Cuando implementa un acceso cableado o inalámbrico 802.1X con el Servidor de directivas de redes (NPS) como servidor RADIUS (Servicio de autenticación remota telefónica de usuario), debe llevar a cabo los siguientes pasos:

  • Instale y configure los servidores de acceso a la red (NAS) como clientes RADIUS.

  • Implemente los componentes para los métodos de autenticación.

  • Configure NPS como servidor RADIUS.

Instalación y configuración de los servidores de acceso a la red (clientes RADIUS)

Para implementar el acceso inalámbrico 802.1X, debe instalar y configurar puntos de acceso inalámbrico. Para implementar el acceso cableado 802.1X, debe instalar y configurar conmutadores de autenticación 802.1X.

Importante

Los equipos cliente, como los equipos portátiles inalámbricos u otros equipos con sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS son servidores de acceso a la red, como puntos de acceso inalámbrico, conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y servidores de acceso telefónico. Esto se debe a que usan el protocolo RADIUS para comunicarse con los servidores RADIUS, como los Servidores de directivas de redes (NPS).

En ambos casos, estos servidores de acceso a la red deben cumplir los siguientes requisitos:

  • Compatibilidad con la autenticación 802.1X estándar IEEE (Institute of Electrical and Electronics Engineers)

  • Compatibilidad con la autenticación RADIUS y las cuentas RADIUS

Si usa aplicaciones de cuentas y facturación que requieren correlación de sesiones, es necesario:

  • Compatibilidad con el atributo de clase según define el Grupo de trabajo de ingeniería de Internet (IETF) en RFC 2865, "Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)", para permitir la correlación de sesiones en los registros de cuentas y autenticación RADIUS. Para la correlación de sesiones, cuando configura cuentas RADIUS en el servidor o proxy NPS, debe registrar todos los datos de cuentas que permiten a las aplicaciones (como aplicaciones de facturación) consultar la base de datos, correlacionar campos relacionados y devolver una vista unificada de cada sesión en los resultados de la consulta. Como mínimo, para proporcionar una correlación de sesiones, debe registrar los siguientes datos de cuentas NPS: Dirección IP de NAS, Identificador de NAS (necesita la Dirección IP de NAS y el Identificador de NAS porque el servidor de acceso puede enviar cualquiera de los atributos), Clase, Identificador de sesión de cuenta, Acct-Multi-Session-Id, Tipo de paquete, Acct-Status-Type, Acct-Interim-Interval, Puerto de NAS y Event-Timestamp.

  • Compatibilidad con solicitudes temporales de cuentas, que algunos servidores de acceso a la red (NAS) envían periódicamente durante una sesión de usuario, que se puedan registrar. Este tipo de solicitud se puede usar cuando se configura el atributo RADIUS de intervalo temporal de cuenta para admitir solicitudes periódicas en el perfil de acceso remoto del servidor NPS. Si desea que se registren solicitudes temporales en el servidor NPS, el NAS debe admitir el uso de solicitudes temporales de cuentas.

Si usa redes de área local virtuales (VLAN), los NAS deben admitir VLAN.

Para entornos de red de área extensa (WAN), los servidores de acceso a la red deben incluir:

  • Compatibilidad con cálculo de tiempo de espera de retransmisión (RTO) dinámico o interrupción exponencial para tratar la congestión y los retrasos en un entorno WAN.

Además, existen características de filtrado que los servidores de acceso a la red deben admitir para suministrar una seguridad mejorada a la red. Estas opciones de filtrado son:

  • Filtros DHCP. Los NAS deben filtrar por los puertos IP para evitar la transmisión de los mensajes de difusión del protocolo de configuración dinámica de host (DHCP) si el cliente es un servidor DHCP. Los servidores de acceso a la red deben bloquear el cliente en el envío de paquetes IP del puerto 68 a la red.

  • Filtros DNS. Los NAS deben filtrar en puertos IP para evitar que un cliente actúe como servidor DNS. Los NAS deben bloquear el cliente en el envío de paquetes IP del puerto 53 a la red.

Si está implementado puntos de acceso inalámbrico, es preferible la compatibilidad con Acceso protegido Wi-Fi (WPA). WPA es compatible con Windows Vista® y Windows XP con Service Pack 2. Para implementar WPA, use también adaptadores de red inalámbricos compatibles con WPA.

Implementación de los componentes para los métodos de autenticación

Para conexiones cableadas e inalámbricas 802.1X, puede usar los siguientes métodos de autenticación:

  • Protocolo de autenticación extensible (EAP) con Seguridad de la capa de transporte (TLS), también llamado EAP-TLS.

  • EAP protegido (PEAP) con el Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2), también llamado PEAP-MS-CHAP v2.

  • PEAP con EAP-TLS, también llamado PEAP-TLS.

Para EAP-TLS y PEAP-TLS, debe implementar una infraestructura de clave pública (PKI) mediante la instalación y configuración de los Servicios de certificados de Active Directory® (AD CS) para enviar certificados a los equipos cliente pertenecientes a un dominio y a los servidores NPS. Estos certificados se usan durante el proceso de autenticación como prueba de identidad tanto de los clientes como de los servidores NPS. Si lo prefiere, puede implementar tarjetas inteligentes en lugar de usar certificados de equipos cliente. En este caso, debe emitir tarjetas inteligentes y lectores de tarjetas inteligentes para los empleados de la organización.

Para PEAP-MS-CHAP v2, puede implementar su propia entidad de certificación (CA) con AD CS para emitir certificados a servidores NPS o puede adquirir certificados de servidor de una CA raíz pública de confianza que los clientes conocen, como VeriSign.

Para obtener más información, vea Introducción a EAP e Introducción a PEAP.

Configuración de NPS como servidor RADIUS

Cuando configura NPS como servidor RADIUS, debe configurar clientes RADIUS, directivas de redes y cuentas RADIUS.

Configuración de clientes RADIUS

Existen dos fases en la configuración de clientes RADIUS:

  • Configure el cliente RADIUS físico, como el punto de acceso inalámbrico o el conmutador de autenticación, con información que permita al servidor de acceso a la red comunicarse con servidores NPS. Esta información incluye la configuración de la dirección IP del servidor NPS y el secreto compartido en el punto de acceso o la interfaz de usuario del conmutador.

  • En NPS, agregue un nuevo cliente RADIUS. En el servidor NPS, agregue cada punto de acceso o conmutador de autenticación como cliente RADIUS. NPS permite suministrar un nombre descriptivo para cada cliente RADIUS, así como la dirección IP del cliente RADIUS y el secreto compartido.

Para obtener más información, consulte Adición de un nuevo cliente RADIUS.

Configuración de directivas de red

Las directivas de red son conjuntos de condiciones, restricciones y configuraciones que permiten designar quién está autorizado para conectarse a la red y las circunstancias en las que pueden conectarse.

Para obtener más información, consulte Directivas de red.

Configuración de cuentas RADIUS

Las cuentas RADIUS permiten registrar solicitudes de cuenta y autenticación de usuario en un archivo de registro local o en una base de datos Microsoft® SQL Server® en el equipo local o en un equipo remoto.

Para obtener más información, consulte Cuentas RADIUS.

Vea también


Tabla de contenido