Server dei criteri di rete può essere utilizzato come proxy RADIUS per fornire il routing dei messaggi RADIUS tra i client RADIUS (server di accesso) e i server RADIUS che eseguono l'autenticazione utente, l'autorizzazione e l'accounting per il tentativo di connessione. Se utilizzato come proxy RADIUS, il Server dei criteri di rete è un punto di commutazione o di routing centrale attraverso il quale passano i messaggi di accesso e accounting RADIUS. Il Server dei criteri di rete registra in un registro di accounting le informazioni relative ai messaggi inoltrati.

Nella figura seguente viene illustrato il Server dei criteri di rete come proxy RADIUS tra i client RADIUS (server di accesso) e i server RADIUS o un altro proxy RADIUS.

NPS come un proxy RADIUS

Se il Server dei criteri di rete viene utilizzato come proxy RADIUS tra un client RADIUS e un server RADIUS, i messaggi RADIUS per i tentativi di accesso alla rete vengono inoltrati nel modo seguente:

  1. I server di accesso, quali i server di connessione remota alla rete, i server VPN e i punti di accesso wireless, ricevono le richieste di connessione dai client di accesso.

  2. Il server di accesso, configurato per utilizzare RADIUS come protocollo di autenticazione, autorizzazione e accounting, crea un messaggio di richiesta di accesso e lo invia al Server dei criteri di rete utilizzato come proxy RADIUS.

  3. Il proxy RADIUS Server dei criteri di rete riceve il messaggio di richiesta di accesso e, in base ai criteri di connessione configurati localmente, determina dove inoltrare tale messaggio.

  4. Il proxy RADIUS Server dei criteri di rete inoltra il messaggio di richiesta di accesso al server RADIUS appropriato.

  5. Il server RADIUS valuta il messaggio di richiesta di accesso.

  6. Se necessario, il server RADIUS invia un messaggio di richiesta di verifica di accesso al proxy RADIUS Server dei criteri di rete, dove viene inoltrato al server di accesso. Il server di accesso elabora la richiesta di verifica con il client di accesso e invia una richiesta di accesso aggiornata al proxy RADIUS Server dei criteri di rete, dove viene inoltrata al server RADIUS.

  7. Il server RADIUS autentica e autorizza il tentativo di connessione.

  8. Se il tentativo di connessione viene autenticato e autorizzato, il server RADIUS invia un messaggio di autorizzazione di accesso al proxy RADIUS Server dei criteri di rete, dove viene inoltrato al server di accesso.

    Se il tentativo di connessione non viene autenticato o autorizzato, il server RADIUS invia un messaggio di rifiuto di accesso al proxy RADIUS Server dei criteri di rete, dove viene inoltrato al server di accesso.

  9. Il server di accesso completa il processo di connessione con il client di accesso e invia un messaggio di richiesta di accesso al proxy RADIUS Server dei criteri di rete. Tale proxy registra i dati di accounting e inoltra il messaggio al server RADIUS.

  10. Il server RADIUS invia una risposta di accounting al proxy RADIUS Server dei criteri di rete, dove viene inoltrata al server di accesso.

È possibile utilizzare Server dei criteri di rete come proxy RADIUS nei casi seguenti:

  • L'utente è un provider di servizi che offre in outsourcing servizi di accesso alla rete in connessione remota, VPN o wireless a più clienti. I server di accesso alla rete inviano richieste di connessione al proxy RADIUS Server dei criteri di rete. Sulla base della parte dell'area di autenticazione del nome utente nella richiesta di connessione, il proxy RADIUS Server dei criteri di rete inoltra la richiesta di connessione a un server RADIUS gestito dal cliente in grado di autenticare e autorizzare il tentativo di connessione.

  • Si desidera offrire l'autenticazione e l'autorizzazione per gli account utente che non sono membri del dominio di cui è membro il Server dei criteri di rete o di un altro dominio che dispone di un trust bidirezionale con il dominio di cui è membro il Server dei criteri di rete. Tali account includono quelli dei domini non trusted, dei domini con trust unidirezionale e di altre foreste. Anziché configurare i server di accesso per l'invio delle richieste di connessione a un server RADIUS Server dei criteri di rete, è possibile configurarli per l'invio delle richieste di connessione a un proxy RADIUS Server dei criteri di rete. Tale proxy utilizza la parte del nome dell'area di autenticazione all'interno del nome utente e inoltra la richiesta a un Server dei criteri di rete nel dominio o nella foresta appropriati. I tentativi di connessione per gli account utente in un dominio o in una foresta possono essere autenticati per i server di accesso alla rete in un altro dominio o in un'altra foresta.

  • Si desidera eseguire l'autenticazione e l'autorizzazione utilizzando un database diverso da un database di account Windows. In questo caso le richieste di connessione che corrispondono a uno specifico nome dell'area di autenticazione vengono inoltrate a un server RADIUS che ha accesso a un diverso database di account utente e dati di autorizzazione. Altri esempi di database utenti includono i database NDS (Novell Directory Services) e SQL (Structured Query Language).

  • Si desidera elaborare un elevato numero di richieste di connessione. In questo caso, anziché configurare i client RADIUS per tentare di bilanciare le relative richieste di connessione e accounting tra più server RADIUS, è possibile configurarli per l'invio delle relative richieste di connessione e accounting a un proxy RADIUS Server dei criteri di rete. Tale proxy bilancia dinamicamente il carico delle richieste di connessione e accounting tra più server RADIUS e incrementa la velocità di elaborazione al secondo di un numero elevato di client RADIUS e autenticazioni.

  • Si desidera offrire l'autenticazione e autorizzazione RADIUS per i provider di servizi in outsourcing e limitare la configurazione del firewall dell'Intranet. Il firewall di una Intranet è posizionato tra la rete perimetrale (la rete compresa tra l'Intranet e Internet) e l'Intranet. Se si posiziona un server che esegue Server dei criteri di rete nella rete perimetrale, il firewall tra la rete perimetrale e la rete Intranet deve consentire il flusso del traffico tra Server dei criteri di rete e più controller di dominio. Se si sostituisce il server che esegue Server dei criteri di rete con un proxy Server dei criteri di rete, il firewall dovrà consentire il passaggio solo del traffico RADIUS tra il proxy Server dei criteri di rete e uno o più server che eseguono Server dei criteri di rete all'interno della rete Intranet.


Argomenti della Guida