O Servidor de Diretivas de Rede (NPS) pode ser usado como um proxy RADIUS para fornecer o roteamento de mensagens RADIUS entre servidores de acesso de clientes RADIUS e servidores RADIUS que executam a autenticação, a autorização e a contabilização da tentativa de conexão. Quando usado como um proxy RADIUS, o NPS é um ponto central de alternância ou de roteamento pelo qual fluem as mensagens de acesso e de contabilização RADIUS. O NPS registra informações em um log de contabilização sobre as mensagens encaminhadas.

A ilustração a seguir mostra o NPS como um proxy RADIUS entre clientes RADIUS (servidores de acesso) e servidores RADIUS ou outro proxy RADIUS.

NPS como um Proxy RADIUS

Quando o NPS é usado como um proxy RADIUS entre um cliente RADIUS e um servidor RADIUS, as mensagens RADIUS para tentativas de conexão de acesso à rede são encaminhadas da seguinte maneira:

  1. Servidores de acesso, por exemplo, servidores de acesso à rede dial-up, servidores de rede virtual privada (VPN) e pontos de acesso sem fio, recebem solicitações de conexão dos clientes de acesso.

  2. O servidor de acesso, configurado para usar RADIUS como o protocolo de autenticação, autorização e contabilização, cria uma mensagem de solicitação de acesso e a envia para o servidor NPS que está sendo usado como o proxy RADIUS NPS.

  3. O proxy RADIUS NPS recebe a mensagem de solicitação de acesso e, com base nas diretivas de solicitação de conexão configuradas localmente, determina se encaminhará essa mensagem.

  4. O proxy RADIUS NPS encaminha a mensagem de solicitação de acesso para o servidor RADIUS apropriado.

  5. O servidor RADIUS avalia a mensagem de solicitação de acesso.

  6. Quando necessário, o servidor RADIUS envia uma mensagem de desafio de acesso para o proxy RADIUS NPS, que a encaminha para o servidor de acesso. O servidor de acesso processa o desafio com o cliente de acesso e envia uma solicitação de acesso atualizada para o proxy RADIUS NPS, que a encaminha para o servidor RADIUS.

  7. O servidor RADIUS autentica e autoriza a tentativa de conexão.

  8. Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem de aceitação de acesso para o proxy RADIUS NPS, que a encaminhará para o servidor de acesso.

    Se a tentativa de conexão não for autenticada ou autorizada, o servidor RADIUS enviará uma mensagem de rejeição de acesso para o proxy RADIUS NPS, que a encaminhará para o servidor de acesso.

  9. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem de solicitação de contabilização para o proxy RADIUS NPS. O proxy RADIUS NPS registra os dados contábeis e encaminha a mensagem para o servidor RADIUS.

  10. O servidor RADIUS envia uma resposta de contabilização para o proxy RADIUS NPS, que a encaminha para o servidor de acesso.

Você pode usar o NPS como um proxy RADIUS quando:

  • Você é um provedor de serviço que oferece serviços terceirizados de acesso à rede discado, VPN ou sem fio para vários clientes. Seus NASs enviam solicitações de conexão para o proxy RADIUS NPS. Com base no realm do nome de usuário da solicitação de conexão, o proxy RADIUS NPS encaminha a solicitação para um servidor RADIUS que é mantido pelo cliente e que pode autenticar e autorizar a tentativa de conexão.

  • Você deseja fornecer a autenticação e a autorização para contas de usuário que não são membros do domínio no qual o servidor NPS é membro ou de outro domínio que tem uma confiança bidirecional com o domínio no qual o servidor NPS é membro. Isso inclui contas em domínios não confiáveis, em domínios confiáveis unidirecionais e em outras florestas. Em vez de configurar servidores de acesso para enviar solicitações de conexão para um servidor RADIUS NPS, você pode configurá-los para enviar solicitações de conexão para um proxy RADIUS NPS. O proxy RADIUS NPS usa a porção do nome de realm do nome de usuário e encaminha a solicitação para um servidor NPS no domínio ou floresta corretos. As tentativas de conexão das contas de usuário em um domínio ou floresta podem ser autenticadas para NASs de outro domínio ou floresta.

  • Você deseja executar a autenticação e a autorização usando um banco de dados que não é um banco de dados de contas do Windows. Nesse caso, as solicitações de conexão que correspondem a um nome de realm especificado são encaminhadas para um servidor RADIUS, que tem acesso a um banco de dados diferente de contas de usuário e dados de autorização. Os exemplos de outros bancos de dados de usuários incluem o Novell Directory Services (NDS) e o Structured Query Language (SQL).

  • Você deseja processar um grande número de solicitações de conexão. Nesse caso, em vez de configurar os clientes RADIUS para tentar equilibrar as solicitações de conexão e de contabilização entre vários servidores RADIUS, configure-os para enviar as solicitações de conexão e de contabilização para um proxy RADIUS NPS. O proxy RADIUS NPS equilibra dinamicamente a carga de solicitações de conexão e de contabilização entre vários servidores RADIUS e aumenta o processamento de grandes números de clientes RADIUS e autenticações por segundo.

  • Você deseja fornecer autenticação e autorização RADIUS para provedores de serviços terceirizados e minimizar a configuração de firewall da intranet. Um firewall da intranet está entre a rede de perímetro (a rede entre a sua intranet e a Internet) e a intranet. Coloque um servidor NPS na rede de perímetro para que o firewall entre a rede de perímetro e a intranet permita o fluxo de tráfego entre o servidor NPS e vários controladores de domínio. Ao substituir o servidor NPS por um proxy NPS, o firewall deve permitir que apenas o tráfego RADIUS flua entre o proxy NPS e um ou vários servidores NPS da sua intranet.


Sumário