Un servidor de acceso a la red (NAS) es un dispositivo que proporciona cierto nivel de acceso a una red más grande. Un NAS que usa una infraestructura RADIUS es también un cliente RADIUS, que envía solicitudes de conexión y mensajes de cuentas a un servidor RADIUS para su autenticación, autorización y administración de cuentas.
 | Importante |
|
Los equipos cliente, como los equipos portátiles inalámbricos u otros equipos con sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS son servidores de acceso a la red, como puntos de acceso inalámbrico, conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y servidores de acceso telefónico. Esto se debe a que usan el protocolo RADIUS para comunicarse con los servidores RADIUS, como los Servidores de directivas de redes (NPS). |
Para implementar un NPS como un servidor RADIUS, un proxy RADIUS o un servidor de directivas de Protección de acceso a redes (NAP), deberá configurar clientes RADIUS en el NPS.
Ejemplos de clientes RADIUS
Algunos ejemplos de servidores de acceso a la red son:
-
Servidores de acceso a la red que proporcionan conectividad de acceso remoto a la red de una organización o a Internet. Un ejemplo es un equipo que ejecuta el sistema operativo Windows Server® 2008 y el Servicio de enrutamiento y acceso remoto que proporciona servicios de acceso remoto, ya sea mediante el acceso telefónico tradicional o a través de una red privada virtual (VPN), a la intranet de una organización.
-
Puntos de acceso inalámbrico que proporcionan acceso de nivel físico a la red de una organización mediante tecnologías inalámbricas de recepción y transmisión.
-
Conmutadores que proporcionan acceso de nivel físico a la red de una organización mediante tecnologías tradicionales de LAN, como Ethernet.
-
Servidores proxy RADIUS que reenvían las solicitudes de conexión a servidores RADIUS que son miembros de un grupo de servidores RADIUS remotos configurado en el proxy RADIUS.
Mensajes de solicitud de acceso de RADIUS
Los clientes RADIUS pueden crear mensajes de solicitud de acceso de RADIUS y reenviarlos a un proxy RADIUS o un servidor RADIUS, o bien, pueden reenviar mensajes de solicitud de acceso a un servidor RADIUS que han recibido de otro cliente RADIUS pero que no han creado ellos mismos.
Los clientes RADIUS no procesan mensajes de solicitud de acceso mediante la autenticación, autorización y administración de cuentas. Sólo los servidores RADIUS realizan dichas funciones.
No obstante, se puede configurar el NPS como un proxy RADIUS y un servidor RADIUS simultáneamente, de forma que procese algunos mensajes de solicitud de acceso y reenvíe otros mensajes.
NPS como cliente RADIUS
NPS actúa como un cliente RADIUS cuando se configura como un proxy RADIUS para reenviar mensajes de solicitud de acceso a otros servidores RADIUS para su procesamiento. Cuando se usa un NPS como un proxy RADIUS, es necesario realizar los siguientes pasos de configuración general:
-
Los servidores de acceso a la red, como los puntos de acceso inalámbrico y los servidores VPN, están configurados con la dirección IP del proxy NPS como el servidor RADIUS designado o el servidor de autenticación. Esto permite a los servidores de acceso a la red, que crean mensajes de solicitud de acceso basados en la información que reciben de los clientes de acceso, reenviar mensajes al proxy NPS.
-
Para configurar el proxy NPS, se deben agregar todos los servidores de acceso a la red como clientes RADIUS. Este paso de configuración permite al proxy NPS recibir mensajes de los servidores de acceso a la red y comunicarse con ellos durante toda la autenticación. Además, las directivas de solicitud de conexión establecidas en el proxy NPS están configuradas para especificar qué mensajes de solicitud de acceso se deben reenviar a uno o varios servidores RADIUS. Estas directivas también están configuradas con un grupo de servidores RADIUS remotos, que indica a NPS dónde debe enviar los mensajes que recibe de los servidores de acceso a la red.
-
El servidor NPS u otros servidores RADIUS que son miembros del grupo de servidores RADIUS remotos en el proxy NPS están configurados para recibir mensajes del proxy NPS. Esto se consigue configurando el proxy NPS como un cliente RADIUS.
Propiedades del cliente RADIUS
Al agregar un cliente RADIUS a la configuración de NPS mediante el complemento NPS o mediante el uso de los comandos netsh para NPS, se está configurando el NPS para recibir mensajes de solicitud de acceso de RADIUS procedentes de un servidor de acceso a la red o de un proxy RADIUS.
Cuando se configura un cliente RADIUS en NPS, se pueden designar las siguientes propiedades:
-
Nombre del cliente
Nombre descriptivo para el cliente RADIUS, que facilite su identificación cuando se use el complemento NPS o los comandos netsh para NPS.
-
Dirección IP
Dirección del protocolo de Internet versión 4 (IPv4) o nombre del Sistema de nombres de dominio (DNS) del cliente RADIUS.
-
Proveedor del cliente
Proveedor del cliente RADIUS. De lo contrario, se puede usar el valor estándar de RADIUS para el proveedor del cliente.
-
Secreto compartido
Cadena de texto que se usa como contraseña entre clientes RADIUS, servidores RADIUS y servidores proxy RADIUS. Cuando se usa el atributo autenticador de mensaje, el secreto compartido también se usa como clave para cifrar mensajes RADIUS. Esta cadena debe estar configurada en el cliente RADIUS y en el complemento NPS.
-
Atributo de autenticador de mensaje
Tal como se describe en RFC 2869, acerca de las extensiones de RADIUS, es un hash de Message Digest 5 (MD5) de todo el mensaje RADIUS. Si está presente el atributo de autenticador de mensaje de RADIUS, se comprueba. Si la comprobación genera un error, se descartará el mensaje RADIUS. Si la configuración del cliente requiere la presencia del atributo de autenticador de mensaje y éste no está presente, se descartará el mensaje RADIUS. Se recomienda usar el atributo de autenticador de mensaje.
Nota Cuando se usa la autenticación EAP, el atributo de autenticador de mensaje es obligatorio y está habilitado de forma predeterminada.
-
El cliente es compatible con NAP
Designación que indica que el cliente RADIUS es compatible con la Protección de acceso a redes (NAP) y NPS envía atributos NAP al cliente RADIUS en el mensaje de aceptación de acceso.