Um servidor de acesso à rede (NAS) é um dispositivo que permite algum nível de acesso a uma rede maior. Um NAS com infraestrutura RADIUS é também um cliente RADIUS, que envia solicitações de conexão e mensagens de contabilização a um servidor RADIUS para autenticação, autorização e contabilização.
 | Importante |
|
Computadores cliente, como laptops sem fio e outros computadores executando sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede — como pontos de acesso sem fio, comutadores compatíveis com 802.1X, servidores de rede virtual privada (VPN) e servidores dial-up — pois eles usam o protocolo RADIUS para se comunicar com os servidores RADIUS, como Servidores de Diretivas de Rede (NPS). |
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de diretivas NAP (Proteção de Acesso à Rede), configure os clientes RADIUS no NPS.
Exemplos de cliente RADIUS
Os exemplos de servidores de acesso à rede são:
-
Servidores de acesso à rede que oferecem a conectividade de acesso remoto a uma rede da organização ou à Internet. Um exemplo é um computador que executa o sistema operacional Windows Server® 2008 e o serviço de Roteamento e Acesso Remoto, que oferece serviços de acesso remoto VPN (rede virtual privada) ou dial-up tradicionais a uma intranet da organização.
-
Pontos de acesso sem fio que permitem acesso de camada física a uma rede da organização usando tecnologias de transmissão e recepção sem fio.
-
Opções que permitem acesso de camada física à rede de uma organização, usando tecnologias LAN tradicionais, por exemplo, a Ethernet.
-
Proxies RADIUS que encaminham solicitações de conexão para servidores RADIUS que são membros de um grupo de servidores RADIUS remotos configurado no proxy RADIUS.
Mensagens de solicitação de acesso RADIUS
Os clientes RADIUS criam mensagens de solicitação de acesso RADIUS e as encaminham para um proxy ou servidor RADIUS, ou encaminham para um servidor RADIUS as mensagens de solicitação de acesso que eles não criaram, que foram recebidas de outro cliente RADIUS.
Os clientes RADIUS não processam mensagens de solicitação de acesso executando a autenticação, a autorização e a contabilização. Somente servidores RADIUS executam essas funções.
O NPS, entretanto, pode ser configurado como um proxy RADIUS e um servidor RADIUS, simultaneamente, para que processe algumas mensagens de solicitação de acesso e encaminhe outras mensagens.
NPS como um cliente RADIUS
O NPS atua como um cliente RADIUS quando você o configura como um proxy RADIUS para encaminhar para outros servidores RADIUS as mensagens de solicitação de acesso a serem processadas. Quando você o NPS como um proxy RADIUS, são necessárias as seguintes etapas de configuração geral:
-
Os servidores de acesso à rede, por exemplo, pontos de acesso sem fio e servidores VPN, são configurados com o endereço IP do proxy NPS, como o servidor RADIUS ou servidor de autenticação designado. Isso permite que os servidores de acesso à rede, que criam mensagens de solicitação de acesso com base nas informações que recebem dos clientes de acesso, encaminhem mensagens para o proxy NPS.
-
O proxy NPS é configurado com a adição de cada servidor de acesso à rede como um cliente RADIUS. Esta etapa de configuração permite que o proxy NPS receba mensagens dos servidores de acesso à rede e comunique-se com eles durante a autenticação. Além disso, as diretivas de solicitação de conexão no proxy NPS são configuradas para especificar as mensagens de solicitação de acesso que serão encaminhadas para um ou mais servidores RADIUS. Essas diretivas são configuradas também com um grupo de servidores RADIUS remotos, que informa ao NPS para onde devem ser enviadas as mensagens recebidas dos servidores de acesso à rede.
-
O NPS ou outros servidores RADIUS que são membros do grupo de servidores RADIUS remotos no proxy NPS são configurados para receber mensagens do proxy NPS. Para isso, configure o proxy NPS como um cliente RADIUS.
Propriedades do cliente RADIUS
Ao adicionar um cliente RADIUS a uma configuração NPS por meio do snap-in NPS ou usando os comandos netsh para NPS, você está configurando o NPS para receber mensagens de solicitação de acesso RADIUS de um servidor de acesso à rede ou de um proxy RADIUS.
Na configuração de um cliente RADIUS no NPS, é possível definir as seguintes propriedades:
-
Nome do cliente
Um nome amigável para o cliente RADIUS, que facilite a identificação quando usar o snap-in NPS ou os comandos netsh para NPS.
-
Endereço IP
O endereço IPv4 ou o nome DNS (sistema de nome de domínio) do cliente RADIUS.
-
Fornecedor do cliente
O fornecedor do cliente RADIUS. Caso contrário, use o valor padrão RADIUS do fornecedor do cliente.
-
Segredo compartilhado
Uma cadeia de texto é usada como uma senha entre clientes, servidores e proxies RADIUS. Quando for usado o atributo Autenticador de Mensagem, o segredo compartilhado será usado também como a chave para criptografar mensagens RADIUS. Essa cadeia deverá ser configurada no cliente RADIUS e no snap-in NPS.
-
Atributo Autenticador de Mensagem
Descrito na RFC 2869, "RADIUS Extensions", um hash Message Digest 5 (MD5) de toda a mensagem RADIUS. Se o atributo Autenticador de Mensagem RADIUS estiver presente, ele será verificado. Se falhar na verificação, a mensagem RADIUS será descartada. Se as configurações do cliente exigirem o atributo Autenticador de Mensagem e ele não estiver presente, a mensagem RADIUS será descartada. É recomendável usar esse atributo.
Observação O atributo Autenticador de Mensagem é necessário e habilitado, por padrão, quando é usada a autenticação EAP.
-
O cliente é compatível com NAP
Uma indicação de que o cliente RADIUS é compatível com NAP, e o NPS envia atributos NAP para o cliente RADIUS na mensagem de aceitação de acesso.