Introducción al Servidor de directivas de redes

NPS es la implementación de Microsoft del estándar RADIUS especificado por el Grupo de trabajo de ingeniería de Internet (IETF) en RFC 2865 y 2866. Como servidor RADIUS, NPS lleva a cabo la administración de cuentas, la autorización y la autenticación de conexión centralizada para muchos tipos de acceso a la red, incluso el inalámbrico, el conmutador de autenticación, el acceso telefónico o el acceso remoto de red privada virtual (VPN), y las conexiones entre enrutadores.

NPS habilita el uso de un conjunto heterogéneo de equipos inalámbricos, de conmutación, de acceso remoto o VPN. Se puede usar con el Servicio de enrutamiento y acceso remoto, disponible en Microsoft Windows 2000, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; y Windows Server 2003, Datacenter Edition.

Cuando un servidor que ejecuta NPS es miembro de un dominio de Servicios de dominio de Active Directory® (AD DS), NPS usa el servicio de directorio como su base de datos de cuentas de usuario y forma parte de una solución de inicio de sesión único. El mismo conjunto de credenciales se usa para el control de acceso a la red (autenticación y autorización del acceso a una red) y para iniciar sesión en un dominio de AD DS.

Los proveedores de servicios Internet (ISP) y las organizaciones que mantienen el acceso a la red tienen el cada vez mayor desafío de administrar todos los tipos de accesos a la red desde un único punto de administración, independientemente del tipo de equipo que se use para dicho acceso. El estándar RADIUS admite estas funcionalidades tanto en entornos homogéneos como heterogéneos. RADIUS es un protocolo cliente-servidor que permite al equipo de acceso a la red (usado como clientes RADIUS) enviar solicitudes de autenticación y de cuentas a un servidor RADIUS.

Un servidor RADIUS tiene acceso a la información de las cuentas de usuario y puede comprobar las credenciales de autenticación de los accesos a la red. Si las credenciales del usuario se autentican y se autoriza el intento de conexión, el servidor RADIUS autoriza el acceso del usuario según las condiciones especificadas y, a continuación, registra la conexión de acceso a la red en un registro de cuentas. El uso de RADIUS permite que los datos de autenticación, autorización y cuentas del usuario se recopilen y conserven en una ubicación centralizada, en lugar de hacerlo en cada servidor de acceso.

Para obtener más información, consulte Servidor RADIUS.

Como proxy RADIUS, NPS reenvía los mensajes de autenticación y cuentas a otros servidores RADIUS.

Con NPS, las organizaciones también pueden subcontratar infraestructura de acceso a un proveedor de servicios y, al mismo tiempo, mantener el control sobre la autenticación, autorización y cuentas de usuarios.

Se pueden crear configuraciones de NPS para los siguientes escenarios:

• Acceso inalámbrico
  
  
• Acceso remoto a la organización mediante acceso telefónico o de red privada virtual (VPN)
  
  
• Acceso inalámbrico o telefónico externo
  
  
• Acceso a Internet
  
  
• Acceso autenticado a recursos de una extranet para empresas asociadas
  
  

Para obtener más información, consulte Proxy RADIUS.

Los siguientes ejemplos de configuración muestran cómo se puede configurar NPS como un servidor RADIUS y un proxy RADIUS.

NPS as a RADIUS server. En este ejemplo, se configura NPS como un servidor RADIUS, la única directiva configurada es la directiva predeterminada de solicitud de conexión y todas las solicitudes de conexión se procesan mediante el servidor NPS local. El servidor NPS puede autenticar y autorizar a usuarios cuyas cuentas están en el dominio del servidor NPS y en dominios de confianza.

NPS as a RADIUS proxy. En este ejemplo, el servidor NPS está configurado como un proxy RADIUS que reenvía las solicitudes de conexión a grupos de servidores RADIUS remotos en dos dominios que no son de confianza. Se elimina la directiva de solicitud de conexión predeterminada y se crean dos nuevas directivas de solicitud de conexión para reenviar solicitudes a cada uno de los dos dominios que no son de confianza. En este ejemplo, NPS no procesa ninguna solicitud de conexión en el servidor local.

NPS as both RADIUS server and RADIUS proxy. Además de la directiva predeterminada de solicitud de conexión, que designa que las solicitudes de conexión se procesan localmente, se crea una nueva directiva de solicitud de conexión que reenvía las solicitudes de conexión a un servidor NPS u otro servidor RADIUS en un dominio que no es de confianza. Esta segunda directiva se denomina directiva de proxy. En este ejemplo, la directiva de proxy aparece la primera en la lista ordenada de directivas. Si la solicitud de conexión coincide con la directiva de proxy, la solicitud de conexión se reenvía al servidor RADIUS del grupo de servidores RADIUS remotos. Si la solicitud de conexión no coincide con la directiva de proxy pero coincide con la directiva predeterminada de solicitud de conexión, NPS procesa la solicitud de conexión en el servidor local. Si la solicitud de conexión no coincide con ninguna de las dos directivas, se descarta.

NPS as a RADIUS server with remote accounting servers. En este ejemplo, el servidor NPS local no está configurado para administrar cuentas y la directiva predeterminada de solicitud de conexión se revisa de forma que los mensajes de cuentas RADIUS se reenvían a un servidor NPS u otro servidor RADIUS en un grupo de servidores RADIUS remotos. Aunque se reenvían los mensajes de cuentas, los mensajes de autenticación y autorización no se reenvían, y el servidor NPS local realiza estas funciones para los dominios locales y todos los dominios de confianza.

NPS with remote RADIUS to Windows user mapping. En este ejemplo, NPS actúa como servidor RADIUS y como proxy RADIUS para cada solicitud de conexión individual ya que reenvía la solicitud de autenticación a un servidor RADIUS remoto y, al mismo tiempo, usa la cuenta de usuario de Windows local para la autorización. Para implementar esta configuración, se debe establecer el atributo Asignación de RADIUS remota a usuario de Windows como una condición de la directiva de solicitud de conexión. (Además, se debe crear una cuenta de usuario local en el servidor RADIUS que tenga el mismo nombre que la cuenta de usuario remota que será la que usará el servidor RADIUS remoto para realizar la autenticación.)