Acceso telefónico externo y un proxy en la red perimetral

En este tema se describe cómo se puede utilizar IAS como proxy RADIUS para reenviar mensajes entre los proxy RADIUS de un proveedor de servicio telefónico externo y servidores RADIUS en la intranet de una organización. El proveedor de servicio externo ofrece Puntos de presencia (POP, <i>Points of Presence</i>) universales, a los que pueden llamar los empleados de una organización. Cuando finaliza la llamada, el equipo del empleado se conecta a la intranet de la organización.

En este tema se describe una configuración para una organización que utiliza:

• Dos servidores IAS.
  
  Se utilizan dos servidores IAS (uno principal y otro secundario) para ofrecer tolerancia a errores para la autenticación, la autorización y la administración de cuentas basadas en RADIUS. Si sólo se configura un servidor RADIUS y éste deja de estar disponible, los usuarios de acceso telefónico y VPN no se podrán conectar. Si se utilizan dos servidores IAS y se configuran los proxies IAS principal y secundario en la red perimetral para los servidores IAS principal y secundario, los proxies IAS podrán detectar cuándo el servidor principal RADIUS no está disponible y conmutar por error automáticamente al servidor IAS secundario.
  
  
• Dominios de Active Directory.
  
  Los dominios de Active Directory contienen las propiedades de las cuentas de usuario, de las contraseñas y del acceso telefónico que requiere cada servidor IAS para autenticar credenciales de usuario y evaluar las restricciones de autorización y de conexión. Para optimizar los tiempos de respuesta de autenticación y autorización de IAS y reducir el tráfico de red, IAS se instala en controladores de dominio.
  
  
• Directivas personalizadas de acceso remoto. Las directivas de acceso remoto se configuran para especificar los diferentes tipos de restricción de conexión de los usuarios en función de la pertenencia a grupos.
  
  
• Dos proxies IAS en la red perimetral.
  
  Para simplificar la configuración del servidor de seguridad de intranet, se utilizan proxies IAS en la red perimetral en lugar de servidores IAS. Cuando se utilizan servidores IAS en la red perimetral, debe configurar los servidores IAS con dos adaptadores de red (uno conectado a la red perimetral y el otro a la intranet), o bien configurar el servidor de seguridad de intranet para permitir el tráfico de Active Directory entre los servidores IAS de la red perimetral y todos los controladores de dominio de la intranet. Si se sustituyen los servidores IAS por proxies IAS, los equipos proxy IAS no necesitan dos adaptadores de red. Además, sólo es necesario configurar el servidor de seguridad de intranet para que permita el tráfico RADIUS entre los proxies IAS de la red perimetral y los servidores IAS de la intranet.
  
  Se utilizan dos proxy IAS en la red perimetral para proporcionar tolerancia a errores de las solicitudes RADIUS que se envían desde los proxies del proveedor de servicio.
  
  
• Connection Manager.
  
  Para automatizar el marcado al proveedor de servicio, se utiliza Connection Manager para crear un perfil con todos los números de teléfono de los POP del proveedor de servicio. Los usuarios de acceso remoto seleccionan la ubicación desde donde marcan y después seleccionan el número de teléfono adecuado (POP) en la libreta de teléfonos del perfil de servicio de Connection Manager del proveedor de servicio. El usuario de acceso remoto se conecta con el servidor de acceso telefónico del proveedor de servicio a través del Protocolo de autenticación por desafío mutuo (CHAP, <i>Challenge Handshake Authentication Protocol</i>). La parte del nombre de territorio del nombre de usuario la utilizan los proxies del proveedor de servicio para reenviar las solicitudes de autenticación a un proxy IAS de la red perimetral de la organización.
  
  

En este tema se describe también una configuración para un proveedor de servicio que utiliza:

• Dos proxies IAS en la red del proveedor de servicio.
  
  El proveedor de servicio utiliza proxy RADIUS en su red para reenviar mensajes de solicitud RADIUS entre los servidores de acceso telefónico del proveedor de servicio y los servidores o proxy RADIUS de varios clientes a través de Internet. Se utilizan dos proxy IAS para proporcionar tolerancia a errores para la autenticación RADIUS.
  
  
• Servidores de acceso telefónico.
  
  Los servidores de acceso telefónico constan de equipos que ejecutan:
  
  
  • Windows Server 2003, Standard Edition
    
    
  • Windows Server 2003, Enterprise Edition
    
    
  • Windows Server 2003, Datacenter Edition
    
    
  • Windows 2000 y el servicio Enrutamiento y acceso remoto
    
    
  • Dispositivos de servidor de acceso a redes (NAS) de otros fabricantes
    
    

En la siguiente ilustración se muestra la configuración de acceso telefónico externo mediante proxies IAS en la intranet de la organización.

Nota

• En este tema sólo se describe cómo configurar IAS. No se describe la configuración de dominios de Active Directory ni de Connection Manager. Para obtener más información acerca de cómo implementar esos componentes, vea los temas de la Ayuda correspondientes.
  
  

Para configurar IAS en este ejemplo, realice los siguientes pasos:

• Configure Active Directory para grupos y cuentas de usuario.
  
  
• Configure el servidor IAS principal en un controlador de dominio.
  
  
• Configure el servidor IAS secundario en un controlador de dominio diferente.
  
  
• Configure la autenticación y la administración de cuentas RADIUS en servidores VPN.
  
  
• Configure el servidor IAS principal en la red perimetral.
  
  
• Configure el servidor IAS secundario en la red perimetral.
  
  
• Configure los servidores de seguridad de intranet e Internet para que admitan tráfico de RADIUS.
  
  
• Configure el proxy IAS principal en el proveedor de servicios.
  
  
• Configure el proxy IAS secundario en el proveedor de servicios.
  
  
• Configure la administración de cuentas y la autenticación RADIUS en los servidores de acceso telefónico en el proveedor de servicios.
  
  

Para configurar grupos y cuentas de usuario, haga lo siguiente:

1. Asegúrese de que todos los usuarios que realizan conexiones de acceso remoto tienen la cuenta de usuario correspondiente.
   
   
2. Administre el acceso de red por grupo estableciendo el permiso de acceso remoto en las cuentas de usuario en Controlar acceso a través de la directiva de acceso remoto. Para obtener más información, vea Configurar permisos de acceso remoto para un usuario.
   
   
3. Organice a los usuarios de acceso remoto en los grupos universales y anidados apropiados para aprovechar las directivas de acceso remoto basadas en grupos. Para obtener más información, vea Ámbito de grupo.
   
   
4. Como el proveedor de servicio externo requiere el uso de la autenticación del Protocolo de autenticación por desafío mutuo (CHAP) para la conexión de acceso telefónico, debe habilitar la compatibilidad con contraseñas de cifrado reversible en los dominios correspondientes. Para obtener más información, vea Habilitar las contraseñas con cifrado reversible en un dominio.
   
   

Para configurar el servidor IAS principal en un controlador de dominio, haga lo siguiente:

1. En el controlador de dominio, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS.
   
   
2. Configure el equipo servidor IAS (el controlador de dominio) para leer las propiedades de cuentas de usuario en el dominio. Para obtener más información, vea Habilitar el servidor IAS para leer cuentas de usuario en Active Directory.
   
   
3. Si el servidor IAS autentica intentos de conexión de cuentas de usuario en otros dominios, compruebe que los otros dominios tengan confianza bidireccional con el dominio del que forma parte el equipo servidor IAS. A continuación, configure el equipo servidor IAS para leer las propiedades de cuentas de usuario en otros dominios. Para obtener más información, vea Habilitar el servidor IAS para leer cuentas de usuario en Active Directory. Para obtener más información acerca de las relaciones de confianza, vea Dirección de la confianza.
   
   Si el servidor IAS autentica intentos de conexión de cuentas de usuario en otros dominios y esos dominios no tienen confianza bidireccional con el dominio del que forma parte el equipo servidor IAS, vea Autenticación entre bosques.
   
   
4. Habilite el registro de archivos para sucesos de administración de cuentas y de autenticación. Para obtener más información, vea Configurar las propiedades de los archivos de registro.
   
   
5. Agregue los proxies IAS de la red perimetral como clientes RADIUS del servidor IAS. Para obtener más información, vea Agregar clientes RADIUS. Compruebe que esté configurando el nombre o la dirección IP y los secretos compartidos correctos. Para obtener más información, vea Secretos compartidos.
   
   
6. Cree directivas de acceso remoto que reflejen con precisión el uso del acceso remoto.
   
   Por ejemplo, para configurar una directiva de acceso remoto personalizada que permita a los miembros del grupo Contratistas conectarse de 8:00 a.m. a 5:00 p.m., de lunes a viernes, utilice el Asistente para nueva directiva de acceso remoto para crear una nueva directiva de acceso remoto personalizada con la siguiente configuración:
   
   
   • Nombre de directiva: Conexiones de contratistas
     
     
   • Condiciones: Windows-Groups coincide con Contratistas
     
     
   • Permiso: Conceder permiso de acceso remoto
     
     
   • Configuración de perfil, ficha Restricciones de marcado: Permitir acceso sólo en estos días y horas se establece en 8:00 a.m. a 5:00 p.m., de lunes a viernes.
     
     
   Para configurar una directiva de acceso remoto que exija que los miembros del grupo Ejecutivos utilicen la autenticación EAP-TLS y el cifrado de 128 bits, utilice el Asistente para nueva directiva de acceso remoto para crear una directiva de acceso remoto común con la siguiente configuración:
   
   
   • Nombre de directiva: Conexiones de alta seguridad para ejecutivos
     
     
   • Método de acceso: Acceso telefónico
     
     
   • Usuario o grupo: Seleccione Grupo y, a continuación, especifique el grupo Ejecutivos (ejemplo).
     
     
   • Métodos de autenticación: Seleccione Protocolo de autenticación extensible (EAP) y, en Tipo, seleccione Tarjeta inteligente u otro certificado. Si tiene varios certificados de equipo, haga clic en Configurar, seleccione el certificado de equipo adecuado y, a continuación, desactive todas las demás casillas de verificación.
     
     
   • Nivel de cifrado de directiva: Active la casilla de verificación Cifrado de la más alta seguridad (MPPE de 128 bits) y, a continuación, desactive las demás casillas de verificación.
     
     
   Para obtener más ejemplos de directivas de acceso remoto, vea Ejemplos de directivas de acceso remoto.
   
   Si ha creado nuevas directivas de acceso remoto, elimine las directivas de acceso remoto predeterminadas o asegúrese de que son las últimas que se evalúan. Para obtener más información, vea Eliminar una directiva de acceso remoto y Cambiar el orden de evaluación de las directivas.
   
   

Para configurar el servidor IAS secundario en un controlador de dominio diferente, haga lo siguiente:

1. En el otro controlador de dominio, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS.
   
   
2. Configure el equipo servidor IAS secundario (el otro controlador de dominio) para leer las propiedades de cuentas de usuario en el dominio. Para obtener más información, vea Habilitar el servidor IAS para leer cuentas de usuario en Active Directory.
   
   
3. Si el servidor IAS secundario autentica intentos de conexión de cuentas de usuario en otros dominios, compruebe que los otros dominios tengan confianza bidireccional con el dominio del que forma parte el equipo servidor IAS secundario. A continuación, configure el equipo servidor IAS secundario para leer las propiedades de cuentas de usuario en otros dominios. Para obtener más información, vea Habilitar el servidor IAS para leer cuentas de usuario en Active Directory. Para obtener más información acerca de las relaciones de confianza, vea Dirección de la confianza.
   
   Si el servidor IAS secundario autentica intentos de conexión de cuentas de usuario en otros dominios y esos dominios no tienen confianza bidireccional con el dominio del que forma parte el equipo servidor IAS secundario, vea Autenticación entre bosques.
   
   
4. Copie la configuración del servidor IAS principal al servidor IAS secundario. Para obtener más información, vea Copiar la configuración de IAS a otro servidor.
   
   

Para configurar cada servidor VPN de modo que utilice los servidores IAS principal y secundario para la autenticación, la autorización y la administración de cuentas de conexiones de acceso remoto, haga lo siguiente:

1. Si el servidor VPN es un equipo que ejecuta Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition o Windows 2000 y el servicio Enrutamiento y acceso remoto, configure los servidores IAS principal y secundario de la red perimetral como servidores RADIUS, tanto para la autenticación como para la administración de cuentas RADIUS. Para obtener más información, vea Utilizar la autenticación RADIUS y Utilizar cuentas RADIUS.
   
   
2. Si el servidor VPN es un equipo que ejecuta Windows NT Server 4.0 y el servicio Enrutamiento y acceso remoto (RRAS), vea la Ayuda en pantalla de Windows NT Server 4.0 para obtener instrucciones acerca de cómo configurar los servidores IAS principal y secundario como servidores RADIUS para la autenticación RADIUS.
   
   
3. Si el servidor VPN es un servidor de acceso a redes (NAS) de otro fabricante, consulte la documentación de NAS para determinar cómo configurarlo como cliente RADIUS con los dos servidores RADIUS (los servidores IAS principal y secundario).
   
   

Para configurar el servidor IAS principal en la red perimetral, haga lo siguiente:

1. En un equipo que ejecute Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la red perimetral, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS. No es necesario que el equipo en el que está instalado IAS esté dedicado a reenviar mensajes de RADIUS. Puede instalar IAS en un servidor Web, de archivos o DNS.
   
   
2. Si es necesario, configure puertos UDP adicionales para los mensajes RADIUS enviados por los proxy RADIUS del proveedor de servicio. Para obtener más información, vea Configurar la información de los puertos IAS. De manera predeterminada, IAS utiliza los puertos UDP 1812 y 1645 para la autenticación y los puertos 1813 y 1646 para las cuentas.
   
   
3. Agregue los proxy RADIUS del proveedor de servicios como clientes RADIUS del servidor IAS. Para obtener más información, vea Agregar clientes RADIUS. Compruebe que esté configurando el nombre o la dirección IP y los secretos compartidos correctos. Para obtener más información, vea Secretos compartidos.
   
   
4. Cree una directiva de solicitud de conexión que reenvíe mensajes de solicitud RADIUS según el nombre de territorio de la organización.
   
   Utilice el Asistente para nueva directiva de solicitud de conexión para crear una directiva de solicitud de conexión que reenvíe solicitudes de conexión a un grupo de servidores remotos RADIUS y donde el nombre de territorio coincida con el nombre de territorio de las cuentas de usuario de la organización. Desactive la casilla de verificación que quita el nombre de territorio para la autenticación. En el Asistente para nueva directiva de solicitud de conexión, utilice el Asistente para nuevo grupo de servidores remotos RADIUS para crear un grupo de servidores remotos RADIUS con miembros que incluyan los dos servidores IAS de la intranet.
   
   Para obtener más información, vea Agregar una directiva de solicitud de conexión.
   
   
5. Elimine la directiva de solicitud de conexión predeterminada llamada Usar autenticación de Windows para todos los usuarios. Para obtener más información, vea Eliminar una directiva de solicitud de conexión.
   
   

Para configurar el proxy IAS secundario en otro equipo de la red perimetral, haga lo siguiente:

1. En otro equipo que ejecute Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la red perimetral, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS.
   
   
2. Copie la configuración del proxy IAS principal en el proxy IAS secundario de la red perimetral. Para obtener más información, vea Copiar la configuración de IAS a otro servidor.
   
   

Para configurar los servidores de seguridad de intranet e Internet para que admitan tráfico de RADIUS, haga lo siguiente:

1. Configure el servidor de seguridad de la intranet para que permita el tráfico RADIUS entre los proxies IAS de la red perimetral y los servidores IAS de la intranet.
   
   
2. Configure el servidor de seguridad de Internet para que permita el tráfico RADIUS entre los proxies IAS de la red perimetral y los proxies IAS de la red del proveedor de servicio.
   
   Para obtener más información, vea IAS y servidores de seguridad
   
   

Para configurar el proxy IAS principal en el proveedor de servicios, haga lo siguiente:

1. En un equipo que ejecute Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la red del proveedor de servicio, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS. No es necesario que el equipo en el que está instalado IAS esté dedicado a reenviar mensajes de RADIUS. Puede instalar IAS en un servidor Web, de archivos o DNS.
   
   
2. Si es necesario, configure puertos UDP adicionales para los mensajes de autenticación y administración de cuentas enviados por los servidores de acceso telefónico del proveedor de servicio. Para obtener más información, vea Configurar la información de los puertos IAS. De manera predeterminada, IAS utiliza los puertos UDP 1812 y 1645 para la autenticación y los puertos 1813 y 1646 para las cuentas.
   
   
3. Agregue los servidores de acceso telefónico del proveedor de servicio como clientes RADIUS del proxy IAS. Para obtener más información, vea Agregar clientes RADIUS. Compruebe que esté configurando el nombre o la dirección IP y los secretos compartidos correctos. Para obtener más información, vea Secretos compartidos.
   
   
4. Cree una directiva de solicitud de conexión que reenvíe mensajes de solicitud RADIUS según el nombre de territorio del cliente del proveedor de servicio.
   
   Utilice el Asistente para nueva directiva de solicitud de conexión para crear una directiva de solicitud de conexión que reenvíe solicitudes de conexión a un grupo de servidores remotos RADIUS y donde el nombre de territorio coincida con el nombre de territorio de la organización del cliente. Desactive la casilla de verificación que quita el nombre de territorio para la autenticación. En el Asistente para nueva directiva de solicitud de conexión, utilice el Asistente para nuevo grupo de servidores remotos RADIUS para crear un grupo de servidores remotos RADIUS con miembros que incluyan los dos proxies IAS en la red perimetral del cliente.
   
   Para obtener más información, vea Agregar una directiva de solicitud de conexión.
   
   
5. Elimine la directiva de solicitud de conexión predeterminada llamada Usar autenticación de Windows para todos los usuarios. Para obtener más información, vea Eliminar una directiva de solicitud de conexión.
   
   

Para configurar el proxy IAS secundario en otro equipo de la red perimetral, haga lo siguiente:

1. En otro equipo que ejecute Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la red del proveedor de servicio, instale IAS como componente de red opcional. Para obtener más información, vea Instalar IAS.
   
   
2. Copie la configuración del proxy IAS principal en el proxy IAS secundario de la red del proveedor de servicio. Para obtener más información, vea Copiar la configuración de IAS a otro servidor.
   
   

Para configurar cada servidor de acceso telefónico de modo que utilice los proxies IAS principal y secundario de la red del proveedor de servicio para la autenticación, la autorización y la administración de cuentas de las conexiones de acceso telefónico, haga lo siguiente:

1. Si el servidor VPN o de acceso telefónico es un equipo que ejecuta Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition o Windows 2000 y el servicio Enrutamiento y acceso remoto, configure los proxies IAS principal y secundario de la red del proveedor de servicio como servidores RADIUS, tanto para la autenticación como para la administración de cuentas RADIUS. Para obtener más información, vea Utilizar la autenticación RADIUS y Utilizar cuentas RADIUS.
   
   
2. Si el servidor VPN o de acceso telefónico es un equipo que ejecuta Windows NT Server 4.0 y el servicio Enrutamiento y acceso remoto (RRAS), vea la Ayuda en pantalla de Windows NT Server 4.0 para obtener información acerca de cómo configurar los proxies IAS principal y secundario de la red del proveedor de servicio como servidores RADIUS para la autenticación RADIUS.
   
   
3. Si el servidor de acceso telefónico o VPN es un servidor de acceso a redes (NAS) de otro fabricante, consulte la documentación de NAS para determinar cómo configurarlo como cliente RADIUS con los dos servidores RADIUS (los proxies IAS principal y secundario de la red del proveedor de servicio).
   
   

Nota

• Puede configurar IAS en Windows Server 2003, Standard Edition, con un máximo de 50 clientes de RADIUS y 2 grupos de servidores RADIUS remotos. Puede definir un cliente de RADIUS mediante un nombre de dominio completo o una dirección IP, pero no puede definir grupos de clientes de RADIUS mediante un intervalo de direcciones IP. Si el nombre de dominio completo de un cliente de RADIUS se resuelve como varias direcciones IP, el servidor IAS usa la primera dirección IP devuelta en la consulta DNS. Con IAS en Windows Server 2003, Enterprise Edition, y Windows Server 2003, Datacenter Edition, puede configurar un número ilimitado de clientes de RADIUS y grupos de servidores RADIUS remotos. Además, puede configurar clientes de RADIUS si especifica un intervalo de direcciones IP.