Quando implementar ligações de acesso telefónico ou VPN (virtual private network) com o NPS (Network Policy Server) como servidor RADIUS, tem de efectuar os seguintes passos:
-
Instalar e configurar servidores NAS como clientes RADIUS.
-
Implementar componentes para métodos de autenticação.
-
Configurar o NPS como servidor RADIUS.
Instalar e configurar servidores NAS (clientes RADIUS)
Para implementar o acesso telefónico, tem de instalar e configurar o Encaminhamento e Acesso Remoto como servidor de acesso telefónico. Para implementar o acesso VPN, tem de instalar e configurar o Encaminhamento e Acesso Remoto como servidor VPN.
 | Importante |
|
Computadores cliente, tais como computadores portáteis sem fios e outros computadores que executam sistemas operativos de cliente, não são clientes RADIUS. Os clientes RADIUS são servidores NAS (tais como pontos de acesso sem fios, comutadores com capacidade 802.1X, servidores de rede privada virtual (VPN) e servidores de acesso telefónico) porque utilizam o protocolo RADIUS para comunicar com servidores RADIUS, tais como servidores do tipo Servidor de Políticas de Rede (NPS). |
Pode instalar o Encaminhamento e Acesso Remoto no servidor NPS local ou num computador remoto.
Implementar componentes para métodos de autenticação
Para VPN, pode utilizar os seguintes métodos de autenticação:
-
Protocolo EAP (Extensible Authentication Protocol) com TLS (Transport Layer Security), conhecido como EAP-TLS.
-
Protocolo PEAP (Protected EAP) com MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), conhecido como PEAP-MS-CHAP v2.
-
Protocolo PEAP com TLS (Transport Layer Security), conhecido como PEAP-TLS.
Para EAP-TLS e PEAP-TLS, tem de implementar uma PKI (public key infrastructure) instalando e configurando o AD CS (Active Directory® Certificate Services) para emitir certificados para computadores cliente membros de domínio e servidores NPS. Estes certificados são utilizados durante o processo de autenticação como prova de identidade pelos clientes e servidores NPS. Se preferir, pode implementar smart cards em vez de utilizar certificados de computador cliente. Neste caso, tem de emitir smart cards e leitores de smart card para os empregados da organização.
Para PEAP-MS-CHAP v2, pode implementar a sua própria AC (Autoridade de Certificação) com o AD CS para emitir certificados para servidores NPS ou pode adquirir certificados de servidor de uma AC de raiz fidedigna pública, tal como a VeriSign.
Para mais informações, consulte Descrição Geral do EAP e Descrição Geral do PEAP.
Configurar o NPS como servidor RADIUS
Quando configurar o NPS como servidor RADIUS, tem de configurar clientes RADIUS, a política de rede e a gestão de contas RADIUS.
Configurar clientes RADIUS
Existem duas fases na configuração de clientes RADIUS:
-
Configurar o cliente RADIUS físico, tal como o servidor VPN ou o servidor de acesso telefónico, com informações que permitam ao servidor NAS comunicar com servidores NPS. Estas informações incluem a configuração do endereço IP do servidor NPS e do segredo partilhado na interface de utilizador do servidor VPN ou servidor de acesso telefónico.
-
No NPS, adicionar um novo cliente RADIUS. No servidor NPS, adicione cada servidor VPN ou servidor de acesso telefónico como um cliente RADIUS. O NPS permite fornecer um nome amigável para cada cliente RADIUS, assim como o endereço IP do cliente RADIUS e o segredo partilhado.
Para mais informações, consulte Adicionar um Novo Cliente RADIUS.
Configurar políticas de rede
As políticas de rede são conjuntos de condições, restrições e definições que lhe permitem designar quem está autorizado a ligar à rede e as circunstâncias nas quais é possível estabelecer ligação.
Para mais informações, consulte Políticas de Rede.
Configurar a gestão de contas RADIUS
A gestão de contas RADIUS permite-lhe registar pedidos de gestão de contas e autenticação de utilizadores num ficheiro de registo local ou numa base de dados do Microsoft® SQL Server® no computador local ou num computador remoto.