As Diretivas de solicitação de conexão são conjuntos de condições e configurações que permitem aos administradores de rede designar os servidores RADIUS que deverão fazer a autenticação e a autorização das solicitações de conexão que o servidor que executa o Servidor de Diretivas de Rede (NPS) recebe de clientes RADIUS. As diretivas de solicitação de conexão podem ser configuradas para designar quais servidores RADIUS serão usados para a contabilização RADIUS.

Importante

Ao implantar a NAP (Proteção de Acesso à Rede) usando métodos de imposição VPN (rede virtual privada) ou 802.1X com autenticação PEAP, você deve configurar a autenticação PEAP na diretiva de solicitação de conexão mesmo quando as solicitações de conexão forem processadas localmente.

Você pode criar diretivas de solicitação de conexão para que algumas mensagens de solicitação RADIUS enviadas de clientes RADIUS sejam processadas localmente (o NPS funciona como servidor RADIUS) e outros tipos de mensagens sejam encaminhadas a outro servidor RADIUS (o NPS funciona como proxy RADIUS).

As diretivas de solicitação de conexão permitem usar o NPS como servidor ou proxy RADIUS, com base nos seguintes fatores:

  • A hora do dia e o dia da semana

  • O nome do realm na solicitação de conexão

  • O tipo de conexão sendo solicitada

  • O endereço IP do cliente RADIUS

As mensagens de solicitação de acesso RADIUS somente serão processadas ou encaminhadas pelo NPS se as configurações da mensagem corresponderem ao menos a uma das diretivas de solicitação de conexão configuradas no servidor NPS. Se as configurações de diretiva corresponderem e a diretiva definir que o servidor NPS deve processar a mensagem, o NPS funcionará como servidor RADIUS, autenticando e autorizando a solicitação de conexão. Se as configurações de diretiva corresponderem e a diretiva definir que o servidor NPS deve encaminhar a mensagem, o NPS funcionará como proxy RADIUS, encaminhando a solicitação de conexão para ser processada por um servidor RADIUS remoto.

Se as configurações de uma mensagem de solicitação de acesso RADIUS recebida não corresponderem ao menos a uma das diretivas de solicitação de conexão, uma mensagem de acesso recusado será enviada ao cliente RADIUS e o acesso será negado ao usuário ou computador tentando conectar-se à rede.

Exemplos de configuração

Os exemplos de configuração a seguir demonstram como as diretivas de solicitação de conexão podem ser usadas:

  • NPS como servidor RADIUS

    A diretiva de solicitação de conexão padrão é a única diretiva configurada. Neste exemplo, NPS é configurado como servidor RADIUS e todas as solicitações de conexão são processadas localmente pelo servidor NPS. O servidor NPS pode autenticar e autorizar usuários cujas contas estejam no domínio do servidor NPS e em domínios confiáveis.

  • NPS como proxy RADIUS

    A diretiva de solicitação de conexão padrão é excluída e duas novas diretivas de solicitação de conexão são criadas para encaminhar as solicitações para dois domínios diferentes. Neste exemplo, o NPS está configurado como um proxy RADIUS. O NPS não processa nenhuma solicitação de conexão no servidor local. Ele encaminha as solicitações de conexão para o servidor NPS ou outros servidores RADIUS configurados como membros de Grupos de Servidores Remotos RADIUS.

  • NPS como servidor e proxy RADIUS

    Além da diretiva de solicitação de conexão padrão, uma nova diretiva de solicitação de conexão é criada para encaminhar as solicitações para um NPS ou outro servidor RADIUS em um domínio não confiável. Neste exemplo, a diretiva do proxy aparece em primeiro lugar na lista de diretivas. Se a solicitação de conexão corresponder à diretiva do proxy, ela será encaminhada ao servidor RADIUS no grupo de servidores remotos RADIUS. Se a solicitação não corresponder à diretiva do proxy mas corresponder à diretiva de solicitação de conexão padrão, o NPS processará a solicitação de conexão no servidor local. Se a solicitação de conexão não atender a nenhuma das diretivas, será descartada.

  • NPS como servidor RADIUS com servidores de contabilidade remotos

    Neste exemplo, o servidor NPS não está configurado para executar a contabilização e a diretiva de solicitação de conexão padrão é revisada, de forma que as mensagens de contabilização RADIUS sejam encaminhadas para um servidor NPS ou outro servidor RADIUS de um grupo de servidores RADIUS remotos. Embora as mensagens de contabilização sejam encaminhadas, as mensagens de autenticação e autorização não são, e o servidor NPS local executa essas funções para os domínios locais e todos os domínios confiáveis.

  • NPS com RADIUS remoto para mapeamento de usuários do Windows

    Neste exemplo, o NPS atua como servidor RADIUS e proxy RADIUS para cada solicitação de conexão, encaminhando a solicitação de autenticação para um servidor RADIUS remoto e, ao mesmo tempo, usando uma conta de usuário do Windows local para autorização. Essa configuração é implementada configurando o atributo RADIUS Remoto para Mapeamento de Usuários do Windows como uma condição da diretiva de solicitação de conexão. (Além disso, deve ser criada localmente uma conta de usuário com o mesmo nome da conta de usuário remoto com o qual o servidor RADIUS remoto executa a autenticação.)

Condições

As Condições da diretiva de solicitação de conexão são um dos atributos RADIUS que são comparados aos atributos da mensagem de Solicitação de Acesso RADIUS sendo recebida. Caso existam várias condições, todas as condições na mensagem de solicitação de conexão e na diretiva de solicitação de conexão devem corresponder para que a diretiva seja imposta pelo NPS.

A seguir são listados os atributos comuns de condição que podem ser configurados nas diretivas de solicitação de conexão.

O grupo de atributos Propriedades da conexão contém os seguintes atributos.

  • Framed-Protocol. Usado para designar o tipo de protocolo a ser descartado nos pacotes sendo recebidos. Exemplos são PPP (Protocolo Ponto a Ponto), SLIP (Protocolo de Internet de Linha Série ), Frame Relay, e X.25.

  • Tipo de serviço Usado para designar o tipo de serviço sendo solicitado. Os exemplos incluem framed (como conexões PPP) e login (como conexões Telnet). Para obter mais informações sobre tipos de serviços RADIUS, consulte o RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)."

  • Tipo de túnel. Usado para definir o tipo de túnel sendo criado pelo cliente que faz a solicitação. Os tipos de túnel incluem o protocolo PPTP (Point-to-Point Tunneling Protocol) e o protocolo L2TP (Layer Two Tunneling Protocol).

O grupo de atributos Restrições de dia e horário contém o atributo Restrições de dia e horário. Use este atributo para designar o dia da semana e a hora do dia para tentar a conexão. O dia e a hora referem-se ao dia e à hora do servidor NPS.

O grupo de atributos Gateway contém os seguintes atributos.

  • ID de estação chamada. Usado para designar o número de telefone do servidor de acesso de rede. Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar códigos de área.

  • Identificador do NAS. Usado para designar o nome do servidor de acesso de rede. Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar os identificadores NAS.

  • Endereço IPv4 do NAS. Usado para designar o endereço IPv4 do servidor de acesso da rede (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar redes de IP.

  • Endereço IPv6 do NAS. Usado para designar o endereço IPv6 do servidor de acesso da rede (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar redes de IP.

  • Tipo de porta do NAS. Usado para designar o tipo de mídia usada pelo cliente de acesso. Os exemplos são linhas de telefone analógicas (chamadas de async), ISDN (Rede Digital de Serviços Integrados), túneis ou redes privadas virtuais (VPNs), IEEE 802.11 sem fio e chaves de Ethernet.

O grupo de atributos Identidade da máquina contém o atributo Identidade da máquina. Use este atributo para especificar o método usado para identificar os clientes na diretiva.

O grupo de atributos Propriedades do cliente RADIUS contém os seguintes atributos.

  • ID de estação chamada. Usado para designar o número de telefone usado para fazer a chamada (o cliente de acesso). Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar códigos de área.

  • Nome amigável do cliente. Usado para designar o nome do computador cliente RADIUS solicitando a autenticação. Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar nomes de clientes.

  • Endereço IPv4 do cliente. Usado para designar o endereço IPv4 do servidor de acesso da rede (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar redes de IP.

  • Endereço IPv6 do cliente. Usado para designar o endereço IPv6 do servidor de acesso da rede (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões para especificar redes de IP.

  • Fornecedor do cliente. Usado para designar o fornecedor do servidor de acesso à rede solicitando a autenticação. Um computador executando o serviço Roteamento e Acesso Remoto é o fabricante de NAS da Microsoft. Este atributo também pode ser usado para configurar diretivas individuais para diferentes fabricantes de NAS. Este atributo é uma cadeia de caracteres. Você pode usar uma sintaxe de correspondência de padrões.

O grupo de atributos Nome de usuário contém o atributo Nome de usuário. Use este atributo para designar o nome do usuário ou uma parte desse nome, que deve corresponder ao nome de usuário fornecido pelo cliente de acesso na mensagem RADIUS. Este atributo é uma cadeia de caracteres, contendo geralmente um nome de realm e um nome de conta de usuário. Você pode usar uma sintaxe de correspondência de padrões para especificar nomes de usuários.

Configurações

As configurações de diretiva de solicitação de conexão são um conjunto de propriedades aplicadas a uma mensagem RADIUS sendo recebida. Essas configurações consistem dos seguintes grupos de propriedades:

  • Autenticação

  • Contabilização

  • Manipulação de atributos

  • Avançado

Autenticação

Use esta configuração para substituir as configurações de autenticação configuradas em todas as diretivas de rede e para designar os métodos e tipos de autenticação necessários para conectar à sua rede.

Importante

Se o método de autenticação configurado por você na diretiva de solicitação de conexão for menos seguro do que aquele configurado na diretiva de rede, esse último método será substituído. Por exemplo, se existir uma diretiva de rede que requeira o uso de PEAP-MS-CHAP v2, um método de autenticação baseado em senha para rede sem fio segura, mas você configurar uma diretiva de solicitação de conexão para permitir acesso não autenticado, nenhum cliente será solicitado a fazer autenticação usando PEAP-MS-CHAP v2. Neste exemplo, o acesso não autenticado é definido para todos os clientes conectando à sua rede.

Contabilização

Use esta configuração para configurar a diretiva de solicitação de conexão para encaminhar informações de contabilização a um servidor executando NPS ou a outro servidor RADIUS em um grupo de servidores remotos RADIUS, de modo que a contabilização seja feita por esse grupo.

Observação

Caso tenha vários servidores RADIUS e quiser armazenar as informações de contabilização de todos os servidores em um banco de dados de contabilização central RADIUS, defina a configuração de diretiva de solicitação de conexão em uma diretiva em cada servidor RADIUS para encaminhar os dados contábeis de todos os servidores para um NPS ou outro servidor RADIUS designado como servidor de contabilização.

As configurações de contabilização definidas na diretiva de solicitação de conexão independem das configurações de contabilização definidas no servidor NPS local. Ou seja, caso configure o servidor local NPS para fazer log das informações de contabilização RADIUS para um arquivo local ou para um banco de dados do Microsoft® SQL Server™, ele fará isso mesmo que você configure uma diretiva de solicitação de conexão para encaminhar mensagens de contabilização para um grupo de servidores RADIUS remotos.

Para criar um log remoto e não local das informações de contabilização, você deve configurar o servidor NPS local para não fazer a contabilização, ao mesmo tempo em que configura a contabilização em uma diretiva de solicitação de conexão para encaminhar os dados contábeis a um grupo de servidores RADIUS remotos.

Manipulação de atributos

Você pode configurar um conjunto de regras para busca e substituição para manipular as sequências de texto de um dos seguintes atributos:

  • Nome de Usuário

  • ID de Estação Chamada

  • ID de Estação de Chamada

O processamento de regras para busca e substituição para um dos atributos precedentes ocorre antes que a mensagem RADIUS seja sujeita às configurações de autenticação e contabilização. As regras de manipulação de atributos aplicam-se somente a um atributo. Você não pode configurar regras de manipulação de atributos para cada atributo. Além disso, a lista de atributos que podem ser manipulados é uma lista estática ou seja, você não pode adicionar itens à lista de atributos disponíveis para manipulação.

Observação

Se estiver usando o protocolo de autenticação MS-CHAP v2, você não poderá manipular o atributo Nome de usuário se a diretiva de solicitação de conexão for usada para encaminhar a mensagem RADIUS. A única exceção é quando um caractere de barra invertida (\) é usado e a manipulação afeta apenas as informações à sua esquerda. Geralmente, um caractere de barra invertida é usado para indicar um nome de domínio (as informações à esquerda do caractere) e um nome de conta de usuário dentro do domínio (as informações à direita do caractere). Neste caso, são permitidas apenas regras de manipulação de atributos que alterem ou substituam o nome do domínio.

Encaminhando Solicitação

Você pode configurar as seguintes opções de solicitação de encaminhamento para mensagens de solicitação de acesso RADIUS:

Autenticar solicitações neste servidor. Com esta configuração, o NPS usa um domínio do Windows NT 4.0, Active Directory ou o banco de dados local de contas de usuário SAM (Security Accounts Manager) para autenticar a solicitação de conexão. Esta configuração também permite especificar que a diretiva de rede correspondente configurada no NPS, junto com as propriedades de dial-in da conta do usuário, são usadas pelo NPS para autorizar a solicitação de conexão. Neste caso, o servidor NPS é configurado para funcionar como um servidor RADIUS.

Encaminhar solicitações ao grupo de servidores RADIUS remotos. Com esta configuração, o NPS encaminha as solicitações de conexão ao grupo de servidores RADIUS remotos especificado por você. Se o servidor NPS receber uma mensagem válida de acesso aceito para uma mensagem de solicitação de acesso, a tentativa de conexão será considerada como sendo autenticada e autorizada. Neste caso, o servidor NPS funciona como um proxy RADIUS.

Aceitar usuários sem validar credenciais. Com esta configuração, o NPS não verifica a identidade do usuário tentando conectar-se à rede, nem tenta verificar se o usuário ou o computador tem o direito de conectar-se à rede. Se o NPS for configurado para permitir acesso não autenticado e receber uma solicitação de conexão, ele enviará imediatamente uma mensagem de acesso aceito ao cliente RADIUS e será concedido acesso à rede ao usuário ou computador. Esta configuração é usada para alguns tipos de túnel compulsório em que o cliente de acesso é encapsulado antes que as credenciais do usuário sejam autenticadas.

Observação

Esta opção de autenticação não pode ser usada se o protocolo de autenticação do cliente de acesso for MS-CHAP v2 ou EAP-TLS, pois ambos fornecem autenticação mútua. Na autenticação mútua, o cliente de acesso prova ser um cliente de acesso válido para o servidor fazendo a autenticação (o servidor NPS), e esse servidor prova ser um servidor válido para o cliente de acesso. Quando esta opção de autenticação é usada, a mensagem de acesso aceito é retornada. No entanto, o servidor fazendo a autenticação não valida o cliente de acesso, o que gera uma falha na autenticação mútua.

Avançado

Você pode configurar propriedades avançadas para especificar uma série de atributos do RADIUS:

  • Adicionado à mensagem de resposta RADIUS quando um servidor NPS é usado como servidor de autenticação ou contabilização RADIUS.

    Caso sejam especificados atributos em ambos, na diretiva de rede e na diretiva de solicitação de conexão, os atributos enviados na mensagem de resposta RADIUS serão uma combinação desses dois conjuntos de atributos.

  • Adicionado à mensagem RADIUS quando o servidor NPS é usado como proxy de autenticação ou contabilização RADIUS. Se o atributo já existir na mensagem sendo encaminhada, ele será substituído pelo valor do atributo especificado na diretiva de solicitação de conexão.

Além disso, alguns atributos disponíveis para configuração na guia Configurações da categoria Avançado oferecem funções especializadas. Por exemplo, você pode configurar o atributo RADIUS remoto para mapeamento de usuário dto Windows caso queira dividir a autenticação e a autorização de uma solicitação de conexão entre dois bancos de dados de contas de usuário.

O atributo RADIUS remoto para mapeamento de usuário dto Windows especifica que a autorização do Windows é feita para usuários autenticados por um servidor RADIUS remoto. Ou seja, um servidor RADIUS remoto autentica uma conta de usuário em um banco de dados de contas de usuários remoto, mas o servidor NPS local autoriza a solicitação de conexão para uma conta de usuário em um banco de dados de contas de usuários local. Isso pode ser útil caso queira permitir o acesso de visitantes à rede.

Por exemplo, visitantes de organizações parceiras podem ser autenticados pelo servidor RADIUS da sua organização e, em seguida, usar uma conta de usuário Windows na sua organização para acessar uma rede LAN de visitantes na sua rede.

Outros atributos que oferecem funções especializadas são:

  • MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout. Esses atributos são usados quando você instala o Controle de quarentena de acesso à rede (NAQC) com sua implantação VPN de Roteamento e Acesso Remoto.

  • Passport-User-Mapping-UPN-Suffix. Este atributo permite autenticar solicitações de conexão com credenciais de conta de usuário de ID do Windows Live™.

  • Tunnel-Tag. Este atributo designa o número de ID VLAN a ser atribuído à conexão pelo NAS ao implantar redes locais virtuais (VLAN).

Diretiva de solicitação de conexão padrão

Uma diretiva de solicitação de conexão padrão é criada quando você instala o NPS. Esta diretiva tem a seguinte configuração:

  • A Autenticação não está configurada.

  • A Contabilização não está configurada para encaminhar informações de contabilização a um grupo de servidores RADIUS remotos.

  • O Atributo não está configurado com regras de manipulação de atributo que encaminham solicitações de conexão a Grupos de Servidores Remotos RADIUS.

  • Encaminhando Solicitação está configurado para que as solicitações de conexão sejam autenticadas e autorizadas no servidor NPS local.

  • Os atributos Avançados não estão configurados.

A diretiva de solicitação de conexão padrão usa o NPS como um servidor RADIUS. Para configurar um servidor executando NPS para funcionar como proxy RADIUS, você também deve configurar um grupo de servidores RADIUS remotos. Você pode criar um novo grupo de servidores RADIUS remotos ao criar uma nova diretiva de solicitação de conexão com o assistente de nova diretiva de solicitação de conexão. Você pode excluir a diretiva de solicitação de conexão padrão ou verificar se ela foi a última diretiva processada.

Observação

Se o NPS e o serviço Roteamento e Acesso Remoto estiverem instalados no mesmo computador, e o Roteamento e Acesso Remoto estiver configurado para autenticação e contabilização do Windows, é possível que as solicitações de autenticação e contabilização recebidas por ele sejam encaminhadas a um servidor RADIUS. Isso pode acontecer se as solicitações de autenticação e contabilização do Roteamento e Acesso Remoto corresponderem a uma diretiva de solicitação de conexão configurada para encaminhá-las a um grupo de servidores RADIUS remotos.

Sumário