Servidor RADIUS para conexões 802.1X com ou sem fio

Para implantar o acesso sem fio 802.1X, você deve instalar e configurar pontos de acesso sem fio. Para implantar o acesso com fio 802.1X, você deve instalar e configurar chaves de autenticação 802.1X.

Importante

Computadores cliente, como laptops sem fio e outros computadores executando sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede — como pontos de acesso sem fio, comutadores compatíveis com 802.1X, servidores de rede virtual privada (VPN) e servidores dial-up — pois eles usam o protocolo RADIUS para se comunicar com os servidores RADIUS, como Servidores de Diretivas de Rede (NPS).

Em ambos os casos, esses servidores de acesso à rede devem atender aos seguintes requisitos:

• Suporte para autenticação 802.1X padrão IEEE (Electrical and Electronics Engineers)
  
  
• Suporte para autenticação e contabilização RADIUS
  
  

Se você utilizar aplicativos de cobrança ou contabilização que requeiram correlação de sessões, o seguinte será necessário:

• Suporte para o atributo Class conforme definido na RFC 2865 pelo IETF (Internet Engineering Task Force), "Serviço RADIUS", para permitir a correlação de sessões para registros de contabilização e autenticação RADIUS. Para correlação de sessões, quando você configurar a contabilização RADIUS no proxy ou servidor NPS, é necessário que registre todos os dados contábeis que permitem que os aplicativos (como os aplicativos de cobrança) consultem o banco de dados, façam correlação de campos relacionados e retornem uma exibição coesa de cada sessão nos resultados da consulta. No mínimo, para fornecer uma correlação de sessões, você deve registrar os seguintes dados contábeis do NPS: Endereço IP do NAS; Identificador do NAS (o Endereço IP do NAS e o Identificador do NAS são necessários porque o servidor de acesso pode enviar um desses atributos); Classe; Id da Sessão de Contabilização; Id de Múltiplas Sessões de Contabilização; Tipo de Pacote; Tipo de Status de Contabilização; Intervalo Provisório da Contabilização; Porta do NAS; e Carimbo de Data/Hora do Evento.
  
  
• Suporte para solicitações provisórias de contabilização, que são enviadas periodicamente por alguns servidores de acesso à rede (NASs) durante uma sessão do usuário, que podem ser registradas. Este tipo de solicitação pode ser usado quando o atributo de Intervalo Provisório da Contabilização do RADIUS for configurado para oferecer suporte a solicitações periódicas no perfil de acesso remoto no servidor NPS. O NAS deve oferecer suporte ao uso de solicitações provisórias de contabilização se você desejar que as solicitações provisórias sejam registradas no servidor NPS.
  
  

Se você usar redes locais virtuais (VLANs), os NASs deverão oferecer suporte a VLANs.

Em ambientes de rede de longa distância (WAN), os servidores de acesso à rede devem fornecer o seguinte:

• Suporte para estimativa de tempo limite de retransmissão (RTO) dinâmica ou retirada exponencial para lidar com congestionamentos e atrasos em um ambiente WAN.
  
  

Além disso, há recursos de filtragem aos quais os servidores de acesso à rede devem oferecer suporte para garantir mais segurança à rede. Estas opções de filtragem incluem:

• Filtragem DHCP. Os servidores NASs devem filtrar nas portas IP para impedir a transmissão de mensagens de difusão de protocolo DHCP se o cliente for um servidor DHCP. Os servidores de acesso à rede devem impedir que o cliente envie pacotes IP da porta 68 para a rede.
  
  
• Filtragem DNS. Os servidores NASs devem filtrar em portas IP para impedir que um cliente atue como um servidor DNS. Os servidores NASs devem impedir que o cliente envie pacotes IP da porta 53 para a rede.
  
  

Se você estiver implantando pontos de acesso sem fio, o suporte para Wi-Fi Protected Access (WPA) é preferível. Também há suporte para o WPA no Windows Vista® e no Windows XP com Service Pack 2. Para implantar o WPA, use também adaptadores de rede sem fio que ofereçam suporte ao WPA.

Para 802.1X com e sem fio, você pode usar os seguintes métodos de autenticação:

• Protocolo EAP com Transport Layer Security (TLS), também chamado de EAP-TLS.
  
  
• EAP Protegido (PEAP) com protocolo MS-CHAP versão 2, também chamado de PEAP-MS-CHAP v2.
  
  
• PEAP com EAP-TLS, também chamado de PEAP-TLS.
  
  

Para EAP-TLS e PEAP-TLS, você deve implantar uma infraestrutura de chave pública (PKI) instalando e configurando os Serviços de Certificado do Active Directory® (AD CS) para emitir certificados para computadores cliente membros de um domínio e servidores NPS. Esses certificados são usados durante o processo de autenticação, como prova de identidade, por clientes e servidores NPS. Se preferir, você pode implantar cartões inteligentes em vez de usar certificados de computador cliente. Nesse caso, você deve emitir cartões inteligentes e leitores de cartões inteligentes para os funcionários da organização.

Para PEAP-MS-CHAP v2, você pode implantar sua própria autoridade de certificação com AD CS para emitir certificados para servidores NPS ou pode adquirir certificados de servidor de uma autoridade de certificação raiz pública de confiança dos clientes, como a Verisign.

Para obter mais informações, consulte Visão geral do EAP e Visão geral do PEAP.

Ao configurar o NPS como um servidor RADIUS, você deve configurar os clientes RADIUS, a diretiva de rede e a contabilização RADIUS.