Nomi aree di autenticazione

È possibile usare questo argomento per una panoramica dell'uso dei nomi dell'area di autenticazione nell'elaborazione delle richieste di connessione del server dei criteri di rete.

L'attributo RADIUS User-Name è una stringa di caratteri che in genere contiene una posizione dell'account utente e un nome account utente. Il percorso dell'account utente è detto anche area di autenticazione o nome dell'area di autenticazione ed è sinonimo del concetto di dominio, inclusi domini DNS, domini di Active Directory® e domini di Windows NT 4.0. Ad esempio, se un account utente si trova nel database degli account utente per un dominio denominato example.com, example.com è il nome dell'area di autenticazione.

In un altro esempio, se l'attributo RADIUS User-Name contiene il nome utente user1@example.com, user1 è il nome dell'account utente e example.com è il nome dell'area di autenticazione. I nomi dell'area di autenticazione possono essere presentati nel nome utente come prefisso o come suffisso:

• Example\user1. In questo esempio, il nome dell'area di autenticazione Example è un prefisso ed è anche il nome di un dominio di Active Directory® Domain Services (AD DS).

• user1@example.com. In questo esempio, il nome dell'area di autenticazione example.com è un suffisso e si tratta di un nome di dominio DNS o del nome di un dominio di Active Directory Domain Services.

È possibile usare i nomi dell'area di autenticazione configurati nei criteri di richiesta di connessione durante la progettazione e la distribuzione dell'infrastruttura RADIUS per garantire che le richieste di connessione vengano instradate dai client RADIUS, detti anche server di accesso alla rete, ai server RADIUS in grado di autenticare e autorizzare la richiesta di connessione.

Quando NPS è configurato come server RADIUS con i criteri di richiesta di connessione predefiniti, NPS elabora le richieste di connessione per il dominio in cui il server dei criteri di rete è un membro e per i domini attendibili.

Per configurare NPS in modo da fungere da proxy RADIUS e inoltrare le richieste di connessione a domini non attendibili, è necessario creare un nuovo criterio di richiesta di connessione. Nei nuovi criteri di richiesta di connessione è necessario configurare l'attributo User Name con il nome dell'area di autenticazione che sarà contenuto nell'attributo User-Name delle richieste di connessione da inoltrare. È inoltre necessario configurare i criteri di richiesta di connessione con un gruppo di server RADIUS remoto. I criteri di richiesta di connessione consentono a NPS di calcolare le richieste di connessione da inoltrare al gruppo di server RADIUS remoto in base alla parte dell'area di autenticazione dell'attributo User-Name.

Acquisizione del nome dell'area di autenticazione

La parte del nome dell'area di autenticazione del nome utente viene specificata quando l'utente digita credenziali basate su password durante un tentativo di connessione o quando un profilo di Gestione connessioni (CM) nel computer dell'utente è configurato per fornire automaticamente il nome dell'area di autenticazione.

È possibile designare che gli utenti della rete forniscano il nome dell'area di autenticazione durante i tentativi di connessione di rete.

Ad esempio, è possibile richiedere agli utenti di digitare il nome utente, incluso il nome dell'account utente e il nome dell'area di autenticazione, in Nome utente nella finestra di dialogo Connessione quando si effettua una connessione di rete privata virtuale o remota.

Inoltre, se si crea un pacchetto di composizione personalizzato con CMAK (Connection Manager Administration Kit) è possibile aiutare gli utenti aggiungendo automaticamente il nome dell'area di autenticazione al nome dell'account utente nei profili CM installati nei computer degli utenti. Ad esempio, è possibile specificare un nome dell'area di autenticazione e una sintassi del nome utente nel profilo CM in modo che l'utente debba specificare solo il nome dell'account utente durante la digitazione delle credenziali. In questa circostanza, l'utente non deve conoscere o ricordare il dominio in cui si trova l'account utente.

Durante il processo di autenticazione, dopo che gli utenti digitano le credenziali basate su password, il nome utente viene passato dal client di accesso al server di accesso alla rete. Il server di accesso alla rete costruisce una richiesta di connessione e include il nome dell'area di autenticazione all'interno dell'attributo RADIUS nome utente nel messaggio di richiesta di accesso inviato al proxy o al server RADIUS.

Se il server RADIUS è un server NPS, il messaggio di richiesta di accesso viene valutato rispetto al set di criteri di richiesta di connessione configurati. Le condizioni per i criteri di richiesta di connessione possono includere la specifica del contenuto dell'attributo User-Name.

È possibile configurare un set di criteri di richiesta di connessione specifici per il nome dell'area di autenticazione all'interno dell'attributo User-Name dei messaggi in arrivo. In questo modo, è possibile creare regole di routing che inoltrano messaggi RADIUS con un nome di area di autenticazione specifico a un set specifico di server RADIUS quando server dei criteri di rete viene usato come proxy RADIUS.

Regole di manipolazione degli attributi

Prima che il messaggio RADIUS venga elaborato localmente (quando NPS viene usato come server RADIUS) o inoltrato a un altro server RADIUS (quando NPS viene usato come proxy RADIUS), l'attributo User-Name nel messaggio può essere modificato dalle regole di manipolazione degli attributi. È possibile configurare le regole di modifica degli attributi per l'attributo User-Name selezionando Nome utente nella scheda Condizioni nelle proprietà di un criterio di richiesta di connessione. Le regole di manipolazione degli attributi NPS usano la sintassi delle espressioni regolari.

È possibile configurare le regole di manipolazione degli attributi per l'attributo User-Name per modificare quanto segue:

• Rimuovere il nome dell'area di autenticazione dal nome utente (noto anche come rimozione dell'area di autenticazione). Ad esempio, il nome utente user1@example.com viene modificato in user1.

• Modificare il nome dell'area di autenticazione ma non la relativa sintassi. Ad esempio, il nome utente user1@example.com viene modificato in user1@wcoast.example.com.

• Modificare la sintassi del nome dell'area di autenticazione. Ad esempio, il nome utente example\user1 viene modificato in user1@example.com.

Dopo aver modificato l'attributo User-Name in base alle regole di modifica degli attributi configurate, vengono usate impostazioni aggiuntive dei primi criteri di richiesta di connessione corrispondenti per determinare se:

• NPS elabora il messaggio di richiesta di accesso in locale (quando NPS viene usato come server RADIUS).

• NPS inoltra il messaggio a un altro server RADIUS (quando NPS viene usato come proxy RADIUS).

Configurazione del nome di dominio fornito da NPS

Quando il nome utente non contiene un nome di dominio, NPS ne fornisce uno. Per impostazione predefinita, il nome di dominio fornito da NPS è il dominio di cui NPS è membro. È possibile specificare il nome di dominio fornito da NPS tramite l'impostazione del registro seguente:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name:  DefaultDomain
Type:  REG_SZ
Value: the FQDN for the domain, like test.contoso.com

Alcuni server di accesso alla rete non Microsoft eliminano o modificano il nome di dominio come specificato dall'utente. Di conseguenza, la richiesta di accesso alla rete viene autenticata nel dominio predefinito, che potrebbe non essere il dominio per l'account dell'utente. Per risolvere questo problema, configurare i server RADIUS per modificare il nome utente nel formato corretto con il nome di dominio accurato.