Un server di accesso alla rete è una periferica che offre un certo livello di accesso a una rete più estesa. Un server di accesso che utilizza un'infrastruttura RADIUS è anche un client RADIUS, che invia richieste di connessione e messaggi di accounting a un server RADIUS per l'autenticazione, l'autorizzazione e l'accounting.

Importante

I computer client, ad esempio i portatili wireless e altri computer in cui sono in esecuzione sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori che supportano 802.1X, server di reti private virtuali (VPN, Virtual Private Network) e server di connessione remota, in quanto utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio server dei criteri di rete.

Per distribuire Server dei criteri di rete come server RADIUS, proxy RADIUS o server dei criteri Protezione accesso alla rete è necessario configurare i client RADIUS in Server dei criteri di rete.

Esempi di client RADIUS

Esempi di server di accesso alla rete sono:

  • Server di accesso alla rete che garantiscono la connettività per l'accesso remoto alla rete di un'organizzazione o a Internet. Un esempio di questo tipo di server è rappresentato da un computer che esegue il sistema operativo Windows Server® 2008 e il servizio Routing e Accesso remoto e che offre servizi di connessione remota tradizionali o VPN alla rete Intranet di un'organizzazione.

  • Punti di accesso wireless che garantiscono accesso a livello fisico alla rete di un'organizzazione utilizzando tecnologie di trasmissione e ricezione wireless.

  • Commutatori che garantiscono accesso a livello fisico alla rete di un'organizzazione utilizzando tecnologie LAN tradizionali, ad esempio Ethernet.

  • Proxy RADIUS che inoltrano richieste di connessione ai server RADIUS membri di un gruppo di server RADIUS remoti configurati sul proxy RADIUS.

Messaggi di richiesta di accesso RADIUS

I client RADIUS creano messaggi di richiesta di accesso RADIUS e li inoltrano a un proxy RADIUS o server RADIUS oppure inoltrano messaggi di richiesta di accesso a un server RADIUS ricevuti da un altro client RADIUS ma che non hanno creato.

I client RADIUS non elaborano messaggi di richiesta di accesso eseguendo l'autenticazione, l'autorizzazione e l'accounting. Solo i server RADIUS eseguono tali funzioni.

Server dei criteri di rete può essere tuttavia configurato contemporaneamente come proxy RADIUS e come server RADIUS in modo da elaborare messaggi di richiesta di accesso e inoltrare altri messaggi.

Server dei criteri di rete come client RADIUS

Server dei criteri di rete viene utilizzato come client RADIUS quando viene configurato come proxy RADIUS per l'inoltro di messaggi di richiesta di accesso ad altri server RADIUS per l'elaborazione. Quando si utilizza Server dei criteri di rete come proxy RADIUS, è necessario eseguire la seguente procedura di configurazione generale:

  1. I server di accesso alla rete, ad esempio punti di accesso wireless e server VPN, vengono configurati con l'indirizzo IP del proxy di Server dei criteri di rete come il server RADIUS o il server di autenticazione indicato. In questo modo i server di accesso alla rete, che creano i messaggi di richiesta di accesso in base alle informazioni ricevute dai client di accesso, sono in grado di inoltrare i messaggi al proxy di Server dei criteri di rete.

  2. Il proxy di Server dei criteri di rete viene configurato aggiungendo ogni server di accesso alla rete come client RADIUS. Queste operazioni di configurazione consentono al proxy di Server dei criteri di rete di ricevere messaggi dai server di accesso alla rete e di comunicare con essi durante l'intero processo di autenticazione. I criteri di richiesta di connessione sul proxy di Server dei criteri di rete vengono inoltre configurati per specificare i messaggi di richiesta di accesso da inoltrare a uno o più server RADIUS. Tali criteri vengono anche configurati con un gruppo di server RADIUS remoto che indica a Server dei criteri di rete dove inviare i messaggi ricevuti dai server di accesso alla rete.

  3. Server dei criteri di rete o altri server RADIUS membri del gruppo di server RADIUS remoto sul proxy di Server dei criteri di rete vengono configurati per la ricezione di messaggi dal proxy di Server dei criteri di rete. Questo è possibile configurando il proxy di Server dei criteri di rete come client RADIUS.

Proprietà del client RADIUS

Quando si aggiunge un client RADIUS alla configurazione di Server dei criteri di rete mediante lo snap-in Server dei criteri di rete oppure utilizzando i comandi netsh per Server dei criteri di rete, Server dei criteri di rete viene configurato per la ricezione di messaggi di richiesta di accesso RADIUS da un server di accesso alla rete oppure da un proxy RADIUS.

Quando si configura un client RADIUS in Server dei criteri di rete, è possibile impostare le proprietà seguenti:

  • Nome client

    Nome descrittivo per il client RADIUS che ne facilita l'identificazione quando si utilizza lo snap-in di Server dei criteri di rete o i comandi netsh per Server dei criteri di rete.

  • Indirizzo IP

    L'indirizzo IP versione 4 (IPv4) o il nome DNS (Domain Name System) del client RADIUS.

  • Fornitore client

    Il fornitore del client RADIUS. Altrimenti, è possibile utilizzare il valore standard RADIUS per fornitore client.

  • Segreto condiviso

    Stringa di testo utilizzata come password tra client RADIUS, server RADIUS e proxy RADIUS. Quando viene utilizzato l'attributo autenticatore del messaggio, il segreto condiviso viene utilizzato anche come chiave di codifica dei messaggi RADIUS. Questa stringa deve essere configurata sul client RADIUS e nello snap-in Server dei criteri di rete.

  • Attributo autenticatore del messaggio

    Descritto nella specifica RFC 2869, "RADIUS Extensions", hash MD5 dell'intero messaggio RADIUS. Se l'attributo autenticatore del messaggio RADIUS è presente, viene verificato. Se il messaggio non supera la verifica, viene scartato. Se le impostazioni del client richiedono l'attributo autenticatore del messaggio e questo non è presente, il messaggio RADIUS viene scartato. L'utilizzo dell'attributo autenticatore del messaggio è consigliato.

    Nota

    L'attributo autenticatore del messaggio è necessario e attivato per impostazione predefinita quando si utilizza l'autenticazione EAP.

  • Il client è idoneo per Protezione accesso alla rete

    L'indicazione che il client RADIUS è compatibile con Protezione accesso alla rete e Server dei criteri di rete invia gli attributi Protezione accesso alla rete al client RADIUS nel messaggio di autorizzazione di accesso.


Argomenti della Guida