Servidor RADIUS

El Servidor de directivas de redes (NPS) se puede usar como un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS) para llevar a cabo la autenticación, la autorización y las cuentas para clientes RADIUS. Un cliente RADIUS puede ser un servidor de acceso, como un servidor de acceso telefónico o punto de acceso inalámbrico, o un proxy RADIUS. Cuando NPS se usa como un servidor RADIUS, ofrece lo siguiente:

• Un servicio central de autenticación y autorización para todas las solicitudes de acceso enviadas por clientes RADIUS.
  
  NPS usa un dominio Microsoft® Windows NT® Server 4.0, un dominio de Servicios de dominio de Active Directory® (AD DS) o la base de datos local de cuentas de usuario del Administrador de cuentas de seguridad (SAM) para de autenticar las credenciales de usuario para los intentos de conexión. NPS usa las propiedades de acceso telefónico de la cuenta de usuario y directivas de red para autorizar una conexión.
  
  
• Un servicio central de registro de cuentas para todas las solicitudes de cuentas enviadas por clientes RADIUS.
  
  Las solicitudes de cuentas se almacenan en un archivo de registro local en la base de datos de Microsoft® SQL Server™ para su análisis.
  
  

La ilustración siguiente muestra el Servidor de directivas de redes (NPS) como un servidor RADIUS y también muestra un proxy RADIUS. NPS usa un dominio de AD DS para la autenticación de credenciales de usuario de mensajes RADIUS entrantes de solicitud de acceso.

Cuando NPS se usa como un servidor RADIUS, los mensajes RADIUS administran la autenticación, la autorización y las cuentas para las conexiones de acceso a la red del modo que se indica a continuación:

1. Los servidores de acceso, como los servidores de acceso telefónico a la red, los servidores VPN y los puntos de acceso inalámbrico reciben solicitudes de conexión de clientes de acceso.
   
   
2. El servidor de acceso, configurado para usar RADIUS como el protocolo de autenticación, autorización y cuentas, crea un mensaje de solicitud de acceso y lo envía al servidor NPS.
   
   
3. El servidor NPS evalúa el mensaje de solicitud de acceso.
   
   
4. Si fuera necesario, el servidor NPS envía un mensaje de desafío de acceso al servidor de acceso. El servidor de acceso procesa el desafío y envía una solicitud de acceso actualizada al servidor NPS.
   
   
5. Las credenciales de usuario se comprueban y las propiedades de acceso telefónico de la cuenta de usuario se obtienen por medio de una conexión segura con un controlador de dominio.
   
   
6. El intento de conexión se autoriza con las propiedades de acceso telefónico de la cuenta de usuario y las directivas de red.
   
   
7. Si el intento de conexión se autentica y autoriza, el servidor NPS envía un mensaje de aceptación de acceso al servidor de acceso.
   
   Si el intento de conexión no se autentica o no se autoriza, el servidor NPS envía un mensaje de denegación de acceso al servidor de acceso.
   
   
8. El servidor de acceso completa el proceso de conexión con el cliente de acceso y envía un mensaje de solicitud de registro de actividad al servidor NPS, donde se registra el mensaje.
   
   
9. El servidor NPS envía una respuesta de cuenta al servidor de acceso.
   
   

	Nota
	Asimismo, el servidor de acceso envía mensajes de solicitud de registro de actividad cuando la conexión se establece, cuando la conexión del cliente de acceso se cierra y cuando el servidor de acceso se inicia y detiene.

Puede usar NPS como un servidor RADIUS en los casos siguientes:

• Cuando use un dominio Windows NT Server 4.0, un dominio de AD DS o la base de datos local de cuentas de usuario del Administrador de cuentas de seguridad (SAM) como la base de datos de cuentas de usuario para clientes de acceso.
  
  
• Cuando use Enrutamiento y acceso remoto en varios servidores de acceso telefónico, servidores VPN o enrutadores de marcado a petición y desee centralizar la configuración de directivas de red y el registro de conexiones para cuentas.
  
  
• Cuando subcontrate con un proveedor de servicios el acceso telefónico, VPN o inalámbrico. Los servidores de acceso usan RADIUS para autenticar y autorizar conexiones realizadas por miembros de su organización.
  
  
• Cuando desee centralizar la autenticación, la autorización y las cuentas para un grupo heterogéneo de servidores de acceso.
  
  

	Nota
	En el Servicio de autenticación Internet (IAS) de los sistemas operativos Windows Server® 2003, las directivas de red se denominan directivas de acceso remoto.