Server dei criteri di rete può essere utilizzato come server RADIUS (Remote Authentication Dial-In User Service) per eseguire l'autenticazione, l'autorizzazione e l'accounting per client RADIUS. Un client RADIUS può essere un server di accesso, ad esempio un server di connessione remota o un punto di accesso wireless, oppure un proxy RADIUS. Se il Server dei criteri di rete viene utilizzato come un server RADIUS, offre le funzionalità seguenti:
-
Un servizio di autenticazione e autorizzazione centralizzato per tutte le richieste di accesso inviate da client RADIUS.
Server dei criteri di rete utilizza un dominio Microsoft® Windows NT® Server 4.0, un dominio di Servizi di dominio Active Directory® o il database degli account utente del sistema di gestione degli account di sicurezza (SAM) locale per autenticare le credenziali utente per i tentativi di connessione. Il Server dei criteri di rete utilizza le proprietà della connessione remota dell'account utente e i criteri di rete per autorizzare una connessione.
-
Un servizio di registrazione accounting centralizzato per tutte le richieste di accounting inviate da client RADIUS.
Le richieste di accounting vengono archiviate in un file di registro locale o in un database Microsoft® SQL Server™ per l'analisi.
Nella figura seguente viene illustrato Server dei criteri di rete configurato come un server RADIUS per diversi client di accesso e un proxy RADIUS. Server dei criteri di rete utilizza un dominio di Servizi di dominio Active Directory® per autenticare le credenziali utente dei messaggi Access-Request RADIUS in ingresso.
Se Server dei criteri di rete viene utilizzato come un server RADIUS, i messaggi RADIUS offrono autenticazione, autorizzazione e accounting per connessioni di accesso alla rete come descritto di seguito.
-
I server di accesso, ad esempio server di connessione remota, server VPN e punti di accesso wireless, ricevono le richieste di connessione da client di accesso.
-
Il server di accesso, configurato per utilizzare RADIUS come protocollo di autenticazione, autorizzazione e accounting, crea un messaggio di richiesta di accesso e lo invia al Server dei criteri di rete.
-
Il messaggio di richiesta di accesso viene valutato dal Server dei criteri di rete.
-
Se necessario, il Server dei criteri di rete invia un messaggio di richiesta di verifica di accesso al server di accesso. Il server di accesso elabora la richiesta di verifica e invia un messaggio di richiesta di accesso aggiornato al Server dei criteri di rete.
-
Viene eseguita la verifica delle credenziali dell'utente e ricavate le proprietà della connessione remota dell'account utente utilizzando una connessione sicura a un controller di dominio.
-
Il tentativo di connessione viene autorizzato con le proprietà della connessione remota dell'account utente e i criteri di rete.
-
Se il tentativo di connessione è autenticato e autorizzato, il Server dei criteri di rete invia un messaggio di autorizzazione di accesso al server di accesso.
Se il tentativo di connessione non è autenticato oppure non è autorizzato, il Server dei criteri di rete invia un messaggio di rifiuto di accesso al server di accesso.
-
Il server di accesso completa il processo di connessione con il client di accesso e invia un messaggio di richiesta accounting al Server dei criteri di rete, in cui il messaggio viene registrato.
-
Il Server dei criteri di rete invia un messaggio di risposta di accounting al server di accesso.
Nota | |
Il server di accesso invia inoltre messaggi di richiesta di accounting durante il periodo in cui la connessione viene stabilita, quando la connessione al client di accesso viene chiusa e quando il server di accesso viene avviato e interrotto. |
Il Server dei criteri di rete può essere utilizzato come un server RADIUS quando:
-
Si utilizza un dominio Windows NT Server 4.0, un dominio di Servizi di dominio Active Directory o il database degli account utente SAM locale come database degli account utente per i client di accesso.
-
Si utilizza Routing e Accesso remoto su più server di connessione remota, server VPN o router di connessione a richiesta e si desidera centralizzare la configurazione dei criteri di rete e della registrazione connessione per l'accounting.
-
Si esegue l'outsourcing dell'accesso remoto, VPN o wireless a un provider di servizi. I server di accesso utilizzano RADIUS per autenticare e autorizzare le connessioni stabilite da membri della propria organizzazione.
-
Si desidera centralizzare autenticazione, autorizzazione e accounting per un insieme eterogeneo di server di accesso.
Nota | |
Nel Servizio di Autenticazione Internet (IAS) del sistema operativo Windows Server® 2003, i criteri di rete vengono indicati come criteri di accesso remoto. |