Server RADIUS per connessioni wireless o cablate 802.1X

Per distribuire un accesso wireless 802.1X, è necessario installare e configurare punti di accesso wireless, mentre per distribuire un accesso cablato 802.1X è necessario installare e configurare commutatori di autenticazione 802.1X.

Importante

I computer client, ad esempio i portatili wireless e altri computer in cui sono in esecuzione sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori che supportano 802.1X, server di reti private virtuali (VPN, Virtual Private Network) e server di connessione remota, in quanto utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio server dei criteri di rete.

In entrambi i casi questi server di accesso alla rete devono soddisfare i requisiti seguenti:

• Supporto per l'autenticazione 802.1X standard IEEE (Institute of Electrical and Electronics Engineers).
  
  
• Supporto per l'autenticazione e l'accounting RADIUS.
  
  

Se si utilizzano applicazioni di fatturazione o di accounting per cui è necessaria la correlazione della sessione, i requisiti da soddisfare sono i seguenti:

• Supporto per l'attributo Classe definito da Internet Engineering Task Force (IETF) nella RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", per consentire la correlazione della sessione per i record di autenticazione e di accounting RADIUS. Per la correlazione della sessione, quando si configura l'accounting RADIUS in un Server dei criteri di rete o in un proxy relativo, è necessario registrare tutti i dati di accounting che consentono alle applicazioni, ad esempio quelle di fatturazione, di eseguire query sul database, correlare campi appropriati e restituire una vista coesiva di ogni sessione dei risultati della query. Per implementare una correlazione della sessione, è necessario registrare almeno i dati di accounting del Server dei criteri di rete seguenti, ovvero Indirizzo-IP-NAS, Identificatore-NAS (necessari affinché il server di accesso sia in grado di inviare entrambi gli attributi), Classe, Identificatore-sessione-account, Identificatore-multi-sessione-account, Tipo-pacchetto, Tipo-stato-account, Intervallo-interim-account, Porta-NAS e Timestamp-evento.
  
  
• Supporto per richieste di accounting ad interim che possono essere registrate, inviate periodicamente da alcuni server di accesso alla rete durante una sessione utente. Questo tipo di richiesta può essere utilizzata quando l'attributo RADIUS Acct-Interim-Interval è configurato in modo da supportare richieste periodiche nel profilo di accesso remoto sul Server dei criteri di rete. Se si desidera che le richieste di accounting ad interim vengano registrate nel server che esegue Server dei criteri di rete, è necessario che il server di accesso alla rete ne supporti l'utilizzo.
  
  

Se si utilizzano reti locali virtuali (VLAN), è necessario che siano supportate dai server di accesso alla rete.

In ambienti WAN (Wide Area Network), i server di accesso alla rete devono soddisfare il requisito seguente:

• Supporto per la stima dinamica del timeout di ritrasmissione o per il backoff esponenziale per la gestione della congestione e dei ritardi in un ambiente WAN.
  
  

Per garantire una sicurezza avanzata per la rete, è inoltre necessario che i server di accesso alla rete supportino le funzionalità di filtro seguenti.

• Filtro DHCP. È necessario che i server di accesso alla rete applichino un filtro sulle porte IP per impedire la trasmissione di messaggi broadcast DHCP (Dynamic Host Configuration Protocol) se il client è costituito da un server DHCP, poiché devono impedire al client di inviare pacchetti IP dalla porta 68 alla rete.
  
  
• Filtro DNS. È necessario che i server di accesso alla rete applichino un filtro sulle porte IP per impedire a un client di funzionare come server DNS, poiché devono impedire al client di inviare pacchetti IP dalla porta 53 alla rete.
  
  

Se si distribuiscono punti di accesso wireless, è preferibile il supporto per Wi-Fi Protected Access (WPA), supportato da Windows Vista® e Windows XP con Service Pack 2. Per distribuire WPA, utilizzare inoltre schede di rete wireless che supportino questo metodo.

Per connessioni wireless e cablate 802.1X, è possibile utilizzare i metodi di autenticazione seguenti:

• Extensible Authentication Protocol (EAP) con Transport Layer Security (TLS), denominato anche EAP-TLS.
  
  
• Protected EAP (PEAP) con Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2), denominato anche PEAP-MS-CHAP v2.
  
  
• PEAP con EAP-TLS, denominato anche PEAP-TLS.
  
  

Per EAP-TLS e PEAP-TLS è necessario distribuire un'infrastruttura a chiave pubblica (PKI) installando e configurando Servizi certificati Active Directory® per rilasciare certificati ai computer client e ai Server dei criteri di rete membri del dominio. Tali certificati vengono utilizzati durante il processo di autenticazione per l'identificazione da parte dei client e dei server che eseguono Server dei criteri di rete. Se si preferisce, anziché utilizzare i certificati dei computer client, è possibile distribuire smart card. In questo caso sarà necessario rilasciare smart card e lettori di smart card ai dipendenti dell'organizzazione.

Per PEAP-MS-CHAP v2 è possibile distribuire un'Autorità di certificazione (CA) personalizzata con Servizi certificati Active Directory per emettere certificati per i Server dei criteri di rete. In alternativa, è possibile acquistare certificati server da una CA radice attendibile pubblica considerata attendibile dai client, ad esempio VeriSign.

Per ulteriori informazioni, vedere Panoramica del protocollo EAP e Panoramica del protocollo PEAP.

Quando si configura Server dei criteri di rete come server RADIUS, è necessario configurare client RADIUS, criteri di rete e accounting RADIUS.