Panoramica di Server dei criteri di rete

Server dei criteri di rete è l'implementazione Microsoft dello standard RADIUS specificato da Internet Engineering Task Force (IETF) nelle RFC 2865 e 2866. In qualità di server RADIUS, Server dei criteri di rete esegue attività centralizzate di autenticazione, autorizzazione e accounting della connessione per molti tipi di accesso alla rete, ad esempio connessioni wireless, tramite commutatore di autenticazione, remote, di accesso remoto VPN e da router a router.

Il Server dei criteri di rete consente l'utilizzo di un set eterogeneo di dispositivi wireless, di accesso remoto, VPN o commutatori. È possibile utilizzare il Server dei criteri di rete con il servizio Routing e Accesso remoto, disponibile in Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition.

Se un server che esegue Server dei criteri di rete è membro di un dominio di Servizi di dominio Active Directory®, Server dei criteri di rete utilizza il servizio directory come database degli account utente ed è incluso in una soluzione Single Sign-On. Lo stesso set di credenziali viene utilizzato per il controllo dell'accesso alla rete, ovvero autenticazione e autorizzazione dell'accesso a una rete, e per accedere a un dominio Active Directory.

I provider di servizi Internet (ISP) e le organizzazioni che gestiscono l'accesso alla rete devono affrontare l'arduo compito di gestire tutti i tipi di accesso alla rete da un unico punto di amministrazione, indipendentemente dai dispositivi utilizzati per l'accesso alla rete. Lo standard RADIUS supporta questa funzionalità negli ambienti omogenei ed eterogenei. RADIUS è un protocollo client-server che consente ai dispositivi di accesso alla rete (utilizzati come client RADIUS) di inviare richieste di autenticazione e accounting a un server RADIUS.

Un server RADIUS ha accesso alle informazioni sull'account utente e può controllare le credenziali di autenticazione per l'accesso alla rete. Se le credenziali utente vengono autenticate e il tentativo di connessione viene autorizzato, il server RADIUS autorizza l'accesso dell'utente sulla base delle condizioni specificate e quindi registra la connessione di accesso alla rete in un registro di accounting. L'utilizzo di RADIUS consente di raccogliere e gestire i dati di autenticazione, autorizzazione e accounting dell'utente in una posizione centrale, anziché nei singoli server di accesso.

Per ulteriori informazioni, vedere Server RADIUS.

Quale proxy RADIUS, il Server dei criteri di rete inoltra messaggi di autenticazione e accounting ad altri server RADIUS.

Il Server dei criteri di rete consente inoltre alle organizzazioni di gestire in outsourcing l'infrastruttura di accesso remoto tramite un provider di servizi, conservando il controllo dell'autenticazione, autorizzazione e accounting.

È possibile creare configurazioni di Server dei criteri di rete per gli scenari seguenti:

• Accesso wireless
  
  
• Accesso remoto tramite connessione remota o VPN (Virtual Private Network, rete privata virtuale) dell'organizzazione
  
  
• Accesso remoto o wireless in outsourcing
  
  
• Accesso a Internet
  
  
• Accesso autenticato alle risorse dell'Extranet per i partner commerciali
  
  

Per ulteriori informazioni, vedere Proxy RADIUS.

Gli esempi di configurazione seguenti illustrano il modo in cui configurare un Server dei servizi di rete come server RADIUS e proxy RADIUS.

NPS as a RADIUS server. In questo esempio Server dei criteri di rete è configurato come server RADIUS, il criterio di richiesta di connessione predefinito è l'unico criterio configurato e tutte le richieste di connessione vengono elaborate dal server locale che esegue Server dei criteri di rete. Il Server dei criteri di rete può autenticare e autorizzare gli utenti che dispongono di account inclusi nel dominio del server stesso e nei domini trusted.

NPS as a RADIUS proxy. In questo esempio il server che esegue Server dei criteri di rete è configurato come proxy RADIUS che inoltra le richieste di connessione a gruppi di server RADIUS remoti in due domini non trusted. Il criterio di richiesta di connessione predefinito viene eliminato e vengono creati due nuovi criteri di richiesta di connessione per inoltrare le richieste a ognuno dei due domini non trusted. In questo esempio Server dei criteri di rete non elabora alcuna richiesta di connessione nel server locale.

NPS as both RADIUS server and RADIUS proxy. Oltre al criterio di richiesta di connessione predefinito, che indica che le richieste di connessione vengono elaborate in locale, viene creato un nuovo criterio di richiesta di connessione che inoltra le richieste di connessione a un server che esegue Server dei criteri di rete o a un altro server RADIUS in un dominio non trusted. Questo secondo criterio è definito criterio proxy. In questo esempio il criterio proxy viene visualizzato prima nell'elenco ordinato dei criteri. Se una richiesta di connessione soddisfa il criterio proxy, tale richiesta viene inoltrata al server RADIUS nel gruppo di server RADIUS remoti. Se la richiesta di connessione non soddisfa il criterio proxy ma soddisfa il criterio di richiesta di connessione predefinito, il Server dei criteri di rete elabora la richiesta di connessione nel server locale. Se la richiesta di connessione non soddisfa alcun criterio, verrà scartata.

NPS as a RADIUS server with remote accounting servers. In questo esempio il server locale che esegue Server dei criteri di rete non è configurato per eseguire l'accounting e il criterio di richiesta di connessione predefinito viene modificato affinché i messaggi di accounting RADIUS vengano inoltrati a un server che esegue Server dei criteri di rete o a un altro server RADIUS di un gruppo di server RADIUS remoto. Il Server dei criteri di rete locale esegue l'autenticazione e l'autorizzazione dei messaggi per il dominio locale e per tutti i domini trusted perché questi messaggi, a differenza di quelli di accounting, non vengono inoltrati.

NPS with remote RADIUS to Windows user mapping. In questo esempio Server dei criteri di rete esegue le funzioni di server RADIUS e proxy RADIUS per ogni richiesta di connessione inoltrando la richiesta di autenticazione a un server RADIUS remoto e utilizzando un account utente Windows locale per l'autorizzazione. Questa configurazione viene implementata configurando l'attributo Mapping da server RADIUS remoto a utente Windows come condizione del criterio di richiesta di connessione. È inoltre necessario che venga creato in locale nel server RADIUS un account utente con lo stesso nome dell'account utente remoto utilizzato per l'autenticazione da parte del server RADIUS remoto.