O NPS (Servidor de Políticas de Rede) pode ser utilizado como um proxy RADIUS para fornecer o encaminhamento de mensagens RADIUS entre servidores de acesso a clientes RADIUS e servidores RADIUS que levam a cabo a autenticação, autorização e gestão de contas de utilizador para a tentativa de ligação. Quando utilizado como um proxy RADIUS, o NPS é um ponto de comutação ou encaminhamento central através do qual as mensagens de acesso e gestão de contas RADIUS fluem. O NPS regista as informações sobre as mensagens reencaminhadas num registo de gestão de contas.

A ilustração seguinte mostra o NPS como um proxy RADIUS entre clientes RADIUS (servidores de acesso) e servidores RADIUS ou outro proxy RADIUS.

NPS como proxy RADIUS

Quando o NPS é utilizado como um proxy RADIUS entre um cliente RADIUS e um servidor RADIUS, as mensagens RADIUS das tentativas de ligação com acesso de rede são reencaminhadas da seguinte forma:

  1. Os servidores de acesso, tal como os servidores de acesso telefónica à rede, servidores VPN (Virtual Private Network) e pontos de acesso sem fios, recebem pedidos de ligação dos clientes de acesso.

  2. O servidor de acesso, configurado para utilizar o RADIUS como protocolo de autenticação, autorização e gestão de contas, cria uma mensagem Access-Request e envia-a ao servidor NPS utilizado como proxy NPS RADIUS.

  3. O proxy NPS RADIUS recebe a mensagem Access-Request e, com base nas políticas de pedido de ligação configuradas localmente, determina para onde deve reencaminhar a mensagem Access-Request.

  4. O proxy NPS RADIUS reencaminha a mensagem Access-Request para o servidor RADIUS adequado.

  5. O servidor RADIUS avalia a mensagem Access-Request.

  6. Se for necessário, o servidor RADIUS envia uma mensagem Access-Challenge ao proxy NPS RADIUS para que seja reencaminhada para o servidor de acesso. O servidor de acesso processar o desafio com o cliente de acesso e enviar uma mensagem Access-Request actualizada ao proxy NPS RADIUS para que seja reencaminhada para o servidor RADIUS.

  7. O servidor RADIUS autentica e autoriza o pedido de ligação.

  8. Se a tentativa de ligação for autenticada e autorizada, o servidor RADIUS envia uma mensagem Access-Accept ao proxy NPS RADIUS para que seja reencaminhada para o servidor de acesso.

    Se a tentativa de ligação não for autenticada nem autorizada, o servidor RADIUS envia uma mensagem Access-Reject ao proxy NPS RADIUS para que seja reencaminhada para o servidor de acesso.

  9. O servidor de acesso conclui o processo de ligação com o cliente de acesso e envia uma mensagem Accounting-Request ao proxy NPS RADIUS. O proxy NPS RADIUS regista os dados de gestão de contas e reencaminha a mensagem para o servidor RADIUS.

  10. O servidor RADIUS envia uma mensagem Accounting-Responde ao proxy NPS RADIUS para que seja reencaminhada para o servidor de acesso.

Pode utilizar o NPS como um proxy RADIUS quando:

  • É um fornecedor de serviços que oferece serviços de acesso telefónico à rede, VPN ou sem fios em regime de outsourcing a diversos clientes. Os servidores NAS enviam pedidos de ligação para o proxy RADIUS do NPS. Como base na parte de realm do nome de utilizador do pedido de ligação, o proxy NPS RADIUS reencaminha o pedido de ligação para um servidor RADIUS mantido pelo cliente e que pode autenticar e autorizar o pedido de ligação.

  • Pretende fornecer autenticação e autorização para contas de utilizador que não são membros do domínio no qual o servidor NPS é um membro ou num domínio que tem uma fidedignidade bidireccional com o domínio no qual o servidor NPS é um membro. Isto inclui contas em domínios não fidedignos, domínios fidedignos unidireccionais e outras florestas. Em vez de configurar os servidores de acesso para enviarem os respectivos pedidos de ligação para um servidor NPS RADIUS, pode configurá-los para enviarem os pedidos de ligação para um proxy NPS RADIUS. O proxy NPS RADIUS utiliza a parte do nome de realm do nome de utilizador e reencaminha o pedido para um servidor NPS no domínio ou floresta correcto. As tentativas de ligação para contas de utilizador num domínio ou floresta podem ser autenticadas para os servidores NAS noutro domínio ou floresta.

  • Pretende executar a autenticação e a autorização através da utilização de uma base de dados que não é uma base de dados de contas do Windows. Neste caso, os pedidos de ligação que correspondem a um nome de realm especificado são reencaminhados para um servidor RADIUS, que tem acesso a uma base de dados diferente de contas de utilizador e dados de autorização. Exemplos de outras bases de dados de utilizador incluem NDS (Novell Directory Services) e SQL (Structured Query Language).

  • Pretende processar um grande número de pedidos de ligação. Neste caso, em vez de configurar os clientes RADIUS para tentar balancear os respectivos pedidos de ligação e gestão de contas nos diversos servidores RADIUS, pode configurá-los para enviarem os respectivos pedidos de ligação e gestão de contas para um proxy NPS RADIUS. O proxy NPS RADIUS balanceia dinamicamente a carga de pedidos de ligação e gestão de contas em diversos servidores RADIUS e aumenta o processamento de grandes números de clientes e autenticações RADIUS por segundo.

  • Pretende fornecer autenticação e autorização RADIUS para fornecedores de serviços em outsourcing e minimizar a configuração da firewall da intranet. Uma firewall de intranet opera entre a rede de perímetro (a rede entre a intranet e a Internet) e a intranet. Ao colocar um servidor NPS na rede de perímetro, a firewall entre a rede de perímetro e a intranet tem de permitir o fluxo de tráfego entre o servidor NPS e os diversos controladores de domínio. Ao substituir o servidor NPS por um proxy NPS, a firewall tem de permitir apenas o fluxo de tráfego RADIUS entre o proxy NPS e um ou mais servidores NPS na intranet.


Sumário