Cuando implementa conexiones de acceso telefónico o de red privada virtual (VPN) con el Servidor de directivas de redes (NPS) como servidor RADIUS, debe realizar los siguientes procedimientos:
-
Instale y configure los servidores de acceso a la red (NAS) como clientes RADIUS.
-
Implemente los componentes para los métodos de autenticación.
-
Configure NPS como servidor RADIUS.
Instalación y configuración de los servidores de acceso a la red (clientes RADIUS)
Para implementar el acceso telefónico, debe instalar y configurar Enrutamiento y acceso remoto como un servidor de acceso telefónico. Para implementar el acceso a VPN, debe instalar y configurar Enrutamiento y acceso remoto como un servidor VPN.
 | Importante |
|
Los equipos cliente, como los equipos portátiles inalámbricos u otros equipos con sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS son servidores de acceso a la red, como puntos de acceso inalámbrico, conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y servidores de acceso telefónico. Esto se debe a que usan el protocolo RADIUS para comunicarse con los servidores RADIUS, como los Servidores de directivas de redes (NPS). |
Puede instalar Enrutamiento y acceso remoto en el servidor NPS local o en un equipo remoto.
Implementación de los componentes para los métodos de autenticación
Para VPN, puede usar los siguientes métodos de autenticación:
-
Protocolo de autenticación extensible (EAP) con Seguridad de la capa de transporte (TLS), conocido como EAP-TLS.
-
EAP protegido (PEAP) con el Protocolo de autenticación por desafío mutuo versión 2 de Microsoft (MS-CHAP v2), conocido como PEAP-MS-CHAP v2.
-
PEAP con Seguridad de la capa de transporte (TLS), conocido como PEAP-TLS.
Para EAP-TLS y PEAP-TLS, debe implementar una infraestructura de clave pública (PKI) mediante la instalación y configuración de los Servicios de certificados de Active Directory® (AD CS) para enviar certificados a los equipos cliente pertenecientes a un dominio y a los servidores NPS. Estos certificados se usan durante el proceso de autenticación como prueba de identidad tanto de los clientes como de los servidores NPS. Si lo prefiere, puede implementar tarjetas inteligentes en lugar de usar certificados de equipos cliente. En este caso, debe emitir tarjetas inteligentes y lectores de tarjetas inteligentes para los empleados de la organización.
Para PEAP-MS-CHAP v2, puede implementar su propia entidad de certificación (CA) con AD CS para emitir certificados a servidores NPS o puede adquirir certificados de servidor de una CA raíz pública de confianza que los clientes conocen, como VeriSign.
Para obtener más información, vea Introducción a EAP e Introducción a PEAP.
Configuración de NPS como servidor RADIUS
Cuando configura NPS como servidor RADIUS, debe configurar clientes RADIUS, directivas de redes y cuentas RADIUS.
Configuración de clientes RADIUS
Existen dos fases en la configuración de clientes RADIUS:
-
Configure el cliente RADIUS físico, como el servidor VPN o servidor de acceso telefónico, con información que permita al servidor de acceso a la red comunicarse con servidores NPS. Esta información incluye la configuración de la dirección IP del servidor NPS y el secreto compartido en la interfaz de usuario del servidor VPN o el servidor de acceso telefónico.
-
En NPS, agregue un nuevo cliente RADIUS. En el servidor NPS, agregue cada servidor VPN o servido de acceso telefónico como cliente RADIUS. NPS permite suministrar un nombre descriptivo para cada cliente RADIUS, así como la dirección IP del cliente RADIUS y el secreto compartido.
Para obtener más información, consulte Adición de un nuevo cliente RADIUS.
Configuración de directivas de red
Las directivas de red son conjuntos de condiciones, restricciones y configuraciones que permiten designar quién está autorizado para conectarse a la red y las circunstancias en las que pueden conectarse.
Para obtener más información, consulte Directivas de red.
Configuración de cuentas RADIUS
Las cuentas RADIUS permiten registrar solicitudes de cuenta y autenticación de usuario en un archivo de registro local o en una base de datos Microsoft® SQL Server® en el equipo local o en un equipo remoto.