Quando si distribuiscono connessioni remote o VPN con il Server dei criteri di rete come server RADIUS, è necessario eseguire le operazioni seguenti:

  • Installare e configurare server di accesso alla rete come client RADIUS.

  • Distribuire componenti per i metodi di autenticazione.

  • Configurare il Server dei criteri di rete come server RADIUS.

Installare e configurare server di accesso alla rete, ovvero client RADIUS

Per distribuire la connessione remota, è necessario installare e configurare Routing e Accesso remoto come server di connessione remota. Per distribuire la connessione VPN, è necessario installare e configurare Routing e Accesso remoto come server VPN.

Importante

I computer client, ad esempio i portatili wireless e altri computer in cui sono in esecuzione sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori che supportano 802.1X, server di reti private virtuali (VPN, Virtual Private Network) e server di connessione remota, in quanto utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio server dei criteri di rete.

È possibile installare Routing e Accesso remoto sul Server dei criteri di rete locale o in un computer remoto.

Distribuire componenti per i metodi di autenticazione

Per le connessioni VPN è possibile utilizzare i metodi di autenticazione seguenti:

  • EAP (Extensible Authentication Protocol) con TLS (Transport Layer Security), ovvero EAP-TLS.

  • PEAP (Protected EAP) con MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versione 2), ovvero PEAP-MS-CHAP v2.

  • PEAP con TLS (Transport Layer Security), ovvero PEAP-TLS.

Per EAP-TLS e PEAP-TLS è necessario distribuire un'infrastruttura a chiave pubblica (PKI) installando e configurando Servizi certificati Active Directory® per rilasciare certificati ai computer client e ai Server dei criteri di rete membri del dominio. Tali certificati vengono utilizzati durante il processo di autenticazione per l'identificazione da parte dei client e dei Server dei criteri di rete. Se si preferisce, anziché utilizzare i certificati dei computer client, è possibile distribuire smart card. In questo caso sarà necessario rilasciare smart card e lettori di smart card ai dipendenti dell'organizzazione.

Per PEAP-MS-CHAP v2 è possibile distribuire un'Autorità di certificazione (CA) personalizzata con Servizi certificati Active Directory per emettere certificati per i Server dei criteri di rete. In alternativa, è possibile acquistare certificati server da una CA radice attendibile pubblica considerata attendibile dai client, ad esempio VeriSign.

Per ulteriori informazioni, vedere Panoramica del protocollo EAP e Panoramica del protocollo PEAP.

Configurare il Server dei criteri di rete come server RADIUS

Quando si configura Server dei criteri di rete come server RADIUS, è necessario configurare client RADIUS, criteri di rete e accounting RADIUS.

Configurare client RADIUS

Per configurare i client RADIUS eseguire le due operazioni seguenti:

  • Configurare il client RADIUS fisico, ad esempio il server VPN o il server di connessione remota, con informazioni che consentono al server di accesso alla rete di comunicare con i server che eseguono Server dei criteri di rete. Queste informazioni includono la configurazione dell'indirizzo IP del server che esegue Server dei criteri di rete e l'impostazione del segreto condiviso nell'interfaccia utente del server VPN o del server di connessione remota.

  • In Server dei criteri di rete aggiungere un nuovo client RADIUS. Nel server che esegue Server dei criteri di rete aggiungere ogni server VPN o di connessione remota come client RADIUS. Server dei criteri di rete consente di specificare un nome descrittivo per ogni client RADIUS, nonché l'indirizzo IP del client RADIUS e il segreto condiviso.

Per ulteriori informazioni, vedere Aggiungere un nuovo client RADIUS.

Configurare i criteri di rete

I criteri di rete sono insiemi di condizioni, vincoli e impostazioni che consentono di designare gli utenti autorizzati a connettersi alla rete e le circostanze in cui tali utenti possono connettersi.

Per ulteriori informazioni, vedere Criteri di rete.

Configurare l'accounting RADIUS

L'accounting RADIUS consente di registrare le richieste di accounting e di autenticazione utente in un file di registro locale o in un database Microsoft® SQL Server® nel computer locale o in un computer remoto.


Argomenti della Guida