Las directivas de solicitud de conexión son conjuntos de condiciones y configuraciones que permiten a los administradores de red designar qué servidores RADIUS (Servicio de autenticación remota telefónica de usuario) realizan la autenticación y autorización de las solicitudes de conexión que recibe el servidor que ejecuta el Servidor de directivas de redes (NPS) desde los clientes RADIUS. Las directivas de solicitud de conexión se pueden configurar para designar los servidores RADIUS que se usan para las cuentas RADIUS.

Importante

Al implementar la Protección de acceso a redes (NAP) usando los métodos de cumplimiento 802.1X o conexión de red privada virtual (VPN) con autenticación Protocolo de autenticación extensible protegido (PEAP), debe configurar la autenticación PEAP en la directiva de solicitud de conexión aunque las solicitudes de conexión se procesen localmente.

Puede crear directivas de solicitud de conexión de manera tal que algunos mensajes de solicitud RADIUS enviados desde clientes RADIUS se procesen localmente (NPS se usa como servidor RADIUS) y otros tipos de mensajes se reenvíen a otro servidor RADIUS (NPS se usa como proxy RADIUS).

Con las directivas de solicitud de conexión, puede usar NPS como servidor RADIUS o como proxy RADIUS, de acuerdo con factores como los siguientes:

  • La hora del día y el día de la semana

  • El nombre de dominio kerberos en la solicitud de conexión

  • El tipo de conexión que se solicita

  • La dirección IP del cliente RADIUS

Los mensajes de solicitud de acceso RADIUS son procesados o reenviados por NPS sólo si la configuración del mensaje entrante coincide como mínimo con una de las directivas de solicitud de conexión configuradas en el servidor NPS. Si la configuración de la directiva coincide y la directiva requiere que el servidor NPS procese el mensaje, NPS funciona como un servidor RADIUS para autenticar y autorizar la solicitud de conexión. Si la configuración de la directiva coincide y la directiva requiere que el servidor NPS reenvíe el mensaje, NPS funciona como un proxy RADIUS y reenvía la solicitud de conexión a un servidor RADIUS remoto para su procesamiento.

Si la configuración de un mensaje entrante de solicitud de acceso RADIUS no coincide como mínimo con una de las directivas de solicitud de conexión, se envía un mensaje de rechazo de acceso al cliente RADIUS y se deniega el acceso al usuario o al equipo que intenta conectarse a la red.

Ejemplos de configuración

Los siguientes ejemplos de configuración demuestran la forma en que se pueden usar las directivas de solicitud de conexión:

  • NPS como servidor RADIUS

    La directiva de solicitud de conexión predeterminada es la única directiva configurada. En este ejemplo, NPS se configura como servidor RADIUS y todas las solicitudes de conexión son procesadas por el servidor NPS local. El servidor NPS puede autenticar y autorizar los usuarios cuyas cuentas están en el dominio del dominio del servidor NPS y en los dominios de confianza.

  • NPS como proxy RADIUS

    La directiva de solicitud de conexión predeterminada se elimina y se crean dos nuevas directivas de solicitud de conexión para reenviar solicitudes a dos dominios diferentes. En este ejemplo, NPS se configura como un proxy RADIUS. NPS no procesa ninguna solicitud de conexión en el servidor local. En su lugar, reenvía las solicitudes de conexión a un servidor NPS o a otros servidores RADIUS configurados como miembros de grupos de servidores RADIUS remotos.

  • NPS como servidor RADIUS y proxy RADIUS

    Además de la directiva de solicitud de conexión predeterminada, se crea una nueva directiva de solicitud de conexión que reenvía solicitudes de conexión a NPS u otro servidor RADIUS en un dominio que no es de confianza. En este ejemplo, la directiva de proxy aparece en primer lugar en la lista ordenada de directivas. Si la solicitud de conexión coincide con la directiva de proxy, la solicitud de conexión se reenvía al servidor RADIUS en el grupo de servidores remotos RADIUS. Si la solicitud de conexión no coincide con la directiva proxy pero sí coincide con la directiva de solicitud de conexión predeterminada, NPS procesa la solicitud de conexión en el servidor local. Si la solicitud de conexión no coincide con ninguna de las dos directivas, se descarta.

  • NPS como servidor RADIUS con servidores de cuentas remotas

    En este ejemplo, el servidor NPS local no está configurado para administrar cuentas y la directiva predeterminada de solicitud de conexión se revisa de forma que los mensajes de cuentas RADIUS se reenvían a un servidor NPS u otro servidor RADIUS en un grupo de servidores RADIUS remotos. Aunque se reenvían los mensajes de cuentas, los mensajes de autenticación y autorización no se reenvían, y el servidor NPS local realiza estas funciones para los dominios locales y todos los dominios de confianza.

  • NPS con asignación de RADIUS remota a usuario de Windows

    En este ejemplo, NPS actúa como servidor RADIUS y como proxy RADIUS para cada solicitud de conexión individual ya que reenvía la solicitud de autenticación a un servidor RADIUS remoto y, al mismo tiempo, usa la cuenta de usuario de Windows local para la autorización. Para implementar esta configuración, se debe establecer el atributo Asignación de RADIUS remota a usuario de Windows como una condición de la directiva de solicitud de conexión. (Además, se debe crear una cuenta de usuario local que tenga el mismo nombre que la cuenta de usuario remota que será la que usará el servidor RADIUS remoto para realizar la autenticación.)

Condiciones

Las condiciones de la directiva de solicitud de conexión son uno o más atributos RADIUS que se comparan con los atributos del mensaje de solicitud de acceso RADIUS entrante. Si hay varias condiciones, entonces todas las condiciones del mensaje de solicitud de conexión y de la directiva de solicitud de conexión deben coincidir para que la directiva sea aplicada por NPS.

Los siguientes son los atributos de condición que se pueden configurar en las directivas de solicitud de conexión.

El grupo de atributos Propiedades de la conexión contiene los siguientes atributos.

  • Protocolo entramado. Se usa para designar el tipo de entramado para los paquetes entrantes. Algunos ejemplos son el Protocolo punto a punto (PPP), el Protocolo Internet de línea de serie (SLIP), Frame Relay y X.25.

  • Tipo de servicio. Se usa para designar el tipo de servicio que se solicita. Entre los ejemplos se incluyen entramados (por ejemplo, conexiones PPP) y de inicio de sesión (por ejemplo, conexiones Telnet). Para obtener más información acerca de los tipos de servicio RADIUS, consulte la RFC 2865, que se refiere al Servicio de autenticación remota telefónica de usuario (RADIUS).

  • Tipo de túnel. Se usa para designar el tipo de túnel que está creando el cliente que realiza la solicitud. Entre los tipos de túnel se incluyen el protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa dos (L2TP).

El grupo de atributos Restricciones de día y hora contiene un atributo de Restricciones de día y hora. Con este atributo, puede designar el día de la semana y la hora del día del intento de conexión. El día y hora son relativos al día y la hora del servidor NPS.

El grupo de atributos Puerta de enlace contiene los siguientes atributos.

  • Identificador de estación llamada. Se usa para designar el número de teléfono del servidor de acceso a la red. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área.

  • Identificador de NAS. Se usa para designar el nombre del servidor de acceso a la red. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar identificadores de NAS.

  • Dirección NAS IPv4: Se usa para designar la dirección del Protocolo de Internet versión 4 (IPv4) del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.

  • Dirección NAS IPv6: Se usa para designar la dirección del Protocolo de Internet versión 6 (IPv6) del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.

  • Tipo de puerto de NAS. Se usa para designar el tipo de medios usados por el cliente de acceso. Entre ellos figuran las líneas telefónicas analógicas (conocidas como asincrónicas), la red digital de servicios integrados (ISDN), los túneles o redes privadas virtuales (VPN), las conexiones inalámbricas IEEE 802.11 y los conmutadores Ethernet.

El grupo de atributos Identidad del equipo contiene el atributo Identidad del equipo. Con este atributo, puede especificar el método con el que se identifican los clientes en la directiva.

El grupo de atributos Propiedades del cliente RADIUS contiene los siguientes atributos.

  • Identificador de estación que llama. Se usa para designar el número de teléfono usado por quien llama (el cliente de acceso). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área.

  • Nombre descriptivo del cliente. Se usa para designar el nombre del equipo cliente RADIUS que solicita autenticación. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar nombres de cliente.

  • Dirección IPv4 del cliente. Se usa para designar la dirección IPv4 del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.

  • Dirección IPv6 del cliente. Se usa para designar la dirección IPv6 del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.

  • Proveedor del cliente. Se usa para designar el proveedor del servidor de acceso a la red que solicita autenticación. Un equipo que ejecuta el Servicio de enrutamiento y acceso remoto es el fabricante de Microsoft NAS. Puede usar este atributo para configurar directivas independientes para diferentes fabricantes de NAS. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón.

El grupo de atributos Nombre de usuario contiene el atributo Nombre de usuario. Con este atributo, puede designar el nombre de usuario, o una parte del nombre de usuario, que debe coincidir con el nombre de usuario proporcionado por el cliente de acceso en el mensaje RADIUS. Este atributo es una cadena de caracteres que normalmente contiene un nombre de dominio kerberos y un nombre de cuenta de usuario. Puede usar una sintaxis de coincidencia de patrón para especificar nombres de usuario.

Configuración

La configuración de la directiva de solicitud de conexión es un conjunto de propiedades que se aplican a un mensaje RADIUS entrante. La configuración se compone de los siguientes grupos de propiedades:

  • Autenticación

  • Cuentas

  • Manipulación de atributos

  • Opciones avanzadas

Autenticación

Al usar esta configuración, puede invalidar la configuración de autenticación que se configura en todas las directivas de red y puede designar los métodos y tipos de autenticación que se necesitan para conectarse a la red.

Importante

Si configura un método de autenticación en la directiva de solicitud de conexión que es menos seguro que el método de autenticación que configura en la directiva de red, el método de autenticación más seguro que se configura en la directiva de red se invalidará. Por ejemplo, si tiene una directiva de red que exige el uso del Protocolo de autenticación extensible protegido-Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MS-CHAP v2), que es un método de autenticación basado en contraseña para el acceso inalámbrico seguro, y configura también una directiva de solicitud de conexión para permitir el acceso no autenticado, ningún cliente necesita autenticarse mediante PEAP-MS-CHAP v2. En este ejemplo, se concede a todos los clientes que se conectan a la red un acceso no autenticado.

Cuentas

Mediante esta configuración, puede configurar una directiva de solicitud de conexión para que reenvíe información de cuentas a un servidor NPS u otro servidor RADIUS en un grupo de servidores remotos RADIUS de modo que el grupo de servidores remotos RADIUS ejecute la administración de cuentas.

Nota

Si tiene varios servidores RADIUS y desea que la información de cuentas para todos los servidores se almacene en una base de datos de cuentas RADIUS central, puede usar la configuración de cuentas de la directiva de solicitud de conexión en una directiva en cada servidor RADIUS para reenviar datos de cuentas de todos los servidores a un servidor NPS o u otro servidor RADIUS que se designa como servidor de cuentas.

La configuración de cuentas de la directiva de solicitud de conexión funciona independientemente de la configuración de cuentas del servidor NPS local. Es decir, si configura el servidor NPS local para registrar información de cuentas RADIUS en un archivo local o una base de datos de Microsoft® SQL Server™, lo hará independientemente de que se configure una directiva de solicitud de conexión para reenviar mensajes de cuentas a un grupo de servidores remotos RADIUS.

Si desea que se registre la información de cuentas de forma remota pero no local, debe configurar el servidor NPS local para no ejecutar la administración de cuentas y configurar al mismo tiempo la administración de cuentas en una directiva de solicitud de conexión para reenviar datos de cuentas a un grupo de servidores remotos RADIUS.

Manipulación de atributos

Puede configurar un conjunto de reglas para buscar y reemplazar que manipulen las cadenas de texto de uno de los siguientes atributos:

  • Nombre de usuario

  • Identificador de estación llamada

  • Identificador de estación que llama

El procesamiento de la regla de buscar y reemplazar se produce para uno de los atributos precedentes antes de que el mensaje RADIUS se someta a la configuración de autenticación y administración de cuentas. Las reglas de manipulación de atributos se aplican a un solo atributo. No puede configurar reglas de manipulación de atributos para cada atributo. Además, la lista de atributos que se pueden manipular es una lista estática: no se pueden agregar atributos a la lista de atributos disponibles para su manipulación.

Nota

Si usa el protocolo de autenticación MS-CHAP v2, no puede manipular el atributo de Nombre de usuario si la directiva de solicitud de conexión se usa para reenviar el mensaje RADIUS. La única excepción se produce cuando se usa un carácter de barra diagonal inversa (\) y la manipulación sólo afecta a la información que aparece a la izquierda de dicho carácter. El carácter de barra diagonal inversa se usa normalmente para indicar un nombre de dominio (la información a la izquierda del carácter de barra diagonal inversa) y el nombre de una cuenta de usuario dentro del dominio (la información a la derecha del carácter de barra diagonal inversa). En este caso, sólo se permiten las reglas de manipulación de atributos que modifican o reemplazan el nombre de dominio.

Reenviando solicitud

Puede establecer las siguientes opciones de reenvío de solicitud que se usan para mensajes de solicitud de acceso de RADIUS:

Autenticar solicitudes en este servidor. Mediante esta configuración, NPS usa un dominio de Windows NT 4.0, Active Directory o la base de datos de cuentas de usuario del Administrador de cuentas de seguridad (SAM) para autenticar la solicitud de conexión. Esta configuración también especifica que la directiva de red coincidente que se configura en NPS, junto con las propiedades de marcado de la cuenta de usuario, sean usadas por NPS para autorizar la solicitud de conexión. En este caso, el servidor NPS se configura para funcionar como servidor RADIUS.

Reenviar solicitudes para que se autentiquen en lo siguientes grupos de servidores remotos RADIUS. Mediante esta configuración, NPS reenvía las solicitudes de conexión al grupo de servidores remotos RADIUS que especifique. Si el servidor NPS recibe un mensaje de aceptación de acceso válido que corresponda al mensaje de solicitud de acceso, el intento de conexión se considera autenticado y autorizado. En este caso, el servidor NPS funciona como proxy RADIUS.

Aceptar usuarios sin validar credenciales. Mediante esta configuración, NPS no comprueba la identidad del usuario que intenta conectarse a la red y NPS no intenta comprobar si el usuario o el equipo tiene derecho a conectarse a la red. Cuando NPS se configura para permitir el acceso no autenticado y recibe una solicitud de conexión, NPS envía de inmediato un mensaje de aceptación de acceso al cliente RADIUS y se concede al usuario o el equipo acceso a la red. Esta configuración se usa para algunos tipos de túnel obligatorio donde se aplica un túnel al cliente de acceso antes de que se autentiquen las credenciales del usuario.

Nota

Esta opción de autenticación no puede usarse cuando el protocolo de autenticación del cliente de acceso es MS-CHAP v2 o Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS) (ambos pueden proporcionar autenticación mutua). En la autenticación mutua, el cliente de acceso demuestra que es un cliente de acceso válido para el servidor de autenticación (el servidor NPS) y el servidor de autenticación demuestra que es un servidor de autenticación válido para el cliente de acceso. Cuando se usa esta opción de autenticación, se devuelve el mensaje de aceptación de acceso. Sin embargo, el servidor de autenticación no proporciona validación al cliente de acceso y la autenticación mutua presenta un error.

Opciones avanzadas

Puede configurar propiedades avanzadas para especificar la serie de atributos RADIUS que son:

  • Agregados al mensaje de respuesta RADIUS cuando el servidor NPS se usa como servidor de autenticación o cuentas RADIUS.

    Cuando hay atributos especificados en una directiva de red y la directiva de solicitud de conexión, los atributos que se envían al mensaje de respuesta RADIUS son la combinación de ambos conjuntos de atributos.

  • Agregados al mensaje de respuesta RADIUS cuando el servidor NPS se usa como proxy de autenticación o cuentas RADIUS. Si el atributo ya existe en el mensaje que se reenvía, se reemplaza por el valor del atributo especificado en la directiva de solicitud de conexión.

Además, algunos atributos disponibles para su configuración en la ficha Configuración de la directiva de solicitud de conexión en la categoría Opciones avanzadas proporcionan funciones especializadas. Por ejemplo, puede configurar el atributo Asignación de RADIUS remota a usuario de Windows cuando se desea dividir la autenticación y autorización de una solicitud de conexión entre dos bases de datos de cuentas de usuario.

El atributo Asignación de RADIUS remota a usuario de Windows especifica que la autorización de Windows se produzca para los usuarios autenticados por un servidor remoto RADIUS. Es decir, un servidor remoto RADIUS ejecuta la autenticación con respecto a una cuenta de usuario en una base de datos de cuentas de usuario remoto, mientras que el servidor NPS local autoriza la solicitud de conexión con respecto a una cuenta de usuario en una base de datos de cuentas de usuario local. Esto resulta útil cuando se desea permitir el acceso a la red por parte de visitantes.

Por ejemplo, los visitantes de organizaciones asociadas pueden ser autenticados por su propio servidor RADIUS de la organización asociada y pueden usar una cuenta de usuario de Windows en la organización para tener acceso a una red de área local (LAN) invitada en su red.

Otros atributos que proporcionan funciones especializadas son:

  • MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout. Estos atributos se usan al implementar el Control de cuarentena de acceso a la red (NAQC) con la implementación de VPN de Enrutamiento y acceso remoto.

  • Passport-User-Mapping-UPN-Suffix. Este atributo permite autenticar solicitudes de conexión con credenciales de cuenta de usuario de identificador Windows Live™.

  • Tunnel-Tag. Este atributo designa el número de identificador de VLAN al que la conexión debe ser asignada por el NAS cuando se implementan redes de área local virtuales (VLAN).

Directiva de solicitud de conexión predeterminada

Al instalar NPS se crea una directiva de solicitud de conexión predeterminada. Esta directiva tiene la configuración siguiente:

  • Autenticación no se configura.

  • Cuentas no se configura para reenviar información de cuentas a un grupo de servidores remotos RADIUS.

  • Atributo no se configura con reglas de manipulación de atributos que reenvían solicitudes de conexión a grupos de servidores remotos RADIUS.

  • Reenviando solicitud se configura de manera tal que las solicitudes de conexión se autentiquen y autoricen en el servidor NPS local.

  • Los atributos de Opciones avanzadas no se configuran.

La directiva de solicitud de conexión predeterminada usa NPS como servidor RADIUS. Para configurar un servidor que ejecuta NPS para funcionar como proxy RADIUS, también debe configurar un grupo de servidores remotos RADIUS. Puede crear un nuevo grupo de servidores remotos RADIUS mientras crea una nueva directiva de solicitud de conexión usando el asistente para Nueva directiva de solicitud de conexión. Puede eliminar la directiva de solicitud de conexión predeterminada o comprobar que la directiva de solicitud de conexión predeterminada sea la última directiva que se procese.

Nota

Si NPS y el Servicio de enrutamiento y acceso remoto se instalan en el mismo equipo y el Servicio de enrutamiento y acceso remoto se configura para la autenticación y administración de cuentas de Windows, es posible que las solicitudes de autenticación y administración de cuentas de Enrutamiento y acceso remoto se reenvíen a un servidor RADIUS. Esto puede ocurrir cuando las solicitudes de autenticación y administración de cuentas de Enrutamiento y acceso remoto coinciden con una directiva de solicitud de conexión configurada para reenviarlas a un grupo de servidores remotos RADIUS.


Tabla de contenido