El Servidor de directivas de redes (NPS) se puede usar como proxy RADIUS para enrutar los mensajes RADIUS entre los servidores de acceso de los clientes RADIUS y los servidores RADIUS que administran la autenticación de usuario, la autorización y las cuentas para los intentos de conexión. Cuando se usa como proxy RADIUS, NPS es punto de conmutación o enrutamiento central a través del cual fluyen los mensajes de acceso y cuentas RADIUS. NPS mantiene en un registro de cuentas la información de los mensajes que se reenviaron.

En la siguiente ilustración se muestra NPS como proxy RADIUS entre clientes RADIUS (servidores de acceso) y servidores RADIUS u otro proxy RADIUS.

NPS como proxy RADIUS

Cuando NPS se usa como proxy RADIUS entre un cliente RADIUS y un servidor RADIUS, los mensajes RADIUS para los intentos de conexión de acceso a la red se reenvían del siguiente modo:

  1. Los servidores de acceso, tales como los servidores de acceso telefónico a la red, los servidores de red privada virtual (VPN) y los puntos de acceso inalámbrico, reciben las solicitudes de conexión de los clientes de acceso.

  2. El servidor de acceso, configurado para usar RADIUS como protocolo de autenticación, autorización y cuentas, crea un mensaje de solicitud de acceso y lo envía al servidor NPS que se está usando como proxy RADIUS NPS.

  3. El proxy RADIUS NPS recibe el mensaje de solicitud de acceso y, basándose en las directivas de solicitud de conexión configuradas localmente, determina adónde reenviar el mensaje de solicitud de acceso.

  4. El proxy RADIUS NPS reenvía el mensaje de solicitud de acceso al servidor RADIUS correspondiente.

  5. El servidor RADIUS evalúa el mensaje de solicitud de acceso.

  6. Si es necesario, el servidor RADIUS envía un mensaje de desafío de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso. El servidor de acceso procesa el desafío con el cliente de acceso y envía una solicitud de acceso actualizada al proxy RADIUS NPS, desde donde se reenvía al servidor RADIUS.

  7. El servidor RADIUS autentica y autoriza el intento de conexión.

  8. Si se autentica y autoriza el intento de conexión, el servidor RADIUS envía un mensaje de aceptación de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso.

    Si no se autentica o autoriza el intento de conexión, el servidor RADIUS envía un mensaje de rechazo de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso.

  9. El servidor de acceso completa el proceso de conexión con el cliente de acceso y envía un mensaje de solicitud de registro de actividad al proxy RADIUS NPS. El proxy RADIUS NPS registra los datos de cuentas y reenvía el mensaje al servidor RADIUS.

  10. El servidor RADIUS envía un mensaje de respuesta de cuenta al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso.

Puede usar NPS como proxy RADIUS si:

  • Es un proveedor de servicios que ofrece servicios de acceso telefónico externo, VPN o a redes inalámbricas a varios clientes. Sus NAS envían solicitudes de conexión al proxy RADIUS NPS. Basándose en la parte del dominio kerberos del nombre de usuario de la solicitud de conexión, el proxy RADIUS NPS reenvía la solicitud de conexión a un servidor RADIUS que mantiene el cliente y puede autenticar y autorizar el intento de conexión.

  • Desea autenticar y autorizar cuentas de usuarios que no son miembros del dominio del cual es miembro el servidor NPS ni de otro dominio que tenga una confianza bidireccional en el dominio del cual es miembro el servidor NPS. Esto incluye cuentas en dominios que no son de confianza, dominios con una confianza unidireccional y demás bosques. En lugar de configurar los servidores de acceso para que envíen las solicitudes de conexión a un servidor RADIUS NPS, puede configurarlos para que envíen las solicitudes de conexión a un proxy RADIUS NPS. El proxy RADIUS NPS usa la parte del nombre del dominio kerberos del nombre de usuario y reenvía la solicitud a un servidor NPS del dominio o el bosque correcto. Los intentos de conexión para las cuentas de usuario en un dominio o bosque se pueden autenticar para los NAS en otro dominio o bosque.

  • Desea realizar la autenticación y autorización mediante una base de datos que no es una base de datos de cuentas de Windows. En este caso, las solicitudes de conexión que coincidan con un nombre de dominio kerberos especificado se reenvían a un servidor RADIUS con acceso a una base de datos distinta de cuentas de usuarios y datos de autorización. Los ejemplos de otras bases de datos de usuarios incluyen bases de datos de Servicios de directorio Novell (NDS) y Lenguaje de consulta estructurado (SQL).

  • Desea procesar una gran cantidad de solicitudes de conexión. En este caso, en lugar de configurar los clientes RADIUS para intentar equilibrar las solicitudes de conexión y las cuentas entre varios servidores RADIUS, puede configurarlos para que envíen las solicitudes de conexión y cuentas a un proxy RADIUS NPS. El proxy RADIUS NPS equilibra dinámicamente la carga de solicitudes de conexión y cuentas entre varios servidores RADIUS y aumenta el procesamiento de grandes cantidades de clientes RADIUS y autenticaciones por segundo.

  • Desea proporcionar autenticaciones y autorizaciones RADIUS para proveedores de servicios externos y minimizar la configuración de firewall de intranet. El firewall de intranet se encuentra entre la red perimetral (la red entre la intranet e Internet) y la intranet. Al colocar un servidor NPS en la red perimetral, el firewall entre la red perimetral y la intranet debe permitir el tráfico entre el servidor NPS y varios controladores de dominio. Al reemplazar el servidor NPS por un proxy NPS, el firewall debe permitir únicamente el tráfico RADIUS entre el proxy NPS y uno o varios servidores NPS de la intranet.

Tabla de contenido