As políticas de pedido de ligação são conjuntos de condições e definições que permitem que os administradores de rede designem os servidores RADIUS (Remote Authentication Dial-In User Service) que efectuam a autenticação e autorização de pedidos de ligação recebidos pelo servidor com o NPS (Servidor de Políticas de Rede) oriundos de clientes RADIUS. As políticas de pedidos de ligação podem ser configuradas para designar os servidores RADIUS que são utilizados para gestão de contas RADIUS.

Importante

Quando implementa o NAP (Protecção de Acesso à Rede) utilizando os métodos de imposição VPN (Rede Privada Virtual) ou 802.1X com autenticação PEAP (Protected Extensible Authentication Protocol), tem de configurar a autenticação PEAP na política de pedido de ligação, mesmo quando os pedidos de ligação são processados localmente.

Pode criar políticas de pedido de ligação para que algumas mensagens de pedido RADIUS enviadas por clientes RADIUS sejam processadas localmente (o NPS está a ser utilizado como servidor RADIUS) e outros tipos de mensagens sejam reencaminhados para outro servidor RADIUS (o NPS está a ser utilizado como proxy RADIUS).

Com as políticas de pedido de ligação, pode utilizar o NPS como um servidor RADIUS ou como um proxy RADIUS, com base em factores tais como os seguintes:

  • A hora do dia e o dia da semana

  • O nome do realm existente no pedido de ligação

  • O tipo de ligação que está a ser solicitado

  • O endereço IP do cliente RADIUS

As mensagens Access-Request do RADIUS só são processadas ou reencaminhadas pelo NPS se as definições da mensagem de entrada corresponder a pelo menos uma das políticas de pedido de ligação configuradas no servidor NPS. Se as definições da política corresponderem e a política requerer que o servidor NPS processe a mensagem, o NPS funciona como um servidor RADIUS, autenticando e autorizando o pedido de ligação. Se as definições da política corresponderem e a política requerer que o servidor NPS reencaminhe a mensagem, o NPS funciona como um proxy RADIUS e reencaminha o pedido para um servidor RADIUS remoto, para processamento.

Se as definições de uma mensagem de entrada Access-Request do RADIUS não corresponderem a pelo menos uma das políticas de pedido de ligação, é enviada uma mensagem Access-Reject para o cliente RADIUS e é negado acesso ao utilizador ou computador que está a tentar ligar à rede.

Exemplos de configuração

Os exemplos de configuração seguintes demonstram como podem ser utilizadas as políticas de pedido de ligação:

  • NPS como servidor RADIUS

    A política de pedido de ligação predefinida é a única política configurada. Neste exemplo, o NPS está configurado como servidor RADIUS e todos os pedidos de ligação são processados pelo servidor NPS local. O servidor NPS pode autenticar e autorizar utilizadores cujas contas se encontrem no domínio do servidor NPS e em domínios fidedignos.

  • NPS como proxy RADIUS

    A política de pedido de ligação predefinida foi eliminada e foram criadas duas novas políticas de pedido de ligação para reencaminharem os pedidos para dois domínios diferentes. Neste exemplo, o NPS está configurado como proxy RADIUS. O NPS não processa quaisquer pedidos de ligação no servidor local. Em vez disso, reencaminha os pedidos de ligação para o NPS ou outros servidores RADIUS que estejam configurados como membros de grupos de servidores RADIUS remotos.

  • NPS como servidor e proxy RADIUS

    Para além da política de pedido de ligação predefinida, é criada uma nova política de pedido de ligação que reencaminha os pedidos de ligação para um servidor NPS ou outro servidor RADIUS num domínio não fidedigno. Neste exemplo, a política de proxy aparece em primeiro lugar na lista ordenada de políticas. Se o pedido de ligação corresponder à política de proxy, o pedido de ligação é reencaminhado para o servidor RADIUS existente no grupo de servidores RADIUS remoto. Se o pedido de ligação não corresponder à política de proxy mas corresponder à política de pedido de ligação predefinida, o NPS processa o pedido de ligação no servidor local. Se o pedido de ligação não corresponder a nenhuma política, é rejeitado.

  • NPS como servidor RADIUS com servidores de gestão de contas remotos

    Neste exemplo, o servidor NPS local não está configurado para efectuar gestão de contas e a política de pedido de ligação predefinida foi revista, para que as mensagens de gestão de contas RADIUS sejam reencaminhadas para um servidor NPS ou outro servidor RADIUS num grupo de servidores RADIUS remoto. Apesar de as mensagens de gestão de contas serem reencaminhadas, as mensagens de autenticação e autorização não são reencaminhadas e o servidor NPS local efectua estas funções para o domínio local e para todos os domínios fidedignos.

  • NPS com RADIUS Remoto para Mapeamento de Utilizadores do Windows

    Neste exemplo, o NPS funciona como servidor RADIUS e proxy RADIUS para cada pedido de ligação individual, reencaminhando o pedido de autenticação para um servidor RADIUS remoto enquanto utiliza uma conta de utilizador do Windows local para autorização. Esta configuração é implementada através da configuração do atributo RADIUS remoto para o Mapeamento de Utilizadores do Windows como uma condição da política de pedido de ligação. (Para além disso, tem de ser criada localmente uma conta de utilizador, com o mesmo nome da conta de utilizador remota, contra a qual é efectuada a autenticação pelo servidor RADIUS remoto.)

Condições

As condições da política de pedido de ligação consistem num ou mais atributos RADIUS que são comparados com os atributos da mensagem de entrada Access-Request do RADIUS. Se existirem várias condições, todas as condições existentes na mensagem de pedido de ligação e na política de pedido de ligação têm de corresponder para que a política seja imposta pelo NPS.

Apresentamos em seguida os atributos de condição disponíveis, que poderá configurar nas políticas de pedido de ligação.

O grupo de atributos Propriedades de Ligação contém os seguintes atributos.

  • Protocolo de Pacote. Utilizado para designar o tipo dos pacotes de entrada. Entre os exemplos disponíveis incluem-se o protocolo PPP (Point-to-Point Protocol), o protocolo SLIP (Serial Line Internet Protocol), Frame Relay e X.25.

  • Tipo de Serviço. Utilizado para designar o tipo de serviço solicitado. Os exemplos incluem de pacote (por exemplo, ligações PPP) e início de sessão (por exemplo, ligações Telnet). Para obter mais informações sobre os tipos de serviço RADIUS, consulte o RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)".

  • Tipo de Túnel. Utilizado para designar o tipo de túnel que está a ser criado pelo cliente que emitiu o pedido. Os tipos de túnel incluem os protocolos PPTP (Point-to-Point Tunneling Protocol) e L2TP (Layer Two Tunneling Protocol).

O grupo de atributos Restrições de Dia e Hora contém o atributo Restrições de Dia e Hora. Este atributo permite-lhe designar o dia da semana e a hora do dia da tentativa de ligação. O dia e a hora são relativos ao dia e hora do servidor NPS.

O grupo de atributos Gateway contém os seguintes atributos.

  • ID da estação chamada. Utilizado para designar o número de telefone do servidor NAS. Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar indicativos.

  • Identificador de NAS. Utilizado para designar o nome do servidor NAS. Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar identificadores NAS.

  • Endereço NAS IPv4. Utilizado para designar o endereço IPv4 (Internet Protocol version 4) do servidor NAS (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar redes IP.

  • Endereço NAS IPv6. Utilizado para designar o endereço IPv6 (Internet Protocol version 6) do servidor NAS (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar redes IP.

  • Tipo de Porta de NAS. Utilizado para designar o tipo de suporte utilizado pelo cliente de acesso. Entre os exemplos disponíveis incluem-se as linhas telefónicas analógicas (conhecidas como assíncronas), a RDIS (Rede Digital com Integração de Serviços), túneis ou VPNs (Redes Privadas Virtuais), IEEE 802.11 sem fios e comutadores Ethernet.

O grupo de atributos Identidade do Computador contém o atributo Identidade do Computador. A utilização deste atributo permite-lhe especificar o método com o qual os clientes são identificados na política.

O grupo de atributos Propriedades de Cliente RADIUS contém os seguintes atributos.

  • ID da Estação Chamadora. Utilizado para designar o número de telefone utilizado pelo chamador (o cliente de acesso). Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar indicativos.

  • Nome Amigável do Cliente. Utilizado para designar o nome do computador cliente RADIUS que está a solicitar autenticação. Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar nomes de clientes.

  • Endereço IPv4 do Cliente. Utilizado para designar o endereço IPv4 do servidor NAS (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar redes IP.

  • Endereço IPv6 do Cliente. Utilizado para designar o endereço IPv6 do servidor NAS (o cliente RADIUS). Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões para especificar redes IP.

  • Fornecedor do Cliente. Utilizado para designar o fornecedor do servidor NAS que está a solicitar autenticação. Um computador que esteja a executar o serviço Encaminhamento e Acesso Remoto é o fornecedor do NAS da Microsoft. Pode utilizar este atributo para configurar políticas separadas para fornecedores de NAS diferentes. Este atributo é uma cadeia de caracteres. Pode utilizar uma sintaxe de correspondência de padrões.

O grupo de atributos Nome de Utilizador contém o atributo Nome de Utilizador. A utilização deste atributo permite-lhe designar o nome do utilizador, ou uma parte deste, que tem de corresponder ao nome de utilizador fornecido pelo cliente de acesso na mensagem RADIUS. Este atributo é uma cadeia de caracteres que contém tipicamente um nome de realm e um nome de conta de utilizador. Pode utilizar uma sintaxe de correspondência de padrões para especificar nomes de utilizadores.

Definições

As definições de política de pedido de ligação são um conjunto de propriedades aplicadas a uma mensagem RADIUS de entrada. As definições são compostas pelos seguintes grupos de propriedades:

  • Autenticação

  • Gestão de Contas

  • Manipulação de atributos

  • Avançadas

Autenticação

A utilização desta definição permite-lhe substituir as definições de autenticação configuradas em todas as políticas de rede e designar os métodos e tipos de autenticação necessários para ligar à rede.

Importante

Se configurar um método de autenticação na política de pedido de ligação que seja menos seguro do que o método de autenticação configurado na política de rede, o método de autenticação mais seguro configurado na política de rede será substituído. Por exemplo, se tiver uma política de rede que exija a utilização de PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), que consiste num método de autenticação baseado em palavras-passe para redes sem fios seguras, e além disso configurar uma política de pedido de ligação para permitir o acesso não autenticado, nenhum cliente terá de efectuar a autenticação utilizando PEAP-MS-CHAP v2. Neste exemplo, será concedido acesso não autenticado a todos os clientes que ligarem à rede.

Gestão de Contas

A utilização desta definição permite-lhe configurar uma política de pedido de ligação para reencaminhar as informações de gestão de contas para um servidor NPS ou outro servidor RADIUS num grupo de servidores RADIUS remoto, para que o grupo de servidores RADIUS remoto leve a cabo a gestão de contas.

Nota

Se tiver vários servidores RADIUS e pretender que as informações de gestão de contas de todos os servidores sejam armazenadas numa base de dados de gestão de contas RADIUS central, poderá utilizar a definição de gestão de contas da política de pedido de ligação uma política em cada servidor RADIUS, para reencaminhar os dados de gestão de contas provenientes de todos os servidores para um servidor NPS ou outro servidor RADIUS designado como servidor de gestão de contas.

As definições de gestão de contas da política de pedido de ligação funcionam independentemente da configuração de gestão de contas do servidor NPS local. Por outras palavras, se configurar o servidor NPS local para registar as informações de gestão de contas RADIUS num ficheiro local ou numa base de dados do Microsoft® SQL Server™, este irá fazê-lo mesmo que configure uma política de pedido de ligação para reencaminhar mensagens de gestão de contas para um grupo de servidores RADIUS remoto.

Se pretender que as informações de gestão de contas sejam registadas remotamente e não localmente, tem de configurar o servidor NPS local para não efectuar gestão de contas, configurando simultaneamente a gestão de contas numa política de pedido de ligação para reencaminhar os dados de gestão de contas para um grupo de servidores RADIUS remoto.

Manipulação de atributos

Pode configurar um conjunto de regras de localização e substituição para manipular as cadeias de texto de um dos seguintes atributos:

  • Nome de Utilizador

  • ID da Estação Chamada

  • ID da Estação Chamadora

O processamento das regras de localização e substituição ocorre para um dos atributos anteriores antes que a mensagem RADIUS seja submetida às definições de autenticação e gestão de contas. As regras de manipulação de atributos só se aplicam a um atributo. Não é possível configurar regras de manipulação para cada atributo. Para além disso, a lista de atributos que é possível manipular é uma lista estática; não é possível efectuar adições à lista de atributos disponíveis para manipulação.

Nota

Se estiver a utilizar o protocolo de autenticação MS-CHAP v2, não poderá manipular o atributo Nome de Utilizador se a política de pedido de ligação for utilizada para reencaminhar a mensagem RADIUS. A única excepção ocorre quando é utilizado um carácter de barra invertida (\) e a manipulação só afecta as informações à esquerda deste. Um carácter de barra invertida é normalmente utilizado para indicar um nome de domínio (as informações à esquerda do carácter de barra invertida) e um nome de conta de utilizador nesse domínio (as informações à direita do carácter de barra invertida). Neste caso, só são permitidas regras de manipulação de atributos que modifiquem ou substituam o nome de domínio.

Pedido de reencaminhamento

Pode definir as seguintes opções de pedido de encaminhamento que são utilizadas para mensagens Access-Request do RADIUS:

Autenticar pedidos neste servidor. Através da utilização desta definição, o NPS utiliza um domínio do Windows NT 4.0, o Active Directory ou a base de dados de contas de utilizador local do SAM (Gestor de Contas de Segurança) para autenticar o pedido de ligação. Esta definição também especifica que a política de rede correspondente configurada no NPS, juntamente com as propriedades de acesso telefónico da conta de utilizador, são utilizadas pelo NPS para autorizar o pedido de ligação. Neste caso, o servidor NPS é configurado para funcionar como um servidor RADIUS.

Reencaminhar pedidos para o seguinte grupo de servidores RADIUS remotos para autenticação. Através da utilização desta definição, o NPS reencaminha os pedidos de ligação para o grupo de servidores RADIUS remoto que especificar. Se o servidor NPS receber uma mensagem Access-Accept válida correspondente a uma mensagem Access-Request, a tentativa de ligação é considerada autenticada e autorizada. Neste caso, o servidor NPS funciona como um proxy RADIUS.

Aceitar utilizadores sem validar credenciais. Através da utilização desta definição, o NPS não verifica a identidade do utilizador que está a tentar ligar à rede e o NPS não tenta verificar se o utilizador ou computador tem o direito de ligar à rede. Quando o NPS está configurado para permitir o acesso não autenticado e recebe um pedido de ligação, o NPS envia imediatamente uma mensagem Access-Accept ao cliente RADIUS e é concedido acesso à rede ao utilizador ou computador. Esta definição é utilizada para alguns tipos de túnel obrigatório, nos quais o cliente de acesso é colocado no túnel antes de as credenciais do utilizador serem autenticadas.

Nota

Esta opção de autenticação não pode ser utilizada quando o protocolo de autenticação do cliente de acesso for MS-CHAP v2 ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), já que ambos fornecem autenticação mútua. Na autenticação mútua, o cliente de acesso prova que é um cliente de acesso válido ao servidor de autenticação (o servidor NPS) e o servidor de autenticação prova que é um servidor de autenticação válido ao cliente de acesso. Quando esta opção de autenticação é utilizada, a mensagem Access-Accept é devolvida. No entanto, o servidor de autenticação não fornece a validação ao cliente de acesso e a autenticação mútua falha.

Avançadas

Pode definir propriedades avançadas para especificar a série de atributos RADIUS que são:

  • Adicionados à mensagem de resposta RADIUS quando o servidor NPS está a ser utilizado como servidor de autenticação ou gestão de contas RADIUS.

    Quando existem atributos especificados numa política de rede e na política de pedido de ligação, os atributos enviados na mensagem de resposta RADIUS são a combinação dos dois conjuntos de atributos.

  • Adicionados à mensagem RADIUS quando o servidor NPS está a ser utilizado como proxy de autenticação ou gestão de contas RADIUS. Se o atributo já existir na mensagem que é reencaminhada, é substituído pelo valor do atributo especificado na política de pedido de ligação.

Para além disso, alguns atributos disponíveis para configuração no separador Definições da política de pedido de ligação, na categoria Avançadas, fornecem funcionalidades especializadas. Por exemplo, pode configurar o atributo RADIUS Remoto para o Mapeamento de Utilizadores do Windows quando pretender dividir a autenticação e autorização de um pedido de ligação entre duas bases de dados de contas de utilizador.

O atributo RADIUS Remoto para o Mapeamento de Utilizadores do Windows especifica que a autorização do Windows ocorre para utilizadores que sejam autenticados por um servidor RADIUS remoto. Por outras palavras, um servidor RADIUS remoto efectua a autenticação contra uma conta de utilizador numa base de dados de contas de utilizador remota, mas o servidor NPS local autoriza o pedido de ligação contra uma conta de utilizador existente numa base de dados de contas de utilizador local. Isto é útil quando pretende permitir que visitantes acedam à rede.

Por exemplo, os visitantes de organizações de parceiros poderão ser autenticados pelo servidor RADIUS da sua própria organização, podendo em seguida utilizar uma conta de utilizador do Windows da sua organização para acederem a uma LAN (Rede Local) para convidados existente na sua rede.

Outros atributos que fornecem funcionalidades especializadas são:

  • MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout. Estes atributos são utilizados quando implementa o NAQC (Network Access Quarantine Control) na implementação da VPN de Encaminhamento e Acesso Remoto.

  • Passport-User-Mapping-UPN-Suffix. Este atributo permite-lhe autenticar pedidos de ligação com credenciais de contas de utilizador Windows Live™ ID.

  • Tunnel-Tag. Este atributo designa o número de ID da VLAN à qual a ligação deve ser atribuída pelo NAS quando implementa VLANs (virtual local area networks).

Política de pedido de ligação predefinida

É criada uma política de pedido de ligação predefinida quando instala o NPS. Esta política tem a seguinte configuração:

  • Autenticação não está configurado.

  • Gestão de Contas não está configurado para reencaminhar informações de gestão de contas para um grupo de servidores RADIUS remoto.

  • Atributo não está configurado com regras de manipulação de atributos que reencaminham pedidos de ligação para grupos de servidores RADIUS remotos.

  • Pedido de Reencaminhamento está configurado de modo a que os pedidos de ligação sejam autenticados e autorizados no servidor NPS local.

  • Avançadas não está configurado.

A política de pedido de ligação predefinida utiliza o NPS como servidor RADIUS. Para configurar um servidor que esteja a executar o NPS para funcionar como proxy RADIUS, também tem de configurar um grupo de servidores RADIUS remoto. Pode criar um novo grupo de servidores RADIUS remoto enquanto estiver a criar uma nova política de pedido de ligação através do Assistente de Nova Política de Pedido de Ligação. Poderá eliminar a política de pedido de ligação predefinida ou verificar se a política de pedido de ligação predefinida foi a última política processada.

Nota

Se o NPS e o serviço Encaminhamento e Acesso Remoto estiverem instalados no mesmo computador e o serviço Encaminhamento e Acesso Remoto estiver configurado para autenticação e gestão de contas do Windows, é possível que os pedidos de autenticação e gestão de contas do Encaminhamento e Acesso Remoto sejam reencaminhados para um servidor RADIUS. Isto pode ocorrer quando os pedidos de autenticação e gestão de contas de Encaminhamento e Acesso Remoto correspondem a uma política de pedido de ligação que esteja configurada para os reencaminhar para um grupo de servidores RADIUS remoto.

Sumário