O NPS (Network Policy Server) permite configurar e gerir centralmente políticas de rede, com as três funcionalidades seguintes: servidor RADIUS (Remote Authentication Dial-In User Service), proxy RADIUS e servidor de políticas NAP (Protecção de Acesso à Rede).

Servidor e proxy RADIUS

O NPS pode ser utilizado como servidor RADIUS, proxy RADIUS ou ambos.

Servidor RADIUS

O NPS corresponde à implementação da Microsoft da norma RADIUS especificada pelo IETF (Internet Engineering Task Force) nos RFCs 2865 e 2866. Enquanto servidor RADIUS, o NPS leva a cabo a autenticação de ligações, autorização e gestão de contas centralizadas para inúmeros tipos de acessos à rede, incluindo sem fios, por comutador de autenticação, acesso telefónico e acesso remoto por VPN (Rede Privada Virtual), bem como ligações entre routers.

O NPS permite a utilização de um conjunto heterogéneo de equipamento sem fios, comutadores, de acesso remoto ou VPN. Pode utilizar o NPS com o serviço Encaminhamento e Acesso Remoto, que está disponível no Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition.

Quando um servidor com o NPS é membro de um domínio do AD DS (Serviços de Domínio do Active Directory®), o NPS utiliza o serviço de directório como base de dados de contas de utilizador e faz parte de uma solução de início de sessão único. O mesmo conjunto de credenciais é utilizado para o controlo de acesso à rede (autenticando e autorizando o acesso a uma rede) e para iniciar sessão num domínio do AD DS.

Os ISPs (Internet service providers) e organizações responsáveis pela manutenção de acesso à rede enfrentam o desafio de terem de gerir todos os tipos de acesso à rede a partir de um único ponto de administração, independentemente do tipo de equipamento de acesso à rede utilizado. A norma RADIUS suporta esta funcionalidade em ambientes homogéneos e heterogéneos. O RADIUS é um protocolo cliente-servidor que permite que o equipamento de acesso à rede (utilizado como cliente RADIUS) submeta pedidos de autenticação e gestão de contas a um servidor RADIUS.

Um servidor RADIUS tem acesso a informações de contas de utilizadores e pode verificar credenciais de autenticação de acesso à rede. Se as credenciais do utilizador forem autenticadas e a tentativa de ligação for autorizada, o servidor RADIUS autoriza o acesso do utilizador com base em condições especificadas e, em seguida, regista a ligação de acesso à rede num registo de gestão de contas. A utilização do RADIUS permite que os dados de autenticação de utilizadores, autorização e gestão de contas de acesso à rede sejam recolhidos e mantidos numa localização central, em vez de em cada servidor de acesso.

Para mais informações, consulte Servidor RADIUS.

Proxy RADIUS

Como um proxy RADIUS, o NPS reencaminha mensagens de autenticação e gestão de contas para outros servidores RADIUS.

Com o NPS, as organizações também podem efectuar o outsourcing da infra-estrutura de acesso remoto para um fornecedor de serviços, retendo o controlo sobre a autenticação, autorização e gestão de contas.

É possível criar configurações do NPS para os seguintes cenários:

  • Acesso sem fios

  • Acesso remoto à organização por acesso telefónico ou VPN (virtual private network).

  • Acesso telefónico ou sem fios em outsourcing

  • Acesso à Internet

  • Acesso autenticado a recursos da extranet para parceiros comerciais

Para mais informações, consulte Proxy RADIUS.

Exemplos de configuração de servidor RADIUS e proxy RADIUS

Os exemplos de configuração seguintes demonstram como pode configurar o NPS como servidor RADIUS e proxy RADIUS.

NPS como servidor RADIUS. Neste exemplo, o NPS é configurado como um servidor RADIUS, a política de pedido de ligação predefinida é a única política configurada e todos os pedidos de ligação são processados pelo servidor NPS local. O servidor NPS pode autenticar e autorizar utilizadores cujas contas se encontrem no domínio do servidor NPS e em domínios fidedignos.

NPS como proxy RADIUS. Neste exemplo, o servidor NPS está configurado como um proxy RADIUS que reencaminha os pedidos de ligação para grupos de servidores RADIUS remotos em dois domínios não fidedignos. A política de pedido de ligação predefinida é eliminada e são criadas duas novas políticas de pedido de ligação para o reencaminhamento de pedidos para cada um dos dois domínios não fidedignos. Neste exemplo, o NPS não processa quaisquer pedidos de ligação no servidor local.

NPS como servidor e proxy RADIUS. Para além da política de pedido de ligação predefinida, que designa o processamento local dos pedidos de ligação, é criada uma nova política de pedido de ligação que reencaminha os pedidos de ligação para um servidor NPS ou outro servidor RADIUS num domínio não fidedigno. Esta segunda política é designada por política de Proxy. Neste exemplo, a política de Proxy aparece em primeiro lugar na lista ordenada de políticas. Se o pedido de ligação corresponder à política de Proxy, o pedido de ligação é reencaminhado para o servidor RADIUS existente no grupo de servidores RADIUS remoto. Se o pedido de ligação não corresponder à política de Proxy mas corresponder à política de pedido de ligação predefinida, o NPS processa o pedido de ligação no servidor local. Se o pedido de ligação não corresponder a nenhuma política, é rejeitado.

NPS como Servidor RADIUS com servidores remotos de gestão de contas. Neste exemplo, o servidor NPS local não está configurado para efectuar a gestão de contas e a política de pedido de ligação predefinida é revista, para que as mensagens de gestão de contas RADIUS sejam reencaminhadas para um servidor NPS ou outro servidor RADIUS num grupo de servidores RADIUS remotos. Apesar de as mensagens de gestão de contas serem reencaminhadas, as mensagens de autenticação e autorização não são reencaminhadas e o servidor NPS local efectua estas funções para o domínio local e para todos os domínios fidedignos.

NPS com RADIUS remoto para o Mapeamento de Utilizadores do Windows. Neste exemplo, o NPS funciona simultaneamente como um servidor RADIUS e um proxy RADIUS para cada pedido de ligação individual, reencaminhando o pedido de autenticação para um servidor RADIUS remoto enquanto utiliza uma conta de utilizador do Windows local para autorização. Esta configuração é implementada através da configuração do atributo RADIUS remoto para o Mapeamento de Utilizadores do Windows como uma condição da política de pedido de ligação. (Para além disso, é necessário criar uma conta de utilizador localmente no servidor RADIUS que tem o mesmo nome que a conta de utilizador remota relativamente à qual é efectuada a autenticação pelo servidor RADIUS remoto.)

Servidor de políticas NAP

O NAP está incluído no Windows Vista®, Windows® 7, Windows Server® 2008 e Windows Server® 2008 R2 e ajuda a proteger o acesso a redes privadas, garantindo que os computadores cliente estão configurados em conformidade com as políticas de estado de funcionamento de rede da organização antes de serem autorizados a ligar aos recursos da rede. Além disso, a conformidade do computador cliente com a política de estado de funcionamento é monitorizada pelo NAP enquanto o computador está ligado à rede. A utilização da remediação automática de NAP permite a actualização rápida dos computadores não conformes de modo a ficarem em conformidade com a política de estado de funcionamento e a poderem ligar à rede.

Os administradores de sistema definem e criam as políticas de estado de funcionamento de rede utilizando componentes do NAP fornecidos no NPS e, dependendo da implementação de NAP em questão, por outras empresas.

As políticas de estado de funcionamento pode incluir aspectos tais como requisitos de software, requisitos de actualizações de segurança e definições de configuração requeridas. O NAP impõe as políticas de estado de funcionamento inspeccionando e avaliando o estado de funcionamento dos computadores clientes, restringindo o acesso à rede quando os computadores cliente forem considerados incompatíveis e corrigindo os computadores cliente não compatíveis para acesso ilimitado à rede.

Para mais informações, consulte Protecção de Acesso à Rede no NPS.

Consulte Também


Sumário