Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Quando você implanta o NPS (Servidor de Diretivas de Rede) como um servidor RADIUS (Remote Authentication Dial-In User Service), o NPS executa autenticação, autorização e contabilização para solicitações de conexão para o domínio local e para domínios que confiam no domínio local. Você pode usar essas diretrizes de planejamento para simplificar sua implantação do RADIUS.
Essas diretrizes de planejamento não incluem circunstâncias nas quais você deseja implantar o NPS como um proxy RADIUS. Quando você implanta o NPS como um proxy RADIUS, o NPS encaminha solicitações de conexão para um servidor que executa o NPS ou outros servidores RADIUS em domínios remotos, domínios não confiáveis ou ambos.
Antes de implantar o NPS como um servidor RADIUS em sua rede, use as diretrizes a seguir para planejar sua implantação.
Planeje a configuração do NPS.
Planear os clientes RADIUS.
Planeje o uso de métodos de autenticação.
Planejar políticas de rede.
Planeje a contabilidade NPS.
Planejar a configuração do NPS
Você deve decidir em qual domínio o NPS é membro. Para ambientes de vários domínios, um NPS pode autenticar credenciais para contas de usuário no domínio do qual é membro e para todos os domínios que confiam no domínio local do NPS. Para permitir que o NPS leia as propriedades "dial-in" das contas de utilizador durante o processo de autorização, deve adicionar a conta de computador do NPS ao grupo RAS e NPSs para cada domínio.
Depois de determinar a associação de domínio do NPS, o servidor deve ser configurado para se comunicar com clientes RADIUS, também chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso, você pode configurar os tipos de eventos que o NPS registra no log de eventos e inserir uma descrição para o servidor.
Principais passos
Durante o planejamento da configuração do NPS, você pode usar as etapas a seguir.
Determine as portas RADIUS que o NPS usa para receber mensagens RADIUS de clientes RADIUS. As portas padrão são as portas UDP 1812 e 1645 para mensagens de autenticação RADIUS e as portas 1813 e 1646 para mensagens de contabilização RADIUS.
Se o NPS estiver configurado com vários adaptadores de rede, determine os adaptadores sobre os quais você deseja que o tráfego RADIUS seja permitido.
Determine os tipos de eventos que você deseja que o NPS registre no Log de Eventos. Você pode registrar solicitações de autenticação rejeitadas, solicitações de autenticação bem-sucedidas ou ambos os tipos de solicitações.
Determine se você está implantando mais de um NPS. Para proporcionar tolerância a falhas para autenticação e registo baseados em RADIUS, use pelo menos dois NPSs. Um NPS é usado como o servidor RADIUS primário e o outro é usado como backup. Cada cliente RADIUS é então configurado em ambos os NPSs. Se o NPS primário ficar indisponível, os clientes RADIUS enviarão mensagens Access-Request para o NPS alternativo.
Planeje o script usado para copiar uma configuração do NPS para outros NPSs para economizar na sobrecarga administrativa e evitar a configuração incorreta de um servidor. O NPS fornece os
Netshcomandos que permitem copiar toda ou parte de uma configuração do NPS para importação para outro NPS. Você pode executar os comandos manualmente noNetshprompt. No entanto, se você salvar sua sequência de comandos como um script, poderá executá-lo posteriormente se decidir alterar as configurações do servidor.
Planejar clientes RADIUS
Os clientes RADIUS são servidores de acesso à rede, como pontos de acesso sem fio, servidores de rede virtual privada (VPN), comutadores compatíveis com 802.1X e servidores dial-up. Os proxies RADIUS, que encaminham mensagens de solicitação de conexão para servidores RADIUS, também são clientes RADIUS. O NPS suporta todos os servidores de acesso à rede e proxies RADIUS que estão em conformidade com o protocolo RADIUS, conforme descrito em RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" e RFC 2866, "RADIUS Accounting".
Important
Os clientes de acesso, como computadores cliente, não são clientes RADIUS. Apenas os servidores de acesso à rede e os servidores proxy que suportam o protocolo RADIUS são clientes RADIUS.
Além disso, tanto os pontos de acesso sem fio quanto os switches devem ser capazes de autenticação 802.1X. Se você quiser implantar o EAP (Extensible Authentication Protocol) ou o PEAP (Protected Extensible Authentication Protocol), os pontos de acesso e switches devem oferecer suporte ao uso do EAP.
Para testar a interoperabilidade básica para conexões PPP para pontos de acesso sem fio, configure o ponto de acesso e o cliente de acesso para usar o Protocolo de Autenticação de Senha (PAP). Use protocolos de autenticação adicionais baseados em PPP, como PEAP, até testar os que pretende usar para acesso à rede.
Principais passos
Durante o planejamento para clientes RADIUS, você pode usar as etapas a seguir.
Documente os atributos específicos do fornecedor (VSAs) que você deve configurar no NPS. Se os servidores de acesso à rede exigirem VSAs, registre as informações do VSA para uso posterior ao configurar as políticas de rede no NPS.
Documente os endereços IP dos clientes RADIUS e do seu NPS para simplificar a configuração de todos os dispositivos. Ao implantar seus clientes RADIUS, você deve configurá-los para usar o protocolo RADIUS, com o endereço IP NPS inserido como o servidor de autenticação. E ao configurar o NPS para se comunicar com seus clientes RADIUS, você deve inserir os endereços IP do cliente RADIUS no snap-in NPS.
Crie segredos compartilhados para configuração nos clientes RADIUS e no snap-in NPS. Você deve configurar os clientes RADIUS com uma senha ou segredo compartilhado, que também será inserido no snap-in NPS ao configurar clientes RADIUS no NPS.
Planejar o uso de métodos de autenticação
O NPS suporta métodos de autenticação baseados em senha e certificados. No entanto, nem todos os servidores de acesso à rede suportam os mesmos métodos de autenticação. Em alguns casos, talvez você queira implantar um método de autenticação diferente com base no tipo de acesso à rede.
Por exemplo, talvez você queira implantar o acesso sem fio e VPN para sua organização, mas use um método de autenticação diferente para cada tipo de acesso: EAP-TLS para conexões VPN, devido à forte segurança que o EAP com Transport Layer Security (EAP-TLS) fornece e PEAP-MS-CHAP v2 para conexões sem fio 802.1X.
O PEAP com o Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2) fornece um recurso chamado reconexão rápida projetado para uso com computadores portáteis e outros dispositivos sem fio. A reconexão rápida permite que os clientes sem fio se movam entre pontos de acesso sem fio na mesma rede sem serem reautenticados cada vez que se associam a um novo ponto de acesso. Isso proporciona uma melhor experiência para os usuários sem fio e permite que eles se movam entre pontos de acesso sem ter que digitar novamente suas credenciais. Devido à rápida reconexão e à segurança que o PEAP-MS-CHAP v2 oferece, o PEAP-MS-CHAP v2 é uma escolha lógica como método de autenticação para conexões sem fio.
Para conexões VPN, EAP-TLS é um método de autenticação baseado em certificado que fornece segurança forte que protege o tráfego de rede, mesmo quando ele é transmitido pela Internet de computadores domésticos ou móveis para os servidores VPN da sua organização.
Métodos de autenticação baseados em certificados
Os métodos de autenticação baseados em certificados têm a vantagem de fornecer segurança forte; e têm a desvantagem de serem mais difíceis de implementar do que os métodos de autenticação baseados em palavras-passe.
PEAP-MS-CHAP v2 e EAP-TLS são métodos de autenticação baseados em certificados, mas há muitas diferenças entre eles e a maneira como são implantados.
EAP-TLS
EAP-TLS usa certificados para autenticação de cliente e servidor e requer que você implante uma PKI (infraestrutura de chave pública) em sua organização. A implantação de uma PKI pode ser complexa e requer uma fase de planejamento independente do planejamento do uso do NPS como um servidor RADIUS.
Com o EAP-TLS, o NPS registra um certificado de servidor de uma autoridade de certificação (CA) e o certificado é salvo no computador local no repositório de certificados. Durante o processo de autenticação, a autenticação do servidor ocorre quando o NPS envia seu certificado de servidor para o cliente de acesso para provar sua identidade ao cliente de acesso. O cliente de acesso examina várias propriedades do certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma autoridade de certificação na qual o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.
Da mesma forma, a autenticação do cliente ocorre durante o processo de autenticação quando o cliente envia seu certificado de cliente para o NPS para provar sua identidade ao NPS. O NPS examina o certificado e, se o certificado do cliente atender aos requisitos mínimos de certificado do cliente e for emitido por uma autoridade de certificação na qual o NPS confia, o cliente de acesso será autenticado com êxito pelo NPS.
Embora seja necessário que o certificado do servidor seja armazenado no armazenamento de certificados no NPS, o certificado do cliente ou do usuário pode ser armazenado no armazenamento de certificados no cliente ou em um cartão inteligente.
Para que esse processo de autenticação seja bem-sucedido, é necessário que todos os computadores tenham o certificado de CA da sua organização no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis para o Computador Local e o Usuário Atual.
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 usa um certificado para autenticação de servidor e credenciais baseadas em senha para autenticação de usuário. Como os certificados são usados apenas para autenticação de servidor, não é necessário implantar uma PKI para usar PEAP-MS-CHAP v2. Ao implantar o PEAP-MS-CHAP v2, você pode obter um certificado de servidor para o NPS de uma das duas maneiras a seguir:
Você pode instalar os Serviços de Certificados do Ative Directory (AD CS) e, em seguida, registrar certificados automaticamente nos NPSs. Se você usar esse método, também deverá registrar o certificado da autoridade de certificação nos computadores clientes que se conectam à sua rede para que eles confiem no certificado emitido para o NPS.
Você pode comprar um certificado de servidor de uma autoridade de certificação pública, como a VeriSign. Se você usar esse método, certifique-se de selecionar uma autoridade de certificação que já seja confiável pelos computadores clientes. Para determinar se os computadores cliente confiam em uma autoridade de certificação, abra o snap-in Certificados do MMC (Console de Gerenciamento Microsoft) em um computador cliente e exiba o armazenamento de Autoridades de Certificação Raiz Confiáveis para o Computador Local e para o Usuário Atual. Se houver um certificado da autoridade de certificação nesses repositórios de certificados, o computador cliente confiará na autoridade de certificação e, portanto, confiará em qualquer certificado emitido pela autoridade de certificação.
Durante o processo de autenticação com PEAP-MS-CHAP v2, a autenticação do servidor ocorre quando o NPS envia seu certificado de servidor para o computador cliente. O cliente de acesso examina várias propriedades do certificado para determinar se o certificado é válido e apropriado para uso durante a autenticação do servidor. Se o certificado do servidor atender aos requisitos mínimos de certificado do servidor e for emitido por uma autoridade de certificação na qual o cliente de acesso confia, o NPS será autenticado com êxito pelo cliente.
A autenticação de usuário ocorre quando um usuário que tenta se conectar à rede digita credenciais baseadas em senha e tenta fazer logon. O NPS recebe as credenciais e executa a autenticação e a autorização. Se o usuário for autenticado e autorizado com êxito e se o computador cliente autenticou com êxito o NPS, a solicitação de conexão será concedida.
Principais passos
Durante o planejamento do uso de métodos de autenticação, você pode usar as etapas a seguir.
Identifique os tipos de acesso à rede que você planeja oferecer, como wireless, VPN, switch compatível com 802.1X e acesso dial-up.
Determine o método ou métodos de autenticação que você deseja usar para cada tipo de acesso. É recomendável usar os métodos de autenticação baseados em certificados que fornecem segurança forte; no entanto, pode não ser prático para você implantar uma PKI, portanto, outros métodos de autenticação podem fornecer um melhor equilíbrio do que você precisa para sua rede.
Se você estiver implantando EAP-TLS, planeje sua implantação de PKI. Isso inclui planejar os modelos de certificado que você usará para certificados de servidor e certificados de computador cliente. Ele também inclui determinar como registrar certificados em computadores membros e não membros do domínio e determinar se você deseja usar cartões inteligentes.
Se você estiver implantando o PEAP-MS-CHAP v2, determine se deseja instalar o AD CS para emitir certificados de servidor para seus NPSs ou se deseja comprar certificados de servidor de uma CA pública, como a VeriSign.
Planejar políticas de rede
As diretivas de rede são usadas pelo NPS para determinar se as solicitações de conexão recebidas de clientes RADIUS são autorizadas. O NPS também utiliza as propriedades de discagem da conta de utilizador para fazer o processo de autorização.
Como as diretivas de rede são processadas na ordem em que aparecem no snap-in do NPS, planeje colocar as políticas mais restritivas em primeiro lugar na lista de políticas. Para cada solicitação de conexão, o NPS tenta corresponder às condições da política com as propriedades da solicitação de conexão. O NPS examina cada política de rede em ordem até encontrar uma correspondência. Caso não encontre correspondência, o pedido de ligação será rejeitado.
Principais passos
Durante o planejamento de diretivas de rede, você pode usar as etapas a seguir.
Determine a ordem de processamento NPS preferida das diretivas de rede, da mais restritiva à menos restritiva.
Determine o estado da política. O estado da política pode ter o valor de ativado ou desativado. Se a política estiver habilitada, o NPS avaliará a política enquanto executa a autorização. Se a política não estiver habilitada, ela não será avaliada.
Determine o tipo de política. Você deve determinar se a política foi projetada para conceder acesso quando as condições da política são correspondidas pela solicitação de conexão ou se a política foi projetada para negar acesso quando as condições da política são correspondidas pela solicitação de conexão. Por exemplo, se pretender negar explicitamente o acesso sem fios aos membros de um grupo do Windows, pode criar uma política de rede que especifique o grupo, o método de ligação sem fios e que tenha uma definição de tipo de política Negar acesso.
Determine se você deseja que o NPS ignore as propriedades de acesso remoto das contas de utilizadores que pertencem ao grupo no qual a política se baseia. Quando esta definição não está habilitada, as propriedades de discagem das contas de usuário anulam as definições configuradas nas políticas de rede. Por exemplo, se for configurada uma política de rede que conceda acesso a um utilizador, mas as propriedades de acesso telefónico da conta de utilizador desse utilizador estiverem definidas para negar acesso, o acesso será negado ao utilizador. Mas se ativar a configuração do tipo de política Ignorar propriedades de acesso remoto da conta de utilizador, o mesmo utilizador tem acesso à rede.
Determine se a política utiliza a definição de origem da política. Essa configuração permite que você especifique facilmente uma fonte para todas as solicitações de acesso. As fontes possíveis são um Gateway de Serviços de Terminal (Gateway TS), um servidor de acesso remoto (VPN ou dial-up), um servidor DHCP, um ponto de acesso sem fios e um servidor da Autoridade de Registo de Saúde. Como alternativa, você pode especificar uma fonte específica do fornecedor.
Determine as condições que devem ser correspondidas para que a diretiva de rede seja aplicada.
Determine as configurações que serão aplicadas se as condições da diretiva de rede forem correspondidas pela solicitação de conexão.
Determine se você deseja usar, modificar ou excluir as diretivas de rede padrão.
Planejar a contabilidade NPS
O NPS oferece a capacidade de registrar dados de contabilidade RADIUS, como autenticação de usuário e solicitações de contabilidade, em três formatos: formato IAS, formato compatível com banco de dados e log do Microsoft SQL Server.
O formato IAS e o formato compatível com banco de dados criam arquivos de log no NPS local em formato de arquivo de texto.
O registo do SQL Server fornece a capacidade de registar num banco de dados compatível com SQL Server 2000 ou SQL Server 2005, ampliando o suporte do RADIUS para tirar proveito das vantagens do registo num banco de dados relacional.
Principais passos
Durante o planejamento da contabilidade NPS, você pode usar as etapas a seguir.
- Determine se você deseja armazenar dados de contabilidade do NPS em arquivos de log ou em um banco de dados do SQL Server.
Contabilidade NPS usando arquivos de log locais
O registro de solicitações de autenticação e contabilização de usuários em arquivos de log é usado principalmente para fins de análise de conexão e faturamento, e também é útil como uma ferramenta de investigação de segurança, fornecendo um método para rastrear a atividade de um usuário mal-intencionado após um ataque.
Principais passos
Durante o planejamento da contabilidade NPS usando arquivos de log locais, você pode usar as etapas a seguir.
Determine o formato de arquivo de texto que você deseja usar para seus arquivos de log do NPS.
Escolha o tipo de informação que pretende registar. Você pode registrar solicitações de contabilidade, solicitações de autenticação e status periódico.
Determine a localização do disco rígido onde pretende armazenar os ficheiros de registo.
Projete sua solução de backup de arquivos de log. A localização do disco rígido onde armazena os seus ficheiros de registo deve ser uma localização que lhe permita efetuar facilmente cópias de segurança dos seus dados. Além disso, o local do disco rígido deve ser protegido configurando a lista de controle de acesso (ACL) para a pasta onde os arquivos de log estão armazenados.
Determine a frequência com que você deseja que novos arquivos de log sejam criados. Se desejar que os arquivos de log sejam criados com base no tamanho do arquivo, determine o tamanho máximo de arquivo permitido antes que um novo arquivo de log seja criado pelo NPS.
Determine se você deseja que o NPS exclua arquivos de log mais antigos se o disco rígido ficar sem espaço de armazenamento.
Determine o aplicativo ou aplicativos que você deseja usar para exibir dados contábeis e produzir relatórios.
Registo do NPS no SQL Server
O log do NPS SQL Server é usado quando você precisa de informações de estado da sessão, para fins de criação de relatórios e análise de dados, e para centralizar e simplificar o gerenciamento de seus dados contábeis.
O NPS oferece a capacidade de usar o log do SQL Server para registrar solicitações de autenticação e contabilização de usuários recebidas de um ou mais servidores de acesso à rede para uma fonte de dados em um computador que executa o Microsoft SQL Server Desktop Engine (MSDE 2000) ou qualquer versão do SQL Server posterior ao SQL Server 2000.
Os dados de contabilidade são passados do NPS no formato XML para um procedimento armazenado no banco de dados, que suporta linguagem de consulta estruturada (SQL) e XML (SQLXML). O registro de solicitações de autenticação e contabilidade do usuário em um banco de dados SQL Server compatível com XML permite que vários NPSs tenham uma fonte de dados.
Principais passos
Durante o planejamento da contabilidade do NPS usando o log do NPS SQL Server, você pode usar as etapas a seguir.
Determine se você ou outro membro da sua organização tem experiência em desenvolvimento de banco de dados relacional do SQL Server 2000 ou SQL Server 2005 e entenda como usar esses produtos para criar, modificar, administrar e gerenciar bancos de dados do SQL Server.
Determine se o SQL Server está instalado no NPS ou em um computador remoto.
Projete o procedimento armazenado que você usará em seu banco de dados do SQL Server para processar arquivos XML de entrada que contenham dados de contabilidade NPS.
Projete a estrutura e o fluxo de replicação do banco de dados do SQL Server.
Determine o aplicativo ou aplicativos que você deseja usar para exibir dados contábeis e produzir relatórios.
Planeje usar servidores de acesso à rede que enviam o atributo Class em todas as solicitações de contabilidade. O atributo Class é enviado para o cliente RADIUS em uma mensagem Access-Accept e é útil para correlacionar Accounting-Request mensagens com sessões de autenticação. Se o atributo Class for enviado pelo servidor de acesso à rede nas mensagens de solicitação de contabilidade, ele poderá ser usado para corresponder aos registros de contabilidade e autenticação. A combinação dos atributos Unique-Serial-Number, Service-Reboot-Time e Server-Address deve ser uma identificação exclusiva para cada autenticação que o servidor aceita.
Planeje usar servidores de acesso à rede que ofereçam suporte à contabilidade provisória.
Planeje usar servidores de acesso à rede que enviam mensagens Accounting-on e Accounting-off.
Planeje usar servidores de acesso à rede que suportem o armazenamento e o encaminhamento de dados contábeis. Os servidores de acesso à rede que suportam esse recurso podem armazenar dados de contabilidade quando o servidor de acesso à rede não pode se comunicar com o NPS. Quando o NPS está disponível, o servidor de acesso à rede encaminha os registros armazenados para o NPS, proporcionando maior confiabilidade na contabilidade sobre servidores de acesso à rede que não fornecem esse recurso.
Planeje sempre configurar o atributo Acct-Interim-Interval em diretivas de rede. O atributo Acct-Interim-Interval define o intervalo (em segundos) entre cada atualização provisória enviada pelo servidor de acesso à rede. De acordo com a RFC 2869, o valor do atributo Acct-Interim-Interval não deve ser menor que 60 segundos (1 minuto) e não deve ser menor que 600 segundos (10 minutos), o que significa que valores acima de 600 segundos reduzem a frequência de atualizações recebidas pelo servidor RADIUS. Para obter mais informações, consulte RFC 2869.
Certifique-se de que o registro de status periódico esteja habilitado em seus NPSs.