Exportar (0) Imprimir
Expandir Tudo
Este tópico ainda não foi avaliado como - Avalie este tópico

Recursos do IAS

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Recursos do IAS

O IAS inclui suporte aos seguintes recursos:

  • Uma variedade de métodos de autenticação

    O IAS oferece suporte a uma série de protocolos de autenticação e permite que você adicione métodos personalizados que atendam às suas necessidades de autenticação. Os métodos de autenticação para os quais há suporte são os seguintes:

    • Protocolos de autenticação PPP baseados em senha

      Há suporte para os protocolos de autenticação PPP baseados em senha, como o protocolo de autenticação de senha (PAP), protocolo de autenticação de handshake de desafio (CHAP), protocolo de autenticação de handshake de desafio da Microsoft (MS-CHAP) e o MS-CHAP versão 2 (MS-CHAP v2). Para obter mais informações, consulte Métodos de autenticação.

    • Protocolo EAP (Extensible Authentication Protocol)

      Uma infra-estrutura baseada em padrões da Internet que permite a adição de métodos de autenticação arbitrários, como cartões inteligentes, certificados, senhas descartáveis e placas token. Um método de autenticação específico que usa a infra-estrutura do EAP é um tipo de EAP. O IAS inclui suporte para EAP-MD5 (Message Digest 5) e EAP-TLS (Transport Level Security). Para obter mais informações, consulte EAP.

  • Uma variedade de métodos de autorização

    O IAS oferece suporte a uma série de métodos de autorização e permite que você adicione métodos personalizados que atendam às suas necessidades de autorização. Os métodos de autorização para os quais há suporte são os seguintes:

    • DNIS (Dialed Number Identification Service)

      A autorização de uma tentativa de conexão que se baseia no número chamado. O DNIS fornece o número que foi chamado para o recebedor da chamada e é informado pela maioria das companhias telefônicas padrão.

    • ANI/CLI (Automatic Number Identification/Calling Line Identification)

      A autorização de uma tentativa de conexão que se baseia no número de telefone do chamador. O serviço ANI/CLI fornece o número do chamador para o recebedor da chamada e é informado pela maioria das companhias telefônicas padrão.

    • Autorização de convidado

      O uso da conta Convidado como a identidade do usuário quando a conexão é feita sem credenciais do usuário (nome do usuário e senha).

      Para obter mais informações, consulte Acesso não autenticado.

  • Servidores de acesso heterogêneos

    O IAS permite o uso de servidores de acesso com suporte aos RFCs RADIUS 2865 e 2866. Além dos servidores de acesso dial-up (também conhecidos como servidores de acesso à rede), o IAS oferece suporte a:

    • Pontos de acesso sem fio

      Com o uso de diretivas de acesso remoto e da condição de tipo de porta Wireless-IEEE 802.11, o IAS pode ser utilizado como um servidor RADIUS para pontos de acesso sem fio que usam RADIUS para autenticação e autorização de nós sem fio. Para obter mais informações, consulte Novos recursos do IAS.

    • Switches para autenticação

      Com o uso de diretivas de acesso remoto e da condição de tipo de porta Ethernet, o IAS pode ser utilizado como um servidor RADIUS para switches de rede Ethernet que usam RADIUS para autenticação e autorização de nós de switch. Para obter mais informações, consulte Novos recursos do IAS.

    • Integração com o serviço de roteamento e acesso remoto

      O IAS e o serviço de roteamento e acesso remoto compartilham diretivas de acesso remoto e recursos de arquivo de log. Essa integração proporciona uma implementação consistente do IAS e do serviço de roteamento e acesso remoto. Com isso, você pode implantar o serviço de roteamento e acesso remoto em pequenos sites sem a necessidade de um servidor IAS centralizado separado. Essa integração também permite ajustar-se a um modelo de gerenciamento de acesso remoto centralizado sempre que você tiver vários servidores de roteamento e acesso remoto na organização. O IAS, em conjunto com servidores de roteamento e acesso remoto, implementa um único ponto de administração para acesso remoto na rede para acesso via discagem terceirizada, discagem por demanda e VPN. As diretivas do IAS em um site central de grande porte podem ser exportadas para o servidor de roteamento e acesso remoto independente em um site pequeno.

  • Proxy RADIUS

    O IAS permite que uma solicitação RADIUS de entrada seja encaminhada para outro servidor RADIUS para o processamento de autenticação e autorização ou estatísticas. Como um proxy RADIUS, o IAS pode ser usado sempre que a solicitação RADIUS tiver de ser roteada para outro servidor RADIUS. O IAS pode encaminhar solicitações com base no nome do usuário, no endereço IP e no identificador do servidor de acesso e em outras condições. Para obter mais informações, consulte Novos recursos do IAS.

  • Acesso dial-up terceirizado e via rede sem fio

    A discagem terceirizada (também conhecida como discagem por atacado) oferece um contrato entre uma organização (o cliente) e um provedor de serviços de Internet (ISP). O ISP permite que os funcionários da organização se conectem à rede antes de o encapsulamento VPN para a rede privada da organização ser estabelecido. Quando um funcionário da organização se conecta ao NAS do ISP, os registros de autenticação e uso são encaminhados ao servidor IAS da organização. O servidor IAS permite que a organização controle a autenticação de usuário, rastreie a utilização e determine quais funcionários têm permissão para acessar a rede do ISP.

    A vantagem da discagem terceirizada é a possibilidade de economia. Utilizando os roteadores, servidores de acesso à rede e links de rede de longa distância (WAN) de um ISP em vez de adquirir os seus próprios, você pode economizar muito em termos de custos de hardware (infra-estrutura). Ao discar para o ISP usando conexões internacionais, você pode diminuir significativamente as despesas telefônicas com interurbanos. Além disso, ao transferir as necessidades de suporte para o provedor, você elimina despesas administrativas.

    Também é possível terceirizar o acesso sem fio. Um fornecedor pode oferecer acesso sem fio em uma localidade remota e utilizar o seu nome de usuário para encaminhar a solicitação de conexão a um servidor RADIUS que está sob o seu controle para fins de autenticação e autorização. Um bom exemplo é o acesso sem fio à Internet em aeroportos.

  • Autenticação e autorização centralizadas do usuário

    Para autenticar uma solicitação de conexão, o IAS valida as credenciais de conexão em relação às contas de usuário do Gerenciador de contas de segurança (SAM), de um domínio do Microsoft® Windows NT® Server 4.0 ou de um domínio do Active Directory®. No caso de um domínio do Active Directory, o IAS oferece suporte ao uso de grupos universais e de nomes principais de usuário (UPNs) do Active Directory.

    Para autorizar uma solicitação de conexão, o IAS utiliza as propriedades de discagem da conta de usuário que correspondem às credenciais de conexão e às diretivas de acesso remoto. Embora seja relativamente simples gerenciar a permissão de acesso remoto de cada conta de usuário, essa abordagem não se ajusta bem ao crescimento da organização. As diretivas de acesso remoto proporcionam uma maneira mais eficaz e flexível de gerenciar a permissão de acesso remoto. Você pode autorizar o acesso à rede com base em diversas condições, incluindo:

    • Uma conta de usuário membro de um grupo.

    • A hora do dia ou o dia da semana.

    • O tipo de mídia através do qual o usuário está se conectando (por exemplo, acesso sem fio, switch Ethernet, modem ou VPN).

    • O número de telefone chamado pelo usuário.

    • O servidor de acesso do qual a solicitação é proveniente.

      Ao definir configurações de perfil nas diretivas de acesso remoto, você pode controlar muitos parâmetros de conexão, incluindo:

    • O uso de métodos de autenticação específicos.

    • O tempo limite de ociosidade.

    • O tempo máximo de uma única sessão.

    • O número de links em uma sessão de conexões múltiplas.

    • O uso de criptografia e o respectivo nível de segurança.

    • O uso de filtros de pacote para controlar o que o usuário com acesso remoto pode acessar quando está conectado à rede. Por exemplo, você pode usar filtros para controlar quais endereços IP, hosts e portas o usuário tem permissão para usar no envio ou recebimento de pacotes.

    • A criação de um encapsulamento compulsório que força todos os pacotes provenientes dessa conexão a serem encapsulados de forma segura através da Internet e concluídos em uma rede privada.

    • O identificador da rede local virtual (VLAN ID) para conexões sem fio ou Ethernet.

  • Administração centralizada de todos os servidores de acesso

    O suporte para o padrão RADIUS permite que o IAS controle parâmetros de conexão de qualquer servidor de acesso que implemente o RADIUS. O padrão RADIUS também permite que fornecedores individuais de acesso remoto criem extensões proprietárias denominadas atributos específicos de fornecedores (VSAs). O IAS incorporou as extensões de diversos fornecedores a seu dicionário. É possível adicionar outros VSAs ao perfil de diretivas individuais de acesso remoto. Para obter mais informações, consulte Visão geral sobre atributos específicos do fornecedor.

  • Auditoria e estatísticas de uso centralizadas

    O suporte ao padrão RADIUS permite que o IAS colete em um local central os registros (estatísticas) de uso enviados por todos os servidores de acesso. O IAS armazena informações de auditoria (por exemplo, aceitações e recusas de autenticação) e informações de uso (por exemplo, registros de conexão e desconexão) em arquivos de log. O IAS oferece suporte a um formato de arquivo de log que pode ser diretamente importado para um banco de dados. Os dados podem então ser analisados com qualquer aplicativo padrão de análise de dados. Para obter mais informações, consulte Registrando em log solicitações de estatísticas e de autenticação de usuários.

  • Ferramenta de gerenciamento baseada em snap-in

    O IAS oferece uma ferramenta de administração denominada snap-in do serviço de autenticação da Internet. O serviço de autenticação da Internet pode ser executado a partir das <b>Ferramentas administrativas</b> para administrar o IAS em um computador local. Como alternativa, você pode adicionar o snap-in do serviço de autenticação da Internet ao console de gerenciamento Microsoft (MMC) para administrar o IAS em execução no computador local ou em um computador remoto.

  • Monitoração local ou remota com ferramentas fornecidas no Microsoft® Windows Server® 2003 Standard Edition; Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition

    É possível monitorar o IAS localmente ou em um computador remoto utilizando as ferramentas fornecidas no Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition, incluindo Visualizar Eventos, Monitor do Sistema e o protocolo SNMP (Simple Network Management Protocol). Você também pode usar o <b>Monitor de rede</b> para capturar mensagens RADIUS para fins de análise detalhada do tráfego e solução de problemas.

  • Escalabilidade

    Você pode usar o IAS em várias configurações de rede de tamanhos distintos, desde servidores autônomos de redes de pequeno porte a redes organizacionais e de ISPs de grande porte.

  • Suporte para vários servidores IAS

    A sincronização da configuração de vários servidores IAS pode ser realizada utilizando-se a ferramenta de linha de comando Netsh. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

  • Extensibilidade

    O Software Development Kit (SDK) do Windows Server 2003 contém dois SDKs de rede menores -- o SDK do IAS e o SDK do EAP.

    Você pode usar o SDK do IAS para:

    • Retornar atributos personalizados ao servidor de acesso além daqueles retornados pelo IAS. Você pode, por exemplo, criar um módulo personalizado para atribuir endereços IP.

    • Controlar o número de sessões de rede dos usuários.

    • Importar dados de uso e auditoria diretamente para um banco de dados compatível com ODBC (Open Database Connectivity).

    • Criar módulos de autorização personalizados.

    • Criar módulos de autenticação personalizados (não EAP).

Você pode usar o SDK do EAP para criar tipos de EAP. Para obter mais informações, consulte EAP.

Observação

  • Você pode configurar o IAS no Windows Server 2003 Standard Edition com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS é resolvido para vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Você também pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.