Visão geral do Servidor de Diretivas de Rede

O NPS é a implementação do padrão RADIUS especificado pela IETF (Internet Engineering Task Force) nos RFCs 2865 e 2866 pela Microsoft. Como um servidor RADIUS, o NPS realiza autenticação e conexão centralizada, autorização e contabilização para vários tipos de acesso à rede, incluindo sem fio, chave de autenticação, acesso remoto discado e VPN (rede virtual privada) e conexões roteador a roteador.

O NPS permite o uso de um conjunto diversificado de equipamentos sem fio, comutador, acesso remoto ou VPN. Você pode usar o NPS com o serviço de Roteamento e Acesso Remoto, disponível no Microsoft Windows 2000, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; e Windows Server 2003, Datacenter Edition.

Quando um servidor NPS é um membro de um domínio Serviços do Active Directory® (AD DS), o NPS utiliza o serviço de diretório como seu banco de dados de contas de usuários e faz parte de uma solução de SSO (single sign-on, logon único). O mesmo conjunto de credenciais é usado no controle de acesso à rede (autenticação e autorização de acesso a uma rede) e para fazer logon em um domínio do AD DS.

Os provedores de serviços de Internet (ISPs) e as organizações que mantêm o acesso à rede têm um desafio maior de gerenciar todos os tipos de acesso à rede a partir de um único ponto de administração, independentemente do tipo de equipamento usado no acesso à rede. O padrão RADIUS oferece suporte a essa funcionalidade em ambientes homogêneos e heterogêneos. RADIUS é um protocolo de cliente-servidor que permite que os equipamentos de acesso à rede (usados como clientes RADIUS) enviem solicitações de autenticação e contabilização para um servidor RADIUS.

Um servidor RADIUS tem acesso às informações da conta do usuário e pode verificar as credenciais para autenticação do acesso à rede. Se as credenciais do usuário forem autenticadas e a tentativa de conexão for autorizada, o servidor RADIUS autorizará o acesso do usuário com base nas condições especificadas e registrará essa conexão de acesso à rede em um log de contabilização. O uso de RADIUS permite que os dados de autenticação, de autorização e de contabilização do usuário de acesso à rede sejam coletados e mantidos em um local central, não em cada servidor de acesso.

Para obter mais informações, consulte Servidor RADIUS.

Como um proxy RADIUS, o NPS encaminha mensagens de autenticação e de contabilização para outros servidores RADIUS.

Com o NPS, as organizações podem também terceirizar a infraestrutura de acesso remoto a um provedor de serviço, mantendo, ao mesmo tempo, o controle da autenticação, autorização e contabilização de usuários.

Podem ser criadas configurações de NPS para as seguintes soluções:

• Acesso sem fio
  
  
• Acesso remoto dial-up ou VPN (rede virtual privada) da organização
  
  
• Acesso sem fio ou dial-up terceirizado
  
  
• acesso à Internet
  
  
• Acesso autenticado a recursos da extranet para parceiros comerciais
  
  

Para obter mais informações, consulte Proxy RADIUS.

Os exemplos de configuração a seguir demonstram como você pode configurar o NPS como um servidor RADIUS e proxy RADIUS.

NPS as a RADIUS server. Neste exemplo, o NPS está configurado como um servidor RADIUS, a diretiva de solicitação de conexão padrão é a única diretiva configurada e todas as solicitações de conexão são processadas pelo servidor NPS local. O servidor NPS pode autenticar e autorizar usuários cujas contas estão no domínio do servidor NPS e em domínios confiáveis.

NPS as a RADIUS proxy. Neste exemplo, o servidor NPS está configurado como um proxy RADIUS que encaminha as solicitações de conexão para Grupos de Servidores Remotos RADIUS em dois domínios diferentes não confiáveis. A diretiva de solicitação de conexão padrão é excluída e duas novas diretivas de solicitação de conexão são criadas para encaminhar as solicitações para cada um dos dois domínios não confiáveis. Neste exemplo, o NPS não processa nenhuma solicitação de conexão no servidor local.

NPS as both RADIUS server and RADIUS proxy. Além da diretiva de solicitação de conexão padrão, que indica que as solicitações de conexão são processadas localmente, uma nova diretiva de solicitação de conexão é criada para encaminhar as solicitações de conexão para um servidor NPS ou outro servidor RADIUS em um domínio não confiável. Essa segunda diretiva é chamada diretiva de Proxy. Neste exemplo, a diretiva de Proxy aparece primeiro na lista ordenada de diretivas. Se a solicitação de conexão atender à diretiva de Proxy, será encaminhada para o servidor RADIUS do grupo de servidores RADIUS remotos. Se a solicitação de conexão não atender à diretiva de Proxy, mas atender à diretiva de solicitação de conexão padrão, o NPS a processará no servidor local. Se a solicitação de conexão não atender a nenhuma das diretivas, será descartada.

NPS as a RADIUS server with remote accounting servers. Neste exemplo, o servidor NPS local não está configurado para executar a contabilização e a diretiva de solicitação de conexão padrão é revisada, de forma que as mensagens de contabilização RADIUS sejam encaminhadas para um servidor NPS ou outro servidor RADIUS de um grupo de servidores RADIUS remotos. Embora as mensagens de contabilização sejam encaminhadas, as mensagens de autenticação e autorização não são, e o servidor NPS local executa essas funções para os domínios locais e todos os domínios confiáveis.

NPS with remote RADIUS to Windows user mapping. Neste exemplo, o NPS atua como um servidor RADIUS e um proxy RADIUS para cada solicitação de conexão, encaminhando a solicitação de autenticação para um servidor RADIUS remoto e, ao mesmo tempo, usando uma conta de usuário do Windows local para autorização. Essa configuração é implementada configurando o atributo RADIUS Remoto para Mapeamento de Usuários do Windows como uma condição da diretiva de solicitação de conexão. (Além disso, uma conta de usuário deve ser criada localmente no servidor RADIUS com o mesmo nome da conta de usuário remoto com o qual o servidor RADIUS remoto executa a autenticação.)