Um NAS (Network Access Server) é um dispositivo que fornece algum nível de acesso a uma rede de maiores dimensões. Um NAS que utilize uma infra-estrutura RADIUS também é um cliente RADIUS, enviando pedidos de ligação e mensagens de gestão de contas para um servidor RADIUS para autenticação, autorização e gestão de contas.

Importante

Computadores cliente, tais como computadores portáteis sem fios e outros computadores que executam sistemas operativos de cliente, não são clientes RADIUS. Os clientes RADIUS são servidores NAS (tais como pontos de acesso sem fios, comutadores com capacidade 802.1X, servidores de rede privada virtual (VPN) e servidores de acesso telefónico) porque utilizam o protocolo RADIUS para comunicar com servidores RADIUS, tais como servidores do tipo Servidor de Políticas de Rede (NPS).

Para implementar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de políticas NAP (Network Access Protection), tem de configurar clientes RADIUS no NPS.

Exemplos de clientes RADIUS

Eis alguns exemplos de servidores NAS:

  • Servidores NAS que fornecem conectividade de acesso remoto à rede de uma organização ou à Internet. Um exemplo é um computador que esteja a executar o sistema operativo Windows Server® 2008 e o serviço Encaminhamento e Acesso Remoto e que esteja a fornecer serviços remotos de acesso telefónico à rede ou VPN (virtual private network) à intranet de uma organização.

  • Pontos de acesso sem fios que fornecem acesso de camada física à rede de uma organização, utilizando tecnologias de transmissão e recepção sem fios.

  • Comutadores que fornecem acesso de camada física à rede de uma organização, utilizando tecnologias de rede local tradicionais, tais como Ethernet.

  • Proxies RADIUS que reencaminham pedidos de ligação para um servidor RADIUS e que são membros de um grupo de servidores RADIUS remoto configurado no proxy RADIUS.

Mensagens Access-Request de RADIUS

Os clientes RADIUS criam mensagens Access-Request de RADIUS e reencaminham-nas para um proxy RADIUS ou um servidor RADIUS, ou reencaminham mensagens Access-Request que tenham recebido de outro cliente RADIUS mas não tenham sido criadas por eles próprios para um servidor RADIUS.

Os clientes RADIUS não processam mensagens Access-Request efectuando autenticação, autorização e gestão de contas. Estas funções só são efectuadas por servidores RADIUS.

No entanto, o NPS pode ser configurado simultaneamente como proxy RADIUS e servidor RADIUS, para que processe algumas mensagens Access-Request e reencaminhe outras.

NPS como cliente RADIUS

O NPS age como um cliente RADIUS quando o configura como um proxy RADIUS para reencaminhar mensagens Access-Request para outros servidores RADIUS para processamento. Quando utiliza o NPS como proxy RADIUS, são requeridos os seguintes passos de configuração geral:

  1. Os servidores NAS, tais como os pontos de acesso sem fios e os servidores VPN, são configurados com o endereço IP do proxy NPS como servidor RADIUS ou servidor de autenticação designado. Isto permite que os servidores NAS, que criam mensagens Access-Request com base nas informações que recebem dos clientes de acesso, reencaminhem mensagens para o proxy NPS.

  2. O proxy NPS é configurado adicionando cada servidor NAS como cliente RADIUS. Este passo de configuração permite que o proxy NPS receba mensagens dos servidores NAS e comunique com estes durante a autenticação. Para além disso, as políticas de pedidos de ligação do proxy NPS são configuradas para especificar quais as mensagens Access-Request a reencaminhar para um ou mais servidores RADIUS. Estas políticas também são configuradas com um grupo de servidores RADIUS remoto, que indica ao NPS para onde enviar as mensagens que recebe dos servidores NAS.

  3. O NPS ou os outros servidores RADIUS que são membros do grupo de servidores RADIUS remoto no proxy NPS são configurados para receber mensagens do proxy NPS. Isto é efectuado configurando o proxy NPS como cliente RADIUS.

Propriedades de clientes RADIUS

Quando adiciona um cliente RADIUS à configuração do NPS através do snap-in NPS ou dos comandos netsh para o NPS, está a configurar o NPS para receber mensagens Access-Request do RADIUS a partir de um servidor NAS ou de um proxy RADIUS.

Quando configura um cliente RADIUS no NPS, pode designar as seguintes propriedades:

  • Nome do cliente

    Um nome amigável para o cliente RADIUS, que facilita a respectiva identificação durante a utilização do snap-in NPS ou dos comandos NPS para o NPS.

  • Endereço IP

    O endereço IPv4 (Internet Protocol version 4) ou o nome DNS (Sistema de Nomes de Domínio) do cliente RADIUS.

  • Fabricante do Cliente

    O fabricante do cliente RADIUS. Caso contrário, pode utilizar o valor padrão do RADIUS para Fabricante do Cliente.

  • Segredo partilhado

    Uma cadeia de texto que é utilizada como palavra-passe entre clientes RADIUS, servidores RADIUS e proxies RADIUS. Quando o atributo Autenticador de Mensagens é utilizado, o segrego partilhado também é utilizado como chave para encriptar mensagens RADIUS. Esta cadeia tem de ser configurada no cliente RADIUS e no snap-in NPS.

  • Atributo Autenticador de Mensagens

    Descrito no RFC 2869, "RADIUS Extensions", trata-se de um hash MD5 (Message Digest 5) da mensagem RADIUS completa. Se o atributo Autenticador de Mensagens RADIUS estiver presente, é verificado. Se falhar a verificação, a mensagem RADIUS é rejeitada. Se as definições do cliente requererem o atributo Autenticador de Mensagens e este não estiver presente, a mensagem RADIUS é rejeitada. A utilização do atributo Autenticador de Mensagens é recomendada.

    Nota

    O atributo Autenticador de Mensagens é requerido e está activado por predefinição quando a autenticação EAP é utilizada.

  • O Cliente é compatível com NAP

    Uma designação que o cliente RADIUS é compatível com NAP (Network Access Protection) e o NPS envia atributos NAP para o cliente RADIUS na mensagem Access-Accept.

Sumário