados de servidor para implantações cabladas e sem fios 802.1X no formato HTML na Biblioteca Técnica.
AC pública
Você pode comprar certificados de servidor de uma autoridade de certificação pública, como a VeriSign, na qual os computadores clientes já confiam.
Um computador cliente confia numa autoridade de certificação quando o certificado da autoridade de certificação é instalado no repositório de certificados das Autoridades de Certificação Raiz Confiáveis. Por padrão, os computadores que executam o Windows têm vários certificados de CA públicos instalados em seu armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis.
É recomendável que você revise os guias de design e implantação para cada uma das tecnologias usadas neste cenário de implantação. Esses guias podem ajudá-lo a determinar se esse cenário de implantação fornece os serviços e a configuração necessários para a rede da sua organização.
Requirements
A seguir estão os requisitos para implantar uma infraestrutura de acesso sem fio usando o cenário documentado neste guia:
Antes de implantar esse cenário, você deve primeiro comprar pontos de acesso sem fio compatíveis com 802.1X para fornecer cobertura sem fio nos locais desejados em seu site. A seção de planejamento deste guia ajuda a determinar os recursos que seus APs devem suportar.
Os Serviços de Domínio Ative Directory (AD DS) estão instalados, assim como as outras tecnologias de rede necessárias, de acordo com as instruções do Guia de Rede Principal do Windows Server 2016.
O AD CS é implantado e os certificados de servidor são registrados nos NPSs. Esses certificados são necessários quando você implanta o método de autenticação baseado em certificado PEAP-MS-CHAP v2 usado neste guia.
Um membro da sua organização está familiarizado com os padrões IEEE 802.11 que são suportados pelos seus APs sem fio e os adaptadores de rede sem fio instalados nos computadores clientes e dispositivos na rede. Por exemplo, alguém na sua organização está familiarizado com tipos de radiofrequência, autenticação sem fio 802.11 (WPA2 ou WPA) e cifras (AES ou TKIP).
O que este guia não fornece
A seguir estão alguns itens que este guia não fornece:
Orientação abrangente para selecionar pontos de acesso sem fio compatíveis com 802.1X
Como existem muitas diferenças entre marcas e modelos de APs sem fio compatíveis com 802.1X, este guia não fornece informações detalhadas sobre:
Determinar qual marca ou modelo de AP sem fio é mais adequado às suas necessidades.
A implantação física de APs sem fio em sua rede.
Configuração avançada de AP sem fio, como para VLANs (Local Area Networks) virtuais sem fio.
Instruções sobre como configurar atributos específicos do fornecedor de AP sem fio no NPS.
Além disso, a terminologia e os nomes das configurações variam entre marcas e modelos de AP sem fio e podem não corresponder aos nomes de configuração genéricos usados neste guia. Para obter detalhes de configuração de AP sem fio, você deve revisar a documentação do produto fornecida pelo fabricante de seus APs sem fio.
Instruções para implantar certificados NPS
Há duas alternativas para implantar certificados NPS. Este guia não fornece orientação abrangente para ajudá-lo a determinar qual alternativa melhor atenderá às suas necessidades. Em geral, no entanto, as escolhas que você enfrenta são:
Comprar certificados de uma autoridade de certificação pública, como a VeriSign, que já são confiáveis por clientes baseados no Windows. Esta opção é normalmente recomendada para redes mais pequenas.
Implantar uma PKI (infraestrutura de chave pública) em sua rede usando o AD CS. Isso é recomendado para a maioria das redes, e as instruções sobre como implantar certificados de servidor com o AD CS estão disponíveis no guia de implantação mencionado anteriormente.
Políticas de rede NPS e outras configurações NPS
Exceto para as definições de configuração feitas quando você executa o assistente Configurar 802.1X , conforme documentado neste guia, este guia não fornece informações detalhadas para configurar manualmente as condições, restrições ou outras configurações do NPS.
DHCP
Este guia de implantação não fornece informações sobre como projetar ou implantar sub-redes DHCP para LANs sem fio.
Visão geral da tecnologia
A seguir estão as visões gerais da tecnologia para implantar o acesso sem fio:
IEEE 802.1X
O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta que é usado para fornecer acesso de rede autenticado a redes Ethernet. Este controlo de acesso à rede baseado em portas utiliza as características físicas da infraestrutura LAN comutada para autenticar dispositivos ligados a uma porta LAN. O acesso à porta pode ser negado se o processo de autenticação falhar. Embora este padrão foi projetado para redes Ethernet com fio, ele foi adaptado para uso em LANs sem fio 802.11.
Pontos de acesso sem fio (APs) compatíveis com 802.1X
Este cenário requer a implantação de um ou mais APs sem fio compatíveis com 802.1X que sejam compatíveis com o protocolo RADIUS (Remote Authentication Dial-In User Service).
APs compatíveis com 802.1X e RADIUS, quando implantados em uma infraestrutura RADIUS com um servidor RADIUS, como um NPS, são chamados de clientes RADIUS.
Clientes sem fio
Este guia fornece detalhes de configuração abrangentes para fornecer acesso autenticado 802.1X para usuários membros do domínio que se conectam à rede com computadores cliente sem fio que executam o Windows 10, Windows 8.1 e Windows 8. Os computadores devem ser associados ao domínio para estabelecer com êxito o acesso autenticado.
Note
Você também pode usar computadores que executam o Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 como clientes sem fio.
Suporte para padrões IEEE 802.11
Os sistemas operativos Windows e Windows Server suportados fornecem suporte incorporado para redes sem fios 802.11. Nesses sistemas operacionais, um adaptador de rede sem fio 802.11 instalado aparece como uma conexão de rede sem fio no Centro de Rede e Compartilhamento.
Embora haja suporte interno para rede sem fio 802.11, os componentes sem fio do Windows dependem do seguinte:
As capacidades do adaptador de rede sem fio. O adaptador de rede sem fio instalado deve suportar os padrões de segurança de LAN sem fio ou sem fio que você precisa. Por exemplo, se o adaptador de rede sem fio não suportar Wi-Fi WPA (Acesso Protegido), você não poderá habilitar ou configurar as opções de segurança WPA.
As capacidades do driver do adaptador de rede sem fio. Para permitir que você configure opções de rede sem fio, o driver para o adaptador de rede sem fio deve suportar o relatório de todos os seus recursos para o Windows. Verifique se o driver do adaptador de rede sem fio foi escrito para os recursos do sistema operacional. Verifique também se o driver é a versão mais atual verificando o Microsoft Update ou o site do fornecedor do adaptador de rede sem fio.
A tabela a seguir mostra as taxas de transmissão e freqüências para padrões comuns IEEE 802.11 sem fio.
| Standards | Frequencies | Taxas de transmissão de bits | Usage |
|---|---|---|---|
| 802.11 | Faixa de freqüência Industrial, Científica e Médica (ISM) de banda S (2,4 a 2,5 GHz) | 2 megabits por segundo (Mbps) | Obsolete. Não é comumente usado. |
| 802.11b | Banda S ISM | 11 Mbps | Comumente usado. |
| 802.11a | Banda C ISM (5,725 a 5,875 GHz) | 54 Mbps | Não é comumente usado devido a despesas e alcance limitado. |
| 802.11g | Banda S ISM | 54 Mbps | Amplamente utilizado. Os dispositivos 802.11g são compatíveis com dispositivos 802.11b. |
| 802.11n \2.4 e 5.0 GHz | Banda C e Banda S ISM | 250 Mbps | Dispositivos baseados na pré-ratificação do padrão IEEE 802.11n tornaram-se disponíveis em agosto de 2007. Muitos dispositivos 802.11n são compatíveis com dispositivos 802.11a, b e g. |
| 802.11ac | 5 GHz | 6,93 Gbps | O 802.11ac, aprovado pelo IEEE em 2014, é mais escalável e rápido do que o 802.11n, e é implantado onde APs e clientes sem fio o suportam. |
Métodos de segurança de rede sem fio
Os métodos de segurança de rede sem fio são um agrupamento informal de autenticação sem fio (às vezes referida como segurança sem fio) e criptografia de segurança sem fio. A autenticação e criptografia sem fio são usadas em pares para impedir que usuários não autorizados acessem a rede sem fio e para proteger as transmissões sem fio.
Ao definir as configurações de segurança sem fio nas Diretivas de Rede Sem Fio da Diretiva de Grupo, há várias combinações para escolher. No entanto, apenas os padrões WPA2-Enterprise, WPA-Enterprise e Open com autenticação 802.1X são suportados para implantações sem fio autenticadas 802.1X.
Note
Ao configurar as Políticas de Rede Sem Fio, você deve selecionar WPA2-Enterprise, WPA-Enterprise ou Abrir com 802.1X para obter acesso às configurações de EAP necessárias para implantações sem fio autenticadas 802.1X.
Autenticação sem fio
Este guia recomenda o uso dos seguintes padrões de autenticação sem fio para implantações sem fio autenticadas 802.1X.
Wi-Fi Protected Access – Empresa (WPA-Enterprise) O WPA é um padrão provisório desenvolvido pela Aliança WiFi para cumprir o protocolo de segurança wireless 802.11. O protocolo WPA foi desenvolvido em resposta a uma série de falhas graves que foram descobertas no protocolo Wired Equivalent Privacy (WEP) anterior.
WPA-Enterprise proporciona maior segurança em relação ao WEP ao:
Exigir autenticação que usa a estrutura EAP 802.1X como parte da infraestrutura que garante autenticação mútua centralizada e gerenciamento dinâmico de chaves
Aprimorando o valor de verificação de integridade (ICV) com uma verificação de integridade de mensagem (MIC), para proteger o cabeçalho e a carga útil
Implementação de um contador de frames para desencorajar ataques de repetição
Wi-Fi Protected Access 2 – Corporativo (WPA2-Enterprise) Como o padrão WPA-Enterprise, WPA2-Enterprise usa a estrutura 802.1X e EAP. WPA2-Enterprise fornece proteção de dados mais forte para vários usuários e grandes redes gerenciadas. WPA2-Enterprise é um protocolo robusto projetado para impedir o acesso não autorizado à rede, verificando os usuários da rede por meio de um servidor de autenticação.
Encriptação de segurança sem fios
A criptografia de segurança sem fio é usada para proteger as transmissões sem fio que são enviadas entre o cliente sem fio e o AP sem fio. A criptografia de segurança sem fio é usada em conjunto com o método de autenticação de segurança de rede selecionado. Por predefinição, os computadores com o Windows 10, Windows 8.1 e Windows 8 suportam dois padrões de encriptação:
O TKIP (Temporal Key Integrity Protocol ) é um protocolo de criptografia mais antigo que foi originalmente projetado para fornecer criptografia sem fio mais segura do que a fornecida pelo protocolo WEP (Wired Equivalent Privacy) inerentemente fraco. O TKIP foi projetado pelo grupo de trabalho IEEE 802.11i e pela Wi-Fi Alliance para substituir o WEP sem exigir a substituição de hardware legado. O TKIP é um conjunto de algoritmos que encapsula a carga útil WEP e permite que os usuários de equipamentos WiFi legados atualizem para o TKIP sem substituir o hardware. Como WEP, TKIP usa o algoritmo de criptografia de fluxo RC4 como sua base. O novo protocolo, no entanto, criptografa cada pacote de dados com uma chave de criptografia exclusiva, e as chaves são muito mais fortes do que as do WEP. Embora o TKIP seja útil para atualizar a segurança em dispositivos mais antigos que foram projetados para usar apenas WEP, ele não resolve todos os problemas de segurança enfrentados pelas LANs sem fio e, na maioria dos casos, não é suficientemente robusto para proteger transmissões de dados confidenciais governamentais ou corporativos.
Advanced Encryption Standard (AES) é o protocolo de criptografia preferido para a criptografia de dados comerciais e governamentais. AES oferece um nível mais alto de segurança de transmissão sem fio do que TKIP ou WEP. Ao contrário do TKIP e WEP, o AES requer hardware sem fio que suporte o padrão AES. AES é um padrão de criptografia de chave simétrica que usa três cifras de bloco, AES-128, AES-192 e AES-256.
No Windows Server 2016, os seguintes métodos de criptografia sem fio baseados em AES estão disponíveis para configuração em propriedades de perfil sem fio quando você seleciona um método de autenticação do WPA2-Enterprise, que é recomendado.
- AES-CCMP. O CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) implementa o padrão 802.11i e foi projetado para criptografia de segurança mais alta do que a fornecida pelo WEP e usa chaves de criptografia AES de 128 bits.
- AES-GCMP. Galois Counter Mode Protocol (GCMP) é suportado pelo 802.11ac, é mais eficiente do que AES-CCMP e fornece melhor desempenho para clientes sem fio. O GCMP usa chaves de criptografia AES de 256 bits.
Important
Wired Equivalency Privacy (WEP) era o padrão de segurança sem fio original que era usado para criptografar o tráfego de rede. Você não deve implantar WEP em sua rede porque há vulnerabilidades bem conhecidas nessa forma desatualizada de segurança.
Serviços de Domínio Ative Directory (AD DS)
O AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos de rede e dados específicos de aplicativos habilitados para diretório. Os administradores podem usar o AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de contenção hierárquica. A estrutura de contenção hierárquica inclui a floresta do Ative Directory, domínios na floresta e unidades organizacionais (OUs) em cada domínio. Um servidor que esteja executando o AD DS é chamado de controlador de domínio.
O AD DS contém as contas de usuário, contas de computador e propriedades de conta exigidas pelo IEEE 802.1X e PEAP-MS-CHAP v2 para autenticar credenciais de usuário e avaliar a autorização para conexões sem fio.
Utilizadores e Computadores do Active Directory
Usuários e Computadores do Ative Directory é um componente do AD DS que contém contas que representam entidades físicas, como um computador, uma pessoa ou um grupo de segurança. Um grupo de segurança é uma coleção de contas de usuário ou computador que os administradores podem gerenciar como uma única unidade. As contas de utilizador e de computador que pertencem a um determinado grupo são referidas como membros do grupo.
Gerenciamento de Diretiva de Grupo
O Gerenciamento de Diretiva de Grupo permite o gerenciamento de alterações e configurações baseado em diretório das configurações do usuário e do computador, incluindo informações de segurança e do usuário. Use a Diretiva de Grupo para definir configurações para grupos de usuários e computadores. Com a Diretiva de Grupo, você pode especificar configurações para entradas do Registro, segurança, instalação de software, scripts, redirecionamento de pasta, serviços de instalação remota e manutenção do Internet Explorer. As configurações de Diretiva de Grupo que você cria estão contidas em um objeto de Diretiva de Grupo (GPO). Ao associar um GPO a contêineres de sistema do Ative Directory selecionados — sites, domínios e UOs — você pode aplicar as configurações do GPO aos usuários e computadores nesses contêineres do Ative Directory. Para gerir objetos de Diretiva de Grupo numa organização, pode usar o Editor de Gestão de Políticas de Grupo da Consola de Gestão Microsoft (MMC).
Este guia fornece instruções detalhadas sobre como especificar configurações na extensão de diretivas de rede sem fio (IEEE 802.11) do Gerenciamento de Diretiva de Grupo. As Diretivas de Rede sem Fio (IEEE 802.11) configuram computadores cliente de rede sem fio membros do domínio com as definições de conectividade e os parâmetros sem fio necessários para acesso autenticado a redes 802.1X.
Certificados de servidor
Este cenário de implantação requer certificados de servidor para cada NPS que executa a autenticação 802.1X.
Um certificado de servidor é um documento digital que é comumente usado para autenticação e para proteger informações em redes abertas. Um certificado vincula com segurança uma chave pública à entidade que detém a chave privada correspondente. Os certificados são assinados digitalmente pela autoridade de certificação emissora e podem ser emitidos para um usuário, um computador ou um serviço.
Uma autoridade de certificação (AC) é uma entidade responsável por estabelecer e atestar a autenticidade de chaves públicas pertencentes a sujeitos (geralmente usuários ou computadores) ou outras autoridades de certificação. As atividades de uma autoridade de certificação podem incluir a vinculação de chaves públicas a nomes distintos por meio de certificados assinados, o gerenciamento de números de série de certificados e a revogação de certificados.
Os Serviços de Certificados do Ative Directory (AD CS) são uma função de servidor que emite certificados como uma autoridade de certificação de rede. Uma infraestrutura de certificado do AD CS, também conhecida como PKI (infraestrutura de chave pública), fornece serviços personalizáveis para emitir e gerenciar certificados para a empresa.
EAP, PEAP e PEAP-MS-CHAP v2
O EAP (Extensible Authentication Protocol) estende o PPP (Point-to-Point Protocol) permitindo métodos de autenticação adicionais que usam credenciais e trocas de informações de comprimentos arbitrários. Com a autenticação EAP, tanto o cliente de acesso à rede quanto o autenticador (como o NPS) devem oferecer suporte ao mesmo tipo de EAP para que a autenticação bem-sucedida ocorra. O Windows Server 2016 inclui uma infraestrutura EAP, oferece suporte a dois tipos de EAP e a capacidade de passar mensagens EAP para NPSs. Usando o EAP, você pode oferecer suporte a esquemas de autenticação adicionais, conhecidos como tipos EAP. Os tipos de EAP suportados pelo Windows Server 2016 são:
Segurança da Camada de Transporte (TLS)
Protocolo de Autenticação por Aperto de Mão de Desafio da Microsoft versão 2 (MS-CHAP v2)
Important
Tipos de EAP fortes (como aqueles baseados em certificados) oferecem melhor segurança contra ataques de força bruta, ataques de dicionário e ataques de adivinhação de senha do que protocolos de autenticação baseados em senha (como CHAP ou MS-CHAP versão 1).
O EAP protegido (PEAP) usa TLS para criar um canal criptografado entre um cliente PEAP de autenticação, como um computador sem fio, e um autenticador PEAP, como um NPS ou outros servidores RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros protocolos de autenticação EAP (como EAP-MS-CHAP v2) que podem operar através do canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação para clientes de acesso que estão se conectando à rede da sua organização por meio dos seguintes tipos de servidores de acesso à rede (NASs):
Pontos de acesso sem fios compatíveis com 802.1X
Switches de autenticação compatíveis com 802.1X
Computadores que executam o Windows Server 2016 e o Serviço de Acesso Remoto (RAS) configurados como servidores VPN (rede virtual privada), servidores DirectAccess ou ambos
Computadores que executam o Windows Server 2016 e os Serviços de Área de Trabalho Remota
PEAP-MS-CHAP v2 é mais fácil de implantar do que EAP-TLS porque a autenticação do usuário é realizada usando credenciais baseadas em senha (nome de usuário e senha), em vez de certificados ou cartões inteligentes. Apenas NPS ou outros servidores RADIUS são obrigados a ter um certificado. O certificado NPS é usado pelo NPS durante o processo de autenticação para provar sua identidade aos clientes PEAP.
Este guia fornece instruções para configurar seus clientes sem fio e seu(s) NPS(s) para usar PEAP-MS-CHAP v2 para acesso autenticado 802.1X.
Servidor de Políticas de Rede
O NPS (Servidor de Diretivas de Rede) permite configurar e gerenciar centralmente as diretivas de rede usando o servidor RADIUS (Remote Authentication Dial-In User Service) e o proxy RADIUS. O NPS é necessário quando você implanta o acesso sem fio 802.1X.
Quando você configura seus pontos de acesso sem fio 802.1X como clientes RADIUS no NPS, o NPS processa as solicitações de conexão enviadas pelos APs. Durante o processamento da solicitação de conexão, o NPS executa a autenticação e a autorização. A autenticação determina se o cliente apresentou credenciais válidas. Se o NPS autenticar com êxito o cliente solicitante, o NPS determinará se o cliente está autorizado a fazer a conexão solicitada e permitirá ou negará a conexão. Isto é explicado em mais pormenor do seguinte modo:
Authentication
A autenticação mútua bem-sucedida PEAP-MS-CHAP v2 tem duas partes principais:
O cliente autentica o NPS. Durante essa fase de autenticação mútua, o NPS envia seu certificado de servidor para o computador cliente para que o cliente possa verificar a identidade do NPS com o certificado. Para autenticar com êxito o NPS, o computador cliente deve confiar na autoridade de certificação que emitiu o certificado NPS. O cliente confia nessa CA quando o certificado da CA se encontra na loja de certificados das Autoridades de Certificação Raiz Confiáveis no computador cliente.
Se você implantar sua própria CA privada, o certificado da CA será instalado automaticamente no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis para o Usuário Atual e para o Computador Local quando a Diretiva de Grupo for atualizada no computador cliente membro do domínio. Caso decida implantar certificados de servidor de uma entidade certificadora pública, certifique-se de que o certificado da entidade certificadora pública já está no repositório de certificados de Autoridades de Certificação Raiz Confiáveis.
O NPS autentica o usuário. Depois que o cliente autentica com êxito o NPS, o cliente envia as credenciais baseadas em senha do usuário para o NPS, que verifica as credenciais do usuário em relação ao banco de dados de contas de usuário nos Serviços de Domínio Ative Directory (AD DS).
Se as credenciais forem válidas e a autenticação for bem-sucedida, o NPS iniciará a fase de autorização do processamento da solicitação de conexão. Se as credenciais não forem válidas e a autenticação falhar, o NPS enviará uma mensagem de Rejeição de Acesso e a solicitação de conexão será negada.
Authorization
O servidor que executa o NPS executa a autorização da seguinte maneira:
O NPS verifica se há restrições nas propriedades de acesso remoto da conta de utilizador ou computador no AD DS. Cada conta de usuário e computador em Usuários e Computadores do Ative Directory inclui várias propriedades, incluindo as encontradas na guia Discagem . Nesta guia, em Permissão de Acesso à Rede, se o valor for Permitir acesso, o usuário ou computador está autorizado a se conectar à rede. Se o valor for Negar acesso, o usuário ou computador não está autorizado a se conectar à rede. Se o valor for Controlar o acesso por meio da Diretiva de Rede do NPS, o NPS avaliará as diretivas de rede configuradas para determinar se o usuário ou computador está autorizado a se conectar à rede.
Em seguida, o NPS processa suas diretivas de rede para encontrar uma diretiva que corresponda à solicitação de conexão. Se uma política de correspondência for encontrada, o NPS concede ou nega a conexão com base na configuração dessa política.
Se a autenticação e a autorização forem bem-sucedidas e se a diretiva de rede correspondente conceder acesso, o NPS concederá acesso à rede e o usuário e o computador poderão se conectar aos recursos da rede para os quais têm permissões.
Note
Para implantar o acesso sem fio, você deve configurar as diretivas NPS. Este guia fornece instruções para usar o assistente Configurar 802.1X no NPS para criar políticas NPS para acesso sem fio autenticado 802.1X.
Perfis de bootstrap
Em redes sem fio autenticadas 802.1X, os clientes sem fio devem fornecer credenciais de segurança autenticadas por um servidor RADIUS para se conectarem à rede. Para Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol versão 2 [MS-CHAP v2], as credenciais de segurança são um nome de usuário e senha. Para EAP-Transport Layer Security [TLS] ou PEAP-TLS, as credenciais de segurança são certificados, como certificados de usuário cliente e computador ou cartões inteligentes.
Ao conectar-se a uma rede configurada para executar a autenticação PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, por padrão, os clientes sem fio do Windows também devem validar um certificado de computador enviado pelo servidor RADIUS. O certificado de computador enviado pelo servidor RADIUS para cada sessão de autenticação é normalmente referido como um certificado de servidor.
Como mencionado anteriormente, você pode emitir o certificado de servidor dos servidores RADIUS de duas maneiras: de uma autoridade de certificação comercial (como a VeriSign, Inc.) ou de uma autoridade de certificação privada implantada na rede. Se o servidor RADIUS enviar um certificado de computador emitido por uma autoridade de certificação comercial que já tenha um certificado raiz instalado no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis do cliente, o cliente sem fio poderá validar o certificado de computador do servidor RADIUS, independentemente de o cliente sem fio ter ingressado no domínio do Ative Directory. Nesse caso, o cliente sem fio pode se conectar à rede sem fio e, em seguida, você pode unir o computador ao domínio.
Note
O comportamento que exige que o cliente valide o certificado do servidor pode ser desabilitado, mas desabilitar a validação do certificado do servidor não é recomendado em ambientes de produção.
Os perfis de arranque sem fios são perfis temporários configurados de forma a permitir que os utilizadores de clientes sem fios se liguem à rede sem fios autenticada por 802.1X antes de o computador aderir ao domínio e/ou antes de o utilizador iniciar sessão com êxito no domínio utilizando um determinado computador sem fios pela primeira vez. Esta seção resume o problema encontrado ao tentar associar um computador sem fio ao domínio ou para um usuário usar um computador sem fio associado ao domínio pela primeira vez para fazer logon no domínio.
Para implantações em que o utilizador ou administrador de TI não pode conectar fisicamente um computador à rede Ethernet com fio para unir o computador ao domínio e o computador não tem o certificado de emissão CA raiz necessário instalado em seu armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis, você pode configurar clientes sem fio com um perfil temporário de ligação sem fio, chamado perfil de bootstrap, para se conectar à rede sem fio.
Um perfil de bootstrap remove a necessidade de validar o certificado de computador do servidor RADIUS. Essa configuração temporária permite que o usuário sem fio associe o computador ao domínio, momento em que as diretivas de rede sem fio (IEEE 802.11) são aplicadas e o certificado de autoridade de certificação raiz apropriado é instalado automaticamente no computador.
Quando a Diretiva de Grupo é aplicada, um ou mais perfis de conexão sem fio que impõem o requisito de autenticação mútua são aplicados no computador; o perfil de bootstrap não é mais necessário e é removido. Depois de associar o computador ao domínio e reiniciar o computador, o utilizador pode utilizar uma ligação sem fios para iniciar sessão no domínio.
Para obter uma visão geral do processo de implantação do acesso sem fio usando essas tecnologias, consulte Visão geral da implantação do acesso sem fio.