Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um servidor de acesso à rede (NAS) é um dispositivo que fornece algum nível de acesso a uma rede maior. Um NAS usando uma infraestrutura RADIUS também é um cliente RADIUS, enviando solicitações de conexão e mensagens de contabilização para um servidor RADIUS para autenticação, autorização e contabilidade.
Note
Os computadores cliente, como laptops e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede - como pontos de acesso sem fio, comutadores de autenticação 802.1X, servidores VPN (rede virtual privada) e servidores dial-up - porque usam o protocolo RADIUS para se comunicar com servidores RADIUS, como servidores NPS (Servidor de Diretivas de Rede).
Para implantar o NPS como um servidor RADIUS ou um proxy RADIUS, você deve configurar clientes RADIUS no NPS.
Exemplos de clientes RADIUS
Exemplos de servidores de acesso à rede são:
- Servidores de acesso à rede que fornecem conectividade de acesso remoto a uma rede da organização ou à Internet. Um exemplo é um computador que executa o sistema operacional Windows Server 2016 e o serviço de Acesso Remoto que fornece serviços de acesso remoto dial-up tradicional ou VPN (rede virtual privada) para uma intranet da organização.
- Pontos de acesso sem fio que fornecem acesso de camada física a uma rede da organização usando tecnologias de transmissão e receção baseadas em wireless.
- Switches que fornecem acesso de camada física à rede de uma organização, usando tecnologias LAN tradicionais, como Ethernet.
- Proxies RADIUS que encaminham solicitações de conexão para servidores RADIUS, que são membros de um grupo remoto de servidores RADIUS configurado no proxy RADIUS.
Mensagens de Access-Request RADIUS
Os clientes RADIUS criam mensagens Access-Request RADIUS e as encaminham para um proxy RADIUS ou servidor RADIUS, ou encaminham mensagens Access-Request para um servidor RADIUS que receberam de outro cliente RADIUS, mas não criaram eles mesmos.
Os clientes RADIUS não processam mensagens Access-Request executando autenticação, autorização e contabilidade. Somente servidores RADIUS executam essas funções.
O NPS, no entanto, pode ser configurado como um proxy RADIUS e um servidor RADIUS simultaneamente, para que ele processe algumas mensagens Access-Request e encaminhe outras mensagens.
NPS como um cliente RADIUS
O NPS atua como um cliente RADIUS quando você o configura como um proxy RADIUS para encaminhar mensagens Access-Request para outros servidores RADIUS para processamento. Quando você usa o NPS como um proxy RADIUS, as seguintes etapas de configuração geral são necessárias:
Os servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, são configurados com o endereço IP do proxy NPS como o servidor RADIUS designado ou servidor de autenticação. Isso permite que os servidores de acesso à rede, que criam mensagens Access-Request com base nas informações que recebem dos clientes de acesso, encaminhem mensagens para o proxy NPS.
O proxy NPS é configurado adicionando cada servidor de acesso à rede como um cliente RADIUS. Esta etapa de configuração permite que o proxy NPS receba mensagens dos servidores de acesso à rede e se comunique com eles durante a autenticação. Além disso, as diretivas de solicitação de conexão no proxy NPS são configuradas para especificar quais mensagens Access-Request encaminhar para um ou mais servidores RADIUS. Essas diretivas também são configuradas com um grupo de servidores remotos RADIUS, que informa ao NPS para onde enviar as mensagens recebidas dos servidores de acesso à rede.
O NPS ou outros servidores RADIUS que são membros do grupo de servidores remotos RADIUS no proxy NPS estão configurados para receber mensagens do proxy NPS. Isso é feito configurando o proxy NPS como um cliente RADIUS.
Propriedades do cliente RADIUS
Ao adicionar um cliente RADIUS à configuração do NPS por meio do console do NPS ou do uso dos comandos netsh para comandos NPS ou Windows PowerShell, você está configurando o NPS para receber mensagens de Access-Request RADIUS de um servidor de acesso à rede ou de um proxy RADIUS.
Ao configurar um cliente RADIUS no NPS, você pode designar as seguintes propriedades:
Nome do cliente
Um nome amigável para o cliente RADIUS, que facilita a identificação ao usar o snap-in NPS ou os comandos netsh para NPS.
endereço IP
O endereço IPv4 (Internet Protocol version 4) ou o nome DNS (Sistema de Nomes de Domínio) do cliente RADIUS.
Client-Vendor
O fornecedor do cliente RADIUS. Caso contrário, você pode usar o valor padrão RADIUS para Cliente-Fornecedor.
Segredo partilhado
Uma cadeia de texto usada como senha entre clientes RADIUS, servidores RADIUS e proxies RADIUS. Quando o atributo Message Authenticator é usado, o segredo compartilhado também é usado como a chave para criptografar mensagens RADIUS. Essa cadeia de caracteres deve ser configurada no cliente RADIUS e no snap-in NPS.
Atributo Autenticador de Mensagem
Descrito na RFC 2869, "Extensões RADIUS", um hash MD5 (Message Digest 5) de toda a mensagem RADIUS. Se o atributo RADIUS Message Authenticator estiver presente, ele será verificado. Se falhar na verificação, a mensagem RADIUS será descartada. Se as configurações do cliente exigirem o atributo Message Authenticator e ele não estiver presente, a mensagem RADIUS será descartada. Recomenda-se o uso do atributo Message Authenticator.
Note
O atributo Message Authenticator é necessário e habilitado por padrão quando você usa a autenticação EAP (Extensible Authentication Protocol).
Para obter mais informações sobre o NPS, consulte Servidor de Diretivas de Rede (NPS).