Server RADIUS

Server dei criteri di rete può essere utilizzato come server RADIUS (Remote Authentication Dial-In User Service) per eseguire l'autenticazione, l'autorizzazione e l'accounting per client RADIUS. Un client RADIUS può essere un server di accesso, ad esempio un server di connessione remota o un punto di accesso wireless, oppure un proxy RADIUS. Se il Server dei criteri di rete viene utilizzato come un server RADIUS, offre le funzionalità seguenti:

• Un servizio di autenticazione e autorizzazione centralizzato per tutte le richieste di accesso inviate da client RADIUS.
  
  Server dei criteri di rete utilizza un dominio Microsoft® Windows NT® Server 4.0, un dominio di Servizi di dominio Active Directory® o il database degli account utente del sistema di gestione degli account di sicurezza (SAM) locale per autenticare le credenziali utente per i tentativi di connessione. Il Server dei criteri di rete utilizza le proprietà della connessione remota dell'account utente e i criteri di rete per autorizzare una connessione.
  
  
• Un servizio di registrazione accounting centralizzato per tutte le richieste di accounting inviate da client RADIUS.
  
  Le richieste di accounting vengono archiviate in un file di registro locale o in un database Microsoft® SQL Server™ per l'analisi.
  
  

Nella figura seguente viene illustrato Server dei criteri di rete configurato come un server RADIUS per diversi client di accesso e un proxy RADIUS. Server dei criteri di rete utilizza un dominio di Servizi di dominio Active Directory® per autenticare le credenziali utente dei messaggi Access-Request RADIUS in ingresso.

Se Server dei criteri di rete viene utilizzato come un server RADIUS, i messaggi RADIUS offrono autenticazione, autorizzazione e accounting per connessioni di accesso alla rete come descritto di seguito.

1. I server di accesso, ad esempio server di connessione remota, server VPN e punti di accesso wireless, ricevono le richieste di connessione da client di accesso.
   
   
2. Il server di accesso, configurato per utilizzare RADIUS come protocollo di autenticazione, autorizzazione e accounting, crea un messaggio di richiesta di accesso e lo invia al Server dei criteri di rete.
   
   
3. Il messaggio di richiesta di accesso viene valutato dal Server dei criteri di rete.
   
   
4. Se necessario, il Server dei criteri di rete invia un messaggio di richiesta di verifica di accesso al server di accesso. Il server di accesso elabora la richiesta di verifica e invia un messaggio di richiesta di accesso aggiornato al Server dei criteri di rete.
   
   
5. Viene eseguita la verifica delle credenziali dell'utente e ricavate le proprietà della connessione remota dell'account utente utilizzando una connessione sicura a un controller di dominio.
   
   
6. Il tentativo di connessione viene autorizzato con le proprietà della connessione remota dell'account utente e i criteri di rete.
   
   
7. Se il tentativo di connessione è autenticato e autorizzato, il Server dei criteri di rete invia un messaggio di autorizzazione di accesso al server di accesso.
   
   Se il tentativo di connessione non è autenticato oppure non è autorizzato, il Server dei criteri di rete invia un messaggio di rifiuto di accesso al server di accesso.
   
   
8. Il server di accesso completa il processo di connessione con il client di accesso e invia un messaggio di richiesta accounting al Server dei criteri di rete, in cui il messaggio viene registrato.
   
   
9. Il Server dei criteri di rete invia un messaggio di risposta di accounting al server di accesso.
   
   

	Nota
	Il server di accesso invia inoltre messaggi di richiesta di accounting durante il periodo in cui la connessione viene stabilita, quando la connessione al client di accesso viene chiusa e quando il server di accesso viene avviato e interrotto.

Il Server dei criteri di rete può essere utilizzato come un server RADIUS quando:

• Si utilizza un dominio Windows NT Server 4.0, un dominio di Servizi di dominio Active Directory o il database degli account utente SAM locale come database degli account utente per i client di accesso.
  
  
• Si utilizza Routing e Accesso remoto su più server di connessione remota, server VPN o router di connessione a richiesta e si desidera centralizzare la configurazione dei criteri di rete e della registrazione connessione per l'accounting.
  
  
• Si esegue l'outsourcing dell'accesso remoto, VPN o wireless a un provider di servizi. I server di accesso utilizzano RADIUS per autenticare e autorizzare le connessioni stabilite da membri della propria organizzazione.
  
  
• Si desidera centralizzare autenticazione, autorizzazione e accounting per un insieme eterogeneo di server di accesso.
  
  

	Nota
	Nel Servizio di Autenticazione Internet (IAS) del sistema operativo Windows Server® 2003, i criteri di rete vengono indicati come criteri di accesso remoto.