Clientes RADIUS
Um NAS (servidor de acesso à rede) é um dispositivo que fornece algum nível de acesso a uma rede maior. Um NAS que usa uma infraestrutura do RADIUS também é um cliente do RADIUS, enviando solicitações de conexão e mensagens de contabilidade para um servidor RADIUS para autenticação, autorização e contabilidade.
Observação
Computadores cliente, como laptops sem fio e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Clientes RADIUS são servidores de acesso à rede, como pontos de acesso sem fio, comutadores de autenticação 802.1X, servidores de VPN (rede virtual privada) e servidores dial-up, pois usam o protocolo RADIUS para se comunicar com servidores RADIUS, como servidores NPS (Servidor de Políticas de Rede).
Para implantar o NPS como um servidor RADIUS ou um proxy RADIUS, configure clientes RADIUS no NPS.
Exemplos de cliente RADIUS
São exemplos de servidores de acesso à rede:
- Servidores de acesso à rede que fornecem conectividade de acesso remoto a uma rede organizacional ou à Internet. Um exemplo é um computador que executa o sistema operacional Windows Server 2016 e o serviço de Acesso Remoto, que fornece serviços tradicionais de acesso remoto de VPN (rede virtual privada) ou dial-up para uma intranet da organização.
- Pontos de acesso sem fio que fornecem acesso de camada física a uma rede da organização usando tecnologias de transmissão e recepção sem fio.
- Comutadores que fornecem acesso de camada física à rede de uma organização usando tecnologias de LAN tradicionais, como Ethernet.
- Proxies RADIUS que encaminham solicitações de conexão para servidores RADIUS que são membros de um grupo de servidores RADIUS remotos configurado no proxy RADIUS.
Mensagens de solicitação de acesso RADIUS
Os clientes RADIUS criam mensagens de solicitação de acesso RADIUS e as encaminham para um proxy RADIUS ou servidor RADIUS, ou encaminham mensagens de solicitação de acesso para um servidor RADIUS que receberam de outro cliente RADIUS, mas que não criaram por conta própria.
Os clientes RADIUS não processam mensagens de solicitação de acesso executando autenticação, autorização e contabilidade. Somente servidores RADIUS executam essas funções.
No entanto, o NPS pode ser configurado como um proxy RADIUS e um servidor RADIUS simultaneamente, de modo que processa algumas mensagens de solicitação de acesso e encaminha outras.
NPS como um cliente RADIUS
O NPS atua como um cliente RADIUS quando você o configura como um proxy RADIUS para encaminhar mensagens de solicitação de acesso para outros servidores RADIUS para processamento. Quando você usa o NPS como um proxy RADIUS, as seguintes etapas gerais de configuração são necessárias:
Servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, são configurados com o endereço IP do proxy NPS como o servidor RADIUS designado ou o servidor de autenticação. Isso permite que os servidores de acesso à rede, que criam mensagens de solicitação de acesso com base nas informações que recebem dos clientes de acesso, encaminhem mensagens para o proxy NPS.
O proxy NPS é configurado adicionando cada servidor de acesso à rede como um cliente RADIUS. Essa etapa de configuração permite que o proxy NPS receba mensagens dos servidores de acesso à rede e se comunique com eles durante toda a autenticação. Além disso, as políticas de solicitação de conexão no proxy NPS são configuradas para especificar quais mensagens de solicitação de acesso devem ser encaminhadas para um ou mais servidores RADIUS. Essas políticas também são configuradas com um grupo de servidores RADIUS remotos, que informa ao NPS para onde enviar as mensagens recebidas dos servidores de acesso à rede.
O NPS ou outros servidores RADIUS que são membros do grupo de servidores RADIUS remotos no proxy NPS são configurados para receber mensagens do proxy NPS. Isso é feito configurando o proxy NPS como um cliente RADIUS.
Propriedades do cliente RADIUS
Ao adicionar um cliente RADIUS à configuração do NPS por meio do console do NPS ou usando os comandos netsh para comandos NPS ou do Windows PowerShell, você está configurando o NPS para receber mensagens de solicitação de acesso RADIUS de um servidor de acesso à rede ou de um proxy RADIUS.
Ao configurar um cliente RADIUS no NPS, você pode designar as seguintes propriedades:
Nome do cliente
Um nome amigável para o cliente RADIUS, que facilita a identificação ao usar comandos netsh ou o suplemento do NPS para o NPS.
Endereço IP
O endereço IPv4 (Protocolo de Internet versão 4) ou o nome DNS (Sistema de Nomes de Domínio) do cliente RADIUS.
Fornecedor do cliente
O fornecedor do cliente RADIUS. Caso contrário, você pode usar o valor padrão do RADIUS para o fornecedor do cliente.
Segredo compartilhado
Uma cadeia de caracteres de texto usada como senha entre clientes RADIUS, servidores RADIUS e proxies RADIUS. Quando o atributo Autenticador de Mensagem é usado, o segredo compartilhado também é usado como a chave para criptografar mensagens RADIUS. Essa cadeia de caracteres precisa ser configurada no cliente RADIUS e no suplemento do NPS.
Atributo Autenticador de Mensagem
Descrito no RFC 2869, "Extensões RADIUS", um hash do Message Digest 5 (MD5) de toda a mensagem RADIUS. Se o atributo Message Authenticator do RADIUS estiver presente, ele será verificado. Se a verificação dele falhar, a mensagem RADIUS será descartada. Se as configurações do cliente exigirem o atributo Message Authenticator e ele não estiver presente, a mensagem RADIUS será descartada. O uso do atributo Message Authenticator é recomendado.
Observação
O atributo Message Authenticator é obrigatório e é habilitado por padrão quando você usa a autenticação EAP (Protocolo de Autenticação Extensível).
Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).