É possível utilizar um NPS (Servidor de Políticas de Rede) como um servidor RADIUS (Remote Authentication Dial-In User Service) para fins de autenticação, autorização e gestão de contas para clientes RADIUS. Um cliente RADIUS pode ser um servidor de acesso, tal como um servidor de acesso telefónico ou ponto de acesso sem fios, ou um proxy RADIUS. Quando o NPS é utilizado como um servidor RADIUS, fornece o seguinte:

  • Um serviço de autenticação e de autorização central para todos os pedidos de acesso enviados por clientes RADIUS.

    O NPS utiliza um domínio do Microsoft® Windows NT® Server 4.0, um domínio do AD DS (Serviços de Domínio do Active Directory®) ou a base de dados de contas de utilizador de SAM (Gestor de Contas de Segurança) local para autenticar as credenciais de utilizador para tentativas de ligação. O NPS utiliza as propriedade de acesso telefónico da conta de utilizador e das políticas de rede para autorizar uma ligação.

  • Um serviço de registo de contabilidade central para todos os pedidos de contabilidade enviados por clientes RADIUS.

    Os pedidos de gestão de contas são armazenados num ficheiro de registo local ou numa base de dados do Microsoft® SQL Server™ para análise.

A seguinte ilustração mostra o NPS como um servidor RADIUS para uma variedade de clientes de acesso, mostrando também um proxy RADIUS. O NPS utiliza um domínio de AD DS para a autenticação de credenciais de utilizador de mensagens Access-Request RADIUS recebidas.

NPS como servidor RADIUS

Quando o NPS é utilizado como um servidor RADIUS, as mensagens RADIUS fornecem autenticação, autorização e contabilidade para ligações de acesso à rede da seguinte forma:

  1. Os servidores de acesso, tais como os servidores NAS por acesso telefónico, os servidores de VPN e os pontos de acesso sem fios, recebem pedidos de ligação de clientes de acesso.

  2. O servidor de acesso, configurado para utilizar o RADIUS como o protocolo de autenticação, autorização e contabilidade, cria uma mensagem Access-Request e envia-a ao servidor de NPS.

  3. O servidor de NPS avalia a mensagem Access-Request.

  4. Se necessário, o servidor NPS envia uma mensagem Access-Challenge ao servidor de acesso. O servidor de acesso processa a contestação e envia um Access-Request actualizado ao servidor de NPS.

  5. As credenciais do utilizador são verificadas e as propriedades de acesso telefónico da conta de utilizador são obtidas utilizando uma ligação segura a um controlador de domínio.

  6. A tentativa de ligação é autorizada com as propriedades de acesso telefónico da conta de utilizador e políticas de rede.

  7. Se a tentativa de ligação for autenticada e autorizada, o servidor de NPS envia uma mensagem Access-Accept ao servidor de acesso.

    Se a tentativa de ligação não for autenticada ou autorizada, o servidor de NPS envia uma mensagem Access-Reject ao servidor de acesso.

  8. O servidor de acesso conclui o processo de ligação com o cliente de acesso e envia uma mensagem Accounting-Request para o servidor de NPS, onde a mensagem está registada.

  9. O servidor de NPS envia uma mensagem Accounting-Response para o servidor de acesso.

Nota

O servidor de acesso envia também mensagens Accounting-Request durante o momento em que a ligação é estabelecida, quando a ligação cliente de acesso é fechada e quando o servidor de acesso é iniciado e parado.

Pode utilizar NPS como um servidor RADIUS quando:

  • Estiver a utilizar um domínio do Windows NT Server 4.0, um domínio de AD DS ou a base de dados de contas de utilizador de SAM local como a base de dados de contas de utilizador para clientes de acesso.

  • Estiver a utilizar o Encaminhamento e Acesso Remoto em vários servidores de acesso telefónico, servidores VPN ou routers de marcação a pedido e pretender centralizar a configuração de políticas de rede e o registo de ligações para contabilidade.

  • Estiver a efectuar o outsourcing do acesso telefónico, por VPN ou sem fios a um fornecedor de serviços. Os servidores de acesso utilizam RADIUS para autenticar e autorizar ligações efectuadas por membros da sua organização.

  • Pretender centralizar a autenticação, autorização e contabilidade para um conjunto heterogéneo de servidores de acesso.

Nota

No Serviço de Autenticação da Internet (IAS) em sistemas operativos do Windows Server® 2003, as políticas de rede são referidas como políticas de acesso remoto.


Sumário