Il Server dei criteri di rete consente di configurare e gestire i criteri di rete da una posizione centrale con le tre funzionalità seguenti: Server RADIUS (Remote Authentication Dial-In User Service), proxy RADIUS e server dei criteri di Protezione accesso alla rete.

Server e proxy RADIUS

Il Server dei criteri di rete può essere utilizzato come server RADIUS, proxy RADIUS o con entrambe le funzionalità.

Server RADIUS

Server dei criteri di rete è l'implementazione Microsoft dello standard RADIUS specificato da Internet Engineering Task Force (IETF) nelle RFC 2865 e 2866. In qualità di server RADIUS, Server dei criteri di rete esegue attività centralizzate di autenticazione, autorizzazione e accounting della connessione per molti tipi di accesso alla rete, ad esempio connessioni wireless, tramite commutatore di autenticazione, remote, di accesso remoto VPN e da router a router.

Il Server dei criteri di rete consente l'utilizzo di un set eterogeneo di dispositivi wireless, di accesso remoto, VPN o commutatori. È possibile utilizzare il Server dei criteri di rete con il servizio Routing e Accesso remoto, disponibile in Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition.

Se un server che esegue Server dei criteri di rete è membro di un dominio di Servizi di dominio Active Directory®, Server dei criteri di rete utilizza il servizio directory come database degli account utente ed è incluso in una soluzione Single Sign-On. Lo stesso set di credenziali viene utilizzato per il controllo dell'accesso alla rete, ovvero autenticazione e autorizzazione dell'accesso a una rete, e per accedere a un dominio Active Directory.

I provider di servizi Internet (ISP) e le organizzazioni che gestiscono l'accesso alla rete devono affrontare l'arduo compito di gestire tutti i tipi di accesso alla rete da un unico punto di amministrazione, indipendentemente dai dispositivi utilizzati per l'accesso alla rete. Lo standard RADIUS supporta questa funzionalità negli ambienti omogenei ed eterogenei. RADIUS è un protocollo client-server che consente ai dispositivi di accesso alla rete (utilizzati come client RADIUS) di inviare richieste di autenticazione e accounting a un server RADIUS.

Un server RADIUS ha accesso alle informazioni sull'account utente e può controllare le credenziali di autenticazione per l'accesso alla rete. Se le credenziali utente vengono autenticate e il tentativo di connessione viene autorizzato, il server RADIUS autorizza l'accesso dell'utente sulla base delle condizioni specificate e quindi registra la connessione di accesso alla rete in un registro di accounting. L'utilizzo di RADIUS consente di raccogliere e gestire i dati di autenticazione, autorizzazione e accounting dell'utente in una posizione centrale, anziché nei singoli server di accesso.

Per ulteriori informazioni, vedere Server RADIUS.

Proxy RADIUS

Quale proxy RADIUS, il Server dei criteri di rete inoltra messaggi di autenticazione e accounting ad altri server RADIUS.

Il Server dei criteri di rete consente inoltre alle organizzazioni di gestire in outsourcing l'infrastruttura di accesso remoto tramite un provider di servizi, conservando il controllo dell'autenticazione, autorizzazione e accounting.

È possibile creare configurazioni di Server dei criteri di rete per gli scenari seguenti:

  • Accesso wireless

  • Accesso remoto tramite connessione remota o VPN (Virtual Private Network, rete privata virtuale) dell'organizzazione

  • Accesso remoto o wireless in outsourcing

  • Accesso a Internet

  • Accesso autenticato alle risorse dell'Extranet per i partner commerciali

Per ulteriori informazioni, vedere Proxy RADIUS.

Esempi di configurazione del server RADIUS e del proxy RADIUS

Gli esempi di configurazione seguenti illustrano il modo in cui configurare un Server dei servizi di rete come server RADIUS e proxy RADIUS.

NPS as a RADIUS server. In questo esempio Server dei criteri di rete è configurato come server RADIUS, il criterio di richiesta di connessione predefinito è l'unico criterio configurato e tutte le richieste di connessione vengono elaborate dal server locale che esegue Server dei criteri di rete. Il Server dei criteri di rete può autenticare e autorizzare gli utenti che dispongono di account inclusi nel dominio del server stesso e nei domini trusted.

NPS as a RADIUS proxy. In questo esempio il server che esegue Server dei criteri di rete è configurato come proxy RADIUS che inoltra le richieste di connessione a gruppi di server RADIUS remoti in due domini non trusted. Il criterio di richiesta di connessione predefinito viene eliminato e vengono creati due nuovi criteri di richiesta di connessione per inoltrare le richieste a ognuno dei due domini non trusted. In questo esempio Server dei criteri di rete non elabora alcuna richiesta di connessione nel server locale.

NPS as both RADIUS server and RADIUS proxy. Oltre al criterio di richiesta di connessione predefinito, che indica che le richieste di connessione vengono elaborate in locale, viene creato un nuovo criterio di richiesta di connessione che inoltra le richieste di connessione a un server che esegue Server dei criteri di rete o a un altro server RADIUS in un dominio non trusted. Questo secondo criterio è definito criterio proxy. In questo esempio il criterio proxy viene visualizzato prima nell'elenco ordinato dei criteri. Se una richiesta di connessione soddisfa il criterio proxy, tale richiesta viene inoltrata al server RADIUS nel gruppo di server RADIUS remoti. Se la richiesta di connessione non soddisfa il criterio proxy ma soddisfa il criterio di richiesta di connessione predefinito, il Server dei criteri di rete elabora la richiesta di connessione nel server locale. Se la richiesta di connessione non soddisfa alcun criterio, verrà scartata.

NPS as a RADIUS server with remote accounting servers. In questo esempio il server locale che esegue Server dei criteri di rete non è configurato per eseguire l'accounting e il criterio di richiesta di connessione predefinito viene modificato affinché i messaggi di accounting RADIUS vengano inoltrati a un server che esegue Server dei criteri di rete o a un altro server RADIUS di un gruppo di server RADIUS remoto. Il Server dei criteri di rete locale esegue l'autenticazione e l'autorizzazione dei messaggi per il dominio locale e per tutti i domini trusted perché questi messaggi, a differenza di quelli di accounting, non vengono inoltrati.

NPS with remote RADIUS to Windows user mapping. In questo esempio Server dei criteri di rete esegue le funzioni di server RADIUS e proxy RADIUS per ogni richiesta di connessione inoltrando la richiesta di autenticazione a un server RADIUS remoto e utilizzando un account utente Windows locale per l'autorizzazione. Questa configurazione viene implementata configurando l'attributo Mapping da server RADIUS remoto a utente Windows come condizione del criterio di richiesta di connessione. È inoltre necessario che venga creato in locale nel server RADIUS un account utente con lo stesso nome dell'account utente remoto utilizzato per l'autenticazione da parte del server RADIUS remoto.

Server dei criteri di Protezione accesso alla rete

La funzionalità Protezione accesso alla rete è inclusa in Windows Vista®, Windows® 7, Windows Server® 2008 e Windows Server® 2008 R2 e consente di proteggere l'accesso alle reti private verificando che i computer client siano configurati in conformità con i criteri di integrità della rete dell'organizzazione prima di autorizzare la connessione alle risorse di rete. La conformità dei computer client ai criteri di integrità viene inoltre monitorata da Protezione accesso alla rete mentre il computer è connesso alla rete. Se si utilizza il monitoraggio e l'aggiornamento automatici di Protezione accesso alla rete, i computer non conformi possono essere aggiornati automaticamente per l'adeguamento ai criteri di integrità in modo che possano connettersi alla rete.

Gli amministratori di sistema definiscono criteri di integrità della rete e creano tali criteri mediante componenti di Protezione accesso alla rete implementati in Server dei criteri di rete e, in base alla distribuzione di Protezione accesso alla rete, da altre società.

I criteri di integrità possono includere requisiti software, requisiti di aggiornamento della sicurezza e impostazioni di connessione obbligatorie. Protezione accesso alla rete impone i criteri di integrità esaminando e valutando l'integrità dei computer client, limitando l'accesso alla rete quando i computer client vengono ritenuti non integri e aggiornando i computer client non integri per un accesso di rete completo.

Per ulteriori informazioni, vedere Protezione accesso alla rete in Server dei criteri di rete.

Vedere anche


Argomenti della Guida