Quando si distribuiscono connessioni remote o VPN con il Server dei criteri di rete come server RADIUS, è necessario eseguire le operazioni seguenti:
-
Installare e configurare server di accesso alla rete come client RADIUS.
-
Distribuire componenti per i metodi di autenticazione.
-
Configurare il Server dei criteri di rete come server RADIUS.
Installare e configurare server di accesso alla rete, ovvero client RADIUS
Per distribuire la connessione remota, è necessario installare e configurare Routing e Accesso remoto come server di connessione remota. Per distribuire la connessione VPN, è necessario installare e configurare Routing e Accesso remoto come server VPN.
Importante | |
I computer client, ad esempio i portatili wireless e altri computer in cui sono in esecuzione sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, commutatori che supportano 802.1X, server di reti private virtuali (VPN, Virtual Private Network) e server di connessione remota, in quanto utilizzano il protocollo RADIUS per comunicare con server RADIUS, ad esempio server dei criteri di rete. |
È possibile installare Routing e Accesso remoto sul Server dei criteri di rete locale o in un computer remoto.
Distribuire componenti per i metodi di autenticazione
Per le connessioni VPN è possibile utilizzare i metodi di autenticazione seguenti:
-
EAP (Extensible Authentication Protocol) con TLS (Transport Layer Security), ovvero EAP-TLS.
-
PEAP (Protected EAP) con MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versione 2), ovvero PEAP-MS-CHAP v2.
-
PEAP con TLS (Transport Layer Security), ovvero PEAP-TLS.
Per EAP-TLS e PEAP-TLS è necessario distribuire un'infrastruttura a chiave pubblica (PKI) installando e configurando Servizi certificati Active Directory® per rilasciare certificati ai computer client e ai Server dei criteri di rete membri del dominio. Tali certificati vengono utilizzati durante il processo di autenticazione per l'identificazione da parte dei client e dei Server dei criteri di rete. Se si preferisce, anziché utilizzare i certificati dei computer client, è possibile distribuire smart card. In questo caso sarà necessario rilasciare smart card e lettori di smart card ai dipendenti dell'organizzazione.
Per PEAP-MS-CHAP v2 è possibile distribuire un'Autorità di certificazione (CA) personalizzata con Servizi certificati Active Directory per emettere certificati per i Server dei criteri di rete. In alternativa, è possibile acquistare certificati server da una CA radice attendibile pubblica considerata attendibile dai client, ad esempio VeriSign.
Per ulteriori informazioni, vedere Panoramica del protocollo EAP e Panoramica del protocollo PEAP.
Configurare il Server dei criteri di rete come server RADIUS
Quando si configura Server dei criteri di rete come server RADIUS, è necessario configurare client RADIUS, criteri di rete e accounting RADIUS.
Configurare client RADIUS
Per configurare i client RADIUS eseguire le due operazioni seguenti:
-
Configurare il client RADIUS fisico, ad esempio il server VPN o il server di connessione remota, con informazioni che consentono al server di accesso alla rete di comunicare con i server che eseguono Server dei criteri di rete. Queste informazioni includono la configurazione dell'indirizzo IP del server che esegue Server dei criteri di rete e l'impostazione del segreto condiviso nell'interfaccia utente del server VPN o del server di connessione remota.
-
In Server dei criteri di rete aggiungere un nuovo client RADIUS. Nel server che esegue Server dei criteri di rete aggiungere ogni server VPN o di connessione remota come client RADIUS. Server dei criteri di rete consente di specificare un nome descrittivo per ogni client RADIUS, nonché l'indirizzo IP del client RADIUS e il segreto condiviso.
Per ulteriori informazioni, vedere Aggiungere un nuovo client RADIUS.
Configurare i criteri di rete
I criteri di rete sono insiemi di condizioni, vincoli e impostazioni che consentono di designare gli utenti autorizzati a connettersi alla rete e le circostanze in cui tali utenti possono connettersi.
Per ulteriori informazioni, vedere Criteri di rete.
Configurare l'accounting RADIUS
L'accounting RADIUS consente di registrare le richieste di accounting e di autenticazione utente in un file di registro locale o in un database Microsoft® SQL Server® nel computer locale o in un computer remoto.