I criteri di richiesta di connessione sono gruppi di condizioni e impostazioni che consentono agli amministratori di rete di designare i server RADIUS (Remote Authentication Dial-In User Service) che dovranno eseguire l'autenticazione e l'autorizzazione delle richieste di connessione ricevute nel computer che esegue Server dei criteri di rete da parte dei client RADIUS. Possono essere configurati per designare i server RADIUS che verranno utilizzati per l'accounting RADIUS.

Importante

Se si distribuisce Protezione accesso alla rete utilizzando i metodi di imposizione VPN (Virtual Private Network, rete privata virtuale) o 802.1X con l'autenticazione PEAP (Protected Extensible Authentication Protocol), sarà necessario configurare l'autenticazione PEAP nel criterio di richiesta di connessione anche se le richieste di connessione sono elaborate localmente.

È possibile creare criteri di richiesta di connessione per elaborare localmente alcuni messaggi di richiesta RADIUS inviati dai client RADIUS (server dei criteri di rete viene utilizzato come server RADIUS) e per inoltrare altri tipi di messaggi a un altro server RADIUS (server dei criteri di rete viene utilizzato come proxy RADIUS).

Con i criteri di richiesta di connessione, è possibile utilizzare Server dei criteri di rete come server RADIUS o come proxy RADIUS in base a fattori come:

  • L'ora del giorno e il giorno della settimana

  • Il nome dell'area nella richiesta di connessione

  • Il tipo di connessione richiesto

  • L'indirizzo IP del client

I messaggi di richiesta di accesso RADIUS vengono elaborati o inoltrati da Server dei criteri di rete solo se le impostazioni del messaggio in ingresso soddisfano almeno uno dei criteri di richiesta di connessione configurati nel server dei criteri di rete. Se le impostazioni dei criteri corrispondono e il criterio richiede l'elaborazione del messaggio da parte di Server dei criteri di rete, Server dei criteri di rete viene utilizzato da server RADIUS, autenticando e autorizzando la richiesta di connessione. Se le impostazioni dei criteri corrispondono e i criteri richiedono l'inoltro del messaggio da parte di Server dei criteri di rete, Server dei criteri di rete viene utilizzato come proxy RADIUS e inoltra la richiesta di connessione a un server RADIUS remoto per l'elaborazione.

Se le impostazioni di un messaggio di richiesta di accesso RADIUS in ingresso non soddisfano almeno uno dei criteri di richiesta di connessione, viene inviato un messaggio di rifiuto dell'accesso al client RADIUS negando l'accesso all'utente o al computer che sta tentando di connettersi alla rete.

Esempi di configurazione

Negli esempi di configurazione riportati di seguito vengono illustrate le modalità di utilizzo dei criteri di richiesta di connessione:

  • Server dei criteri di rete come server RADIUS

    Il criterio di richiesta di connessione predefinito è il solo criterio configurato. Nell'esempio seguente, Server dei criteri di rete è configurato come server RADIUS e tutte le richieste di connessione vengono elaborate da un server dei criteri di rete locale. Server dei criteri di rete può autenticare e autorizzare gli utenti i cui account sono inclusi nel dominio del dominio del server dei criteri di rete e nei domini trusted.

  • Server dei criteri di rete come proxy RADIUS

    Il criterio di richiesta di connessione predefinito viene eliminato e vengono creati due nuovi criteri di richiesta di connessione per inoltrare le richieste a due domini diversi. In questo esempio Server dei criteri di rete è configurato come proxy RADIUS. Server dei criteri di rete non elabora alcuna richiesta di connessione nel server locale, ma inoltra le richieste di connessione a Server dei criteri di rete o altri server RADIUS configurati come membri di gruppi di server RADIUS remoti.

  • Server dei criteri di rete come server RADIUS e come proxy RADIUS

    Oltre al criterio di richiesta di connessione predefinito, viene creato un nuovo criterio di richiesta di connessione che inoltra le richieste di connessione a un Server dei criteri di rete o altro server RADIUS in un dominio non trusted. In questo esempio il criterio proxy viene visualizzato per primo nell'elenco ordinato di criteri. Se la richiesta di connessione soddisfa il criterio proxy, la richiesta di connessione viene inoltrata al server RADIUS nel gruppo di server RADIUS remoti. Se la richiesta di connessione non soddisfa il criterio proxy ma soddisfa il criterio di richiesta di connessione predefinito, Server dei criteri di rete elabora la richiesta di connessione sul server locale. Se la richiesta di connessione non soddisfa alcun criterio, verrà scartata.

  • Server dei criteri di rete come server RADIUS con server di accounting remoti

    In questo esempio il Server dei criteri di rete locale non è configurato per eseguire l'accounting e il criterio di richiesta di connessione predefinito viene modificato affinché i messaggi di accounting RADIUS vengano inoltrati a un Server dei criteri di rete o altro server RADIUS di un gruppo di server RADIUS remoto. Il Server dei criteri di rete locale esegue l'autenticazione e l'autorizzazione dei messaggi per il dominio locale e per tutti i domini trusted perché questi messaggi, a differenza di quelli di accounting, non vengono inoltrati.

  • Server dei criteri di rete con Mapping da server RADIUS remoto a utente Windows

    In questo esempio il Server dei criteri di rete esegue le funzioni di server RADIUS e proxy RADIUS per ogni richiesta di connessione, inoltrando la richiesta di autenticazione a un server RADIUS remoto e utilizzando un account utente Windows locale per l'autorizzazione. Questa configurazione viene implementata configurando l'attributo Mapping da server RADIUS remoto a utente Windows come condizione del criterio di richiesta di connessione. Deve inoltre essere creato un account utente locale con lo stesso nome dell'account utente remoto utilizzato per l'autenticazione da parte del server RADIUS remoto.

Condizioni

Le condizioni dei criteri di richiesta di connessione sono costituite da uno o più attributi RADIUS che vengono confrontati con gli attributi del messaggio Access-Request RADIUS in ingresso. Se esistono più condizioni, è necessario che tutte le condizioni nel messaggio di richiesta e nel criterio di richiesta di connessione siano soddisfatte perché il criterio sia applicato da Server dei criteri di rete.

Nella tabella riportata di seguito sono elencati gli attributi di condizione che è possibile configurare nei criteri di richiesta di connessione.

Il gruppo di attributi Connection Properties contiene gli attributi seguenti.

  • Framed Protocol. Il tipo di frame per i pacchetti in ingresso. Alcuni esempi sono rappresentati da Point-to-Point Protocol (PPP), Serial Line Internet Protocol (SLIP), Frame Relay e X.25.

  • Service Type. Il tipo di servizio richiesto. Gli esempi includono servizi con frame quali le connessioni PPP e i servizi di accesso, ad esempio le connessioni Telnet. Per ulteriori informazioni sui tipi di servizi RADIUS, vedere la RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)".

  • Tunnel Type. Il tipo di tunnel creato dal client che effettua la richiesta. I tipi di tunnel includono i protocolli PPTP (Point-to-Point Tunneling Protocol) e L2TP (Layer Two Tunneling Protocol).

Il gruppo di attributi Date and Time Restrictions contiene l'attributo Day and Time Restrictions. Con questo attributo è possibile designare il giorno della settimana e l'ora del giorno in cui è stato effettuato il tentativo di connessione. Il giorno e l'ora dipendono dalla data e dall'ora di Server dei criteri di rete.

Il gruppo di attributi Gateway contiene gli attributi seguenti.

  • Called Station ID. Il numero di telefono del server di accesso alla rete. Questo attributo è una stringa di caratteri. Per specificare gli indicativi di località è possibile utilizzare i caratteri jolly.

  • NAS Identifier. Il nome del server di accesso alla rete. Questo attributo è una stringa di caratteri. Per specificare gli identificatori del server di accesso alla rete è possibile utilizzare i caratteri jolly.

  • NAS IPv4 Address. L'indirizzo IP versione 4 del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. Per specificare le reti IP è possibile utilizzare i caratteri jolly.

  • NAS IPv6 Address. L'indirizzo del protocollo IP versione 6 del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. Per specificare le reti IP è possibile utilizzare i caratteri jolly.

  • NAS Port Type. Il tipo di supporto utilizzato dal client di accesso. Alcuni esempi sono rappresentati dalle linee telefoniche analogiche, conosciute con il termine di asincrone, dalle linee ISDN (Integrated Services Digital Network), dai tunnel o dalle reti private virtuali (VPN, Virtual Private Network), dalle schede wireless IEEE 802.11 e dai commutatori Ethernet.

Il gruppo di attributi Machine Identity contiene l'attributo Machine Identity. Utilizzando questo attributo è possibile specificare il metodo di identificazione dei client nel criterio.

Il gruppo di attributi RADIUS Client Properties contiene gli attributi seguenti.

  • Calling Station ID. Il numero di telefono utilizzato dal chiamante (il client di accesso). Questo attributo è una stringa di caratteri. Per specificare gli indicativi di località è possibile utilizzare i caratteri jolly.

  • Client Friendly Name. Il nome del client RADIUS che richiede l'autenticazione. Questo attributo è una stringa di caratteri. Per specificare i nomi del client è possibile utilizzare i caratteri jolly.

  • Client IPv4 Address. L'indirizzo del protocollo IPv4 del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. Per specificare le reti IP è possibile utilizzare i caratteri jolly.

  • Client IPv6 Address. L'indirizzo del protocollo IPv6 del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. Per specificare le reti IP è possibile utilizzare i caratteri jolly.

  • Client Vendor. Il fornitore del server di accesso alla rete che richiede l'autenticazione. Il produttore del server di accesso alla rete di un computer su cui è in esecuzione il servizio di Routing e Accesso remoto è Microsoft. Questo attributo può essere utilizzato per configurare criteri distinti per diversi produttori di server di accesso alla rete. Questo attributo è una stringa di caratteri. È possibile utilizzare i caratteri jolly.

Il gruppo di attributi User Name contiene l'attributo User Name. Utilizzando questo attributo è possibile designare il nome utente o parte del nome utente che deve corrispondere al nome utente fornito dal client di accesso nel messaggio RADIUS. Questo attributo è costituito da una stringa di caratteri contenente un nome di area e un nome di account utente. Per specificare i nomi utente è possibile utilizzare i caratteri jolly.

Impostazioni

Le impostazioni dei criteri di richiesta di connessione sono un insieme di proprietà che vengono applicate a un messaggio RADIUS in ingresso. Le impostazioni sono costituite dai seguenti gruppi di proprietà:

  • Autenticazione

  • Accounting

  • Manipolazione degli attributi

  • Avanzate

Autenticazione

Questa impostazione consente di sostituire le impostazioni di autenticazione configurate in tutti i criteri di rete e designare i metodi e i tipi di autenticazione necessari per la connessione alla rete.

Importante

Se si imposta un metodo di autenticazione nel criterio di richiesta di connessione meno sicuro del metodo di autenticazione impostato nel criterio di rete, il metodo di autenticazione più sicuro impostato nei criteri di rete verrà ignorato. Se ad esempio un criterio di rete richiede l'utilizzo di PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), ovvero un metodo di autenticazione basato su password per connessioni wireless sicure, e si configura inoltre un criterio di richiesta di connessione che consente l'accesso non autenticato, nessun client dovrà essere autenticato mediante EAP-MS-CHAP v2. In questo caso a tutti i client che si connettono alla rete è concesso l'accesso non autenticato.

Accounting

Questa impostazione consente di configurare il criterio di richiesta di connessione per l'inoltro di informazioni di accounting a un server che esegue Server dei criteri di rete o a un altro server RADIUS in un gruppo di server RADIUS remoto in modo che tale gruppo esegua l'accounting.

Nota

Se nella rete sono presenti più server RADIUS e si desidera che le informazioni di accounting siano archiviate in un unico database di accounting RADIUS, è possibile utilizzare l'impostazione di accounting del criterio di richiesta di connessione in un criterio su ogni server RADIUS per l'inoltro dei dati di accounting da tutti i server a un unico server dei criteri di rete o altro server RADIUS impostato come server di accounting.

Le impostazioni di accounting del criterio di richiesta di connessione sono indipendenti dalla configurazione di accounting del server dei criteri di rete locale. In altre parole, se si configura il server dei criteri di rete locale per la registrazione delle informazioni di accounting RADIUS in un file locale o in un database Microsoft® SQL Server™, la registrazione verrà effettuata anche se non è stato configurato un criterio di richiesta di connessione per l'inoltro di messaggi di accounting a un gruppo di server RADIUS remoti.

Per registrare le informazioni di accounting in remoto e non in locale, è necessario configurare il server dei criteri di rete per non eseguire l'accounting, configurando al tempo stesso l'accounting in un criterio di richiesta di connessione per l'inoltro dei dati di accounting a un gruppo di server RADIUS remoti.

Modifica degli attributi

È possibile configurare un insieme di criteri di ricerca e di sostituzione che modifichino le stringhe di testo in uno degli attributi seguenti:

  • User Name

  • Called Station ID

  • Calling Station ID

L'elaborazione delle regole di ricerca e di sostituzione viene eseguita per uno degli attributi riportati sopra prima che per il messaggio RADIUS vengano abilitate le impostazioni di autenticazione e di accounting. Le regole di manipolazione degli attributi sono valide solo per un singolo attributo. Non è possibile configurare le regole di manipolazione degli attributi per ogni attributo. L'elenco di attributi che è possibile modificare è inoltre un elenco statico che non consente l'aggiunta di attributi per la manipolazione.

Nota

Se si utilizza il protocollo di autenticazione MS-CHAP v2, non è possibile manipolare l'attributo Nome utente se per inoltrare il messaggio RADIUS vengono utilizzati i criteri di richiesta di connessione. L'unica eccezione si verifica quando viene utilizzata la barra rovesciata (\) e la manipolazione riguarda solo le informazioni riportate a sinistra della barra. La barra rovesciata viene generalmente utilizzata per indicare un nome di dominio (le informazioni a sinistra della barra) e un nome di account utente all'interno del dominio (le informazioni a destra della barra). In questo caso sono consentite solo regole di manipolazione degli attributi che modificano o sostituiscono il nome di dominio.

Inoltro della richiesta

È possibile impostare le seguenti opzioni di inoltro della richiesta utilizzate per i messaggi di richiesta di accesso RADIUS:

Autentica le richieste su questo server. Questa impostazione consente a Server dei criteri di rete di utilizzare un dominio Windows NT 4.0, Active Directory oppure il database degli account utente di Gestione account di sicurezza (SAM) locale per autenticare la richiesta di connessione. L'impostazione specifica inoltre che il criterio di rete corrispondente configurato in Server dei criteri di rete, insieme alle proprietà della connessione remota dell'account utente, vengono utilizzati da Server dei criteri di rete per autorizzare la richiesta di connessione. In questo caso il server dei criteri di rete viene utilizzato come server RADIUS.

Inoltra le richieste al seguente gruppo di server RADIUS remoto. Questa impostazione consente a Server dei criteri di rete di inoltrare le richieste di connessione al gruppo di server RADIUS remoto specificato. Se Server dei criteri di rete riceve un messaggio di autorizzazione di accesso valido che corrisponde al messaggio di richiesta di accesso, il tentativo di connessione viene considerato autenticato e autorizzato. In questo caso, Server dei criteri di rete viene utilizzato come proxy RADIUS.

Accetta utente senza la convalida delle credenziali. Con questa impostazione Server dei criteri di rete non verifica l'identità dell'utente che tenta di connettersi alla rete né che l'utente o il computer abbia il diritto di connettersi alla rete. Quando Server dei criteri di rete è configurato per consentire l'accesso non autenticato e riceve una richiesta di connessione, invia immediatamente un messaggio di autorizzazione di accesso al client RADIUS concedendo l'accesso alla rete all'utente o al computer. Questa impostazione viene utilizzata per alcuni tipi di tunneling obbligatorio in cui per il client di accesso viene eseguito il tunneling prima dell'autenticazione delle credenziali utente.

Nota

Non è possibile utilizzare questa opzione di autenticazione se il protocollo di autenticazione del client di accesso è MS-CHAP v2 o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), poiché entrambi supportano l'autenticazione reciproca. Nell'autenticazione reciproca, il client di accesso dimostra al server di autenticazione di essere un client di accesso valido (il server dei criteri di rete) e il server di autenticazione dimostra al client di accesso di essere un server di autenticazione valido. Quando si utilizza questa opzione di autenticazione viene restituito il messaggio di autorizzazione di accesso. Il server di autenticazione non fornisce tuttavia la convalida al client di accesso e l'autenticazione non riesce.

Avanzate

È possibile impostare proprietà avanzate per specificare la serie di attributi RADIUS che vengono:

  • Aggiunti al messaggio di risposta quando Server dei criteri di rete viene utilizzato come server RADIUS di autenticazione o accounting.

    Quando sono stati specificati degli attributi sia in un criterio di accesso remoto che nel criterio di richiesta di connessione, gli attributi inviati nel messaggio di risposta RADIUS rappresentano la combinazione dei due insiemi di attributi.

  • Aggiunti al messaggio di risposta quando Server dei criteri di rete viene utilizzato come proxy RADIUS di autenticazione o accounting. Se l'attributo è già presente nel messaggio inoltrato, verrà sostituito con il valore dell'attributo specificato nel criterio di richiesta di connessione.

Alcuni attributi disponibili per la configurazione nella scheda Impostazioni del criterio di richiesta di connessione nella categoria Avanzate offrono funzionalità specifiche. Ad esempio, è possibile configurare l'attributo Mapping da server RADIUS remoto a utente Windows quando si desidera dividere l'autenticazione e l'autorizzazione di una richiesta di connessione tra due database degli account utente.

L'attributo Mapping da server RADIUS remoto a utente Windows specifica che l'autorizzazione Windows è attivata per gli utenti autenticati da un server RADIUS remoto. In altre parole, un server RADIUS remoto esegue l'autenticazione rispetto a un account utente presente in un database degli account utente remoto, mentre il server dei criteri di rete locale autorizza la richiesta di connessione rispetto a un account utente presente nel database degli account utente locale. Ciò è utile quando si desidera consentire l'accesso alla rete a visitatori.

I visitatori di organizzazioni partner possono ad esempio essere autenticati dal server RADIUS della propria organizzazione e utilizzare quindi un account utente Windows nell'organizzazione visitata per accedere a una rete locale (LAN) guest nella rete visitata.

Altri attributi che offrono funzionalità specifiche sono:

  • MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout. Attributi utilizzati quando si distribuisce Controllo quarantena accesso alla rete con la distribuzione di reti VPN di Routing e Accesso remoto.

  • Passport-User-Mapping-UPN-Suffix. Attributo che consente di autenticare richieste di connessione con le credenziali di un account utente di Windows Live™ ID.

  • Tunnel-Tag. Attributo che designa il numero ID della VLAN a cui il server NAS deve assegnare la connessione quando si distribuiscono reti locali virtuali (VLAN).

Criterio di richiesta di connessione predefinito

Quando si installa Server dei criteri di rete viene creato un criterio di richiesta di connessione predefinito con la configurazione seguente:

  • Autenticazione non viene configurato.

  • Accounting non viene configurato per l'inoltro di informazioni di accounting a un gruppo di server RADIUS remoto.

  • Attributo non viene configurato con regole di manipolazione degli attributi per l'inoltro di richieste di connessione a gruppi di server RADIUS remoti.

  • Inoltro richiesta viene configurato in modo che le richieste di connessione vengano autenticate e autorizzate sul server dei criteri di rete locale.

  • Gli attributi Avanzate non vengono configurati.

Il criterio di richiesta di connessione predefinito utilizza Server dei criteri di rete come server RADIUS. Per configurare un server che esegue Server dei criteri di rete a fungere come proxy RADIUS, è necessario configurare anche un gruppo di server RADIUS remoto. È possibile creare un nuovo gruppo di server RADIUS remoto durante la creazione di un nuovo criterio di richiesta di connessione utilizzando la procedura guidata Nuovo criterio di richiesta di connessione. È possibile eliminare il criterio di richiesta di connessione predefinito oppure verificare che il criterio di richiesta di connessione predefinito sia l'ultimo criterio elaborato.

Nota

Se nello stesso computer sono installati Server dei criteri di gruppo e il servizio Routing e Accesso remoto, e il servizio Routing e Accesso remoto è configurato per l'autenticazione e l'accounting Windows, è possibile inoltrare le richieste di autenticazione e di accounting di Routing e Accesso remoto a un server RADIUS. Ciò può verificarsi quando le richieste di autenticazione e di accounting di Routing e accesso remoto corrispondono a un criterio di richiesta di connessione configurato per l'inoltro a un gruppo di server RADIUS remoto.

Argomenti della Guida