Exportar (0) Imprimir
Expandir Tudo

Mapeando autenticação e autorização da rede

Mapeando autenticação e autorização da rede

Você pode usar o proxy IAS para dividir a autenticação e a autorização de acesso à rede entre dois bancos de dados de contas de usuários. Você pode autenticar visitantes (como funcionários de uma organização parceira) utilizando as respectivas credenciais baseadas em senha armazenadas no banco de dados de usuários externo de uma organização parceira enquanto faz a autorização no banco de dados local de contas de usuários do Active Directory. Para poder dividir a autenticação e a autorização, você deve criar uma conta de usuário local para cada visitante. O nome de usuário da conta do visitante deve ser mapeado para uma conta existente no banco de dados de usuários da organização parceira com o mesmo nome de usuário. Quando o visitante faz logon na rede, o banco de dados de usuários externo fornece autenticação, enquanto o banco de dados de usuários local e as diretrizes de acesso remoto são utilizados para processar a autorização.

O encaminhamento de solicitações de autenticação ao servidor RADIUS da organização parceira é necessário apenas quando a autenticação do visitante é feita utilizando-se credenciais baseadas em senha. Os visitantes também podem ser autenticados por meio do mapeamento de certificados para contas de usuários locais. Se uma organização parceira usa a autenticação baseada em certificado, é possível autenticar os visitantes confiando na autoridade de certificação (CA) dessa organização e mapeando certificados de visitantes para contas de usuários locais. Como o visitante é autenticado localmente com um certificado, não é necessário encaminhar solicitações de autenticação ao servidor remoto RADIUS da organização parceira.

Para obter mais informações sobre o mapeamento de certificados, consulte Mapeando certificados para contas de usuários, Mapear um certificado para uma conta de usuário e Mapear uma conta de um território kerberos não-Windows confiável para uma conta de usuário.

Mapeando com autenticação baseada em senha

Quando as organizações parceiras usam autenticação baseada em senha, você deve configurar contas de usuários locais para visitantes e configurar o servidor proxy IAS para encaminhar solicitações de autenticação a um grupo de servidores remotos RADIUS que contenha o servidor RADIUS da empresa associada.

Configurando contas de usuário visitante

Se você estiver usando a autenticação baseada em senha, deverá criar uma conta de usuário para cada visitante. A conta de usuário do visitante deve ser criada de forma que o nome de usuário existente no banco de dados local e o nome de usuário contido no banco de dados da organização parceira tenham correspondência exata. Para permitir que os visitantes acessem a rede da organização enquanto os autentica na organização parceira, execute as seguintes ações para configurar contas de visitante:

  • Adicione o sufixo de nome principal de usuário ao domínio.
    Para obter mais informações, consulte Adicionar sufixos de nome principal de usuário.
  • Crie uma unidade organizacional que conterá as contas de usuário dos visitantes.
    Para obter mais informações, consulte Criar uma nova unidade organizacional.
  • Crie contas de usuário na unidade organizacional para os visitantes.
    Quando você cria a conta de usuário, o nome de logon do usuário deve corresponder exatamente ao nome de logon do usuário do visitante, conforme configurado no banco de dados de contas de usuários da organização parceira. Por exemplo, se o nome de logon do usuário na Microsoft Corporation é usuario@microsoft.com, designe "usuario" como o Nome de logon do usuário ao criar a nova conta de usuário com Usuários e Computadores do Active Directory. Além disso, selecione o correto sufixo UPN na lista suspensa de sufixos. Por exemplo, se na etapa 1 você adicionou o sufixo UPN "microsoft.com", selecione "@microsoft.com" na lista. Para obter mais informações, consulte Crie uma nova conta de usuário.
  • Configure propriedades da conta de usuário
    Certifique-se de que a conta de usuário está configurada de uma forma que permitirá ao visitante acessar a rede, mas que também conterá as restrições de segurança necessárias. Por exemplo, nas propriedades da conta de usuário, na guia Discagem, é possível definir Permissão de Acesso Remoto (via discagem ou rede virtual privada) como Permitir acesso.

Configurando o servidor proxy IAS

Para conceder acesso à rede da organização para os visitantes, você deve executar as seguintes ações no servidor proxy IAS:

  • Configure o servidor RADIUS da organização parceira como membro de um grupo de servidores remotos RADIUS.
    Execute o <b>Assistente para novos grupos de servidores remotos RADIUS</b>, crie e nomeie um grupo personalizado e adicione o(s) servidor(es) RADIUS da organização parceira ao grupo. Ao adicionar cada servidor, configure o segredo compartilhado (obtido com a organização parceira) na guia Autenticação/Estatísticas da caixa de diálogo Adicionar servidor RADIUS.
    Para obter mais informações, consulte Adicionar um grupo de servidores remotos RADIUS e Configurar os membros de um grupo de servidores RADIUS remotos.
  • Configure uma diretiva de solicitação de conexão para acesso de visitantes.
    Para determinar se uma solicitação de tentativa de conexão específica ou se uma mensagem sobre estatística recebida de um cliente RADIUS deve ser processada localmente ou encaminhada para outro servidor RADIUS, o servidor IAS usa o processamento de solicitação de conexão. Quando você concede acesso a um visitante usando a autenticação externa, é necessário configurar no mínimo duas diretivas de solicitação de conexão no servidor proxy IAS. Uma diretiva concede acesso para os funcionários da organização, embora negue acesso a outras tentativas de acesso à rede. A outra diretiva concede acesso de visitante. Quando você configurar a ordem de avaliação de diretivas, coloque a(s) diretiva(s) relacionada(s) aos usuários da organização por último, sendo que a diretiva de visitantes deve ser processada primeiro. Para obter mais informações, consulte Alterar a ordem de avaliação das diretivas.
    Para configurar uma diretiva de solicitação de conexão, execute o Assistente para Nova Diretiva de Solicitação de conexão, crie e nomeie uma diretiva personalizada e adicione Condições da Diretiva. Você pode configurar tantas condições quantas desejar, mas é necessário incluir o atributo User-Name. Utilize curingas e outros caracteres descritos em Sintaxe de padrões coincidentes para configurar um valor que deve ser correspondido pelo sufixo de nome principal de usuário (UPN) a ser usado pelos visitantes no logon. Por exemplo, se você deseja autenticar todos os visitantes da Microsoft Corporation com essa diretiva de solicitação de conexão, digite "^.@microsoft\.com$" em User-Name. Em Método de Solicitação de Processamento, clique em Editar Perfil e, em seguida, clique na guia Avançado. Clique em Adicionar e adicione o atributo Remote-RADIUS-to-Windows-User-Mapping definindo o valor do atributo como Verdadeiro. Esse atributo instrui o servidor proxy IAS a autenticar os usuários (cujas propriedades coincidem com outras condições de diretiva) nos servidores RADIUS configurados no grupo de servidores remotos RADIUS. Na guia Atributo, é possível configurar o texto de substituição do atributo User-Name e quaisquer outros atributos necessários. Na guia Autenticação, clique em Encaminhar solicitações aos seguintes grupos de servidores remotos RADIUS para autenticação e escolha o grupo de servidores remotos RADIUS que poderá autenticar os visitantes.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão, Nomes de territórios, Configurar processamento de solicitação de conexão e Processamento de solicitação de conexão.
  • Configure uma diretiva de acesso remoto para acesso de visitantes.
    Como você pode criar diretivas de acesso remoto baseadas em diferentes tipos de conexões e membros de grupo, é possível criar uma diretiva de acesso remoto usada especificamente para processar tentativas de acesso à rede por parte dos visitantes. Você precisa de, no mínimo, duas diretivas de acesso remoto: uma para seus funcionários e outra para os visitantes. Para obter mais informações, consulte Introdução às diretivas de acesso remoto e Exemplos de Diretivas de Acesso Remoto.
  • Certifique-se de que os servidores de acesso à rede estão configurados como clientes RADIUS para o proxy IAS.
    Quando os visitantes fazem logon na rede, eles o fazem através dos servidores de acesso à rede, como, por exemplo, pontos de acesso sem fio. Esses pontos de acesso devem ser configurados como clientes RADIUS para o servidor proxy IAS.
    Para obter mais informações, consulte Configurar clientes RADIUS.

Depois de o proxy IAS ser configurado para encaminhar solicitações de autenticação e contas de usuário para visitantes serem criadas no Active Directory, a solicitação de autenticação baseada em senha é encaminhada ao servidor RADIUS da organização parceira quando o visitante faz logon na rede da organização. Se o usuário for autenticado, a autorização será feita no banco de dados de usuários do Active Directory da organização. O Active Directory retornará atributos de usuário (valores configurados para a conta de usuário, como Permitir acesso na guia Discagem das propriedades do usuário), e o IAS fará a avaliação de diretivas em relação a esses atributos de conta de usuário local.

Importante

  • Ao configurar uma conta de usuário local com o UPN de uma conta existente no banco de dados remoto de contas de usuários da organização parceira, você mapeia uma conta para a outra. Se a organização parceira alterar o nome de usuário de uma conta que você tenha mapeado, também será necessário alterar o nome de usuário no banco de dados de contas de usuários.

Mapeando com autenticação baseada em certificado

A autenticação baseada em certificado é mais segura do que a autenticação baseada em senha. Além disso, quando você mapeia certificados para contas de usuário em vez de utilizar métodos de autenticação baseada em senha, uma solicitação de autenticação não é encaminhada ao servidor RADIUS da organização parceira e ao banco de dados de contas de usuários. Por esses motivos, o mapeamento de certificados aumenta a segurança e pode reduzir significativamente o tempo de logon dos usuários.

Um certificado é mapeado para uma conta de usuário de uma das seguintes maneiras: um único certificado é mapeado para uma única conta de usuário (mapeamento um-para-um) ou vários certificados são mapeados para uma conta de usuário (mapeamento muitos-para-um).

Mapeamento um-para-um

Para o mapeamento um-para-um de certificados para contas de usuário visitante, você deve seguir estas etapas:

  • Crie uma conta de usuário para cada visitante de acordo com as etapas indicadas em "Configurando contas de usuário visitante".
    Como a própria conta de usuário não é mapeada para a conta de usuário da organização parceira, os nomes de contas de usuários não precisam corresponder exatamente aos nomes de contas de usuários contidos no banco de dados de contas de usuários da organização parceira. No entanto, configurar a conta local com o mesmo nome de usuário pode facilitar a configuração de regras de manipulação de territórios.
  • Mapeie o certificado para uma conta de usuário.
    Para obter mais informações, consulte Mapeando certificados para contas de usuários e Mapear um certificado para uma conta de usuário.
  • Faça a certificação cruzada ou autorize a a CA da organização parceira como uma autoridade de certificação qualificada utilizando um computador executando o Windows Server 2003, Enterprise Edition e os Serviços de certificado.
    O procedimento de certificação cruzada ou de autorização da CA da organização parceira como uma CA subordinada qualificada é recomendado para domínios que tenham um nível funcional de domínio do Windows Server 2003 e clientes executando o Windows XP. Se os seus domínios forem nativos do Windows 2000, é recomendável utilizar uma CTL (lista de certificados confiáveis).
    Para obter mais informações, consulte Funcionalidade de domínio e de floresta, Subordinação qualificada, Visão geral sobre a subordinação qualificada e Executar uma subordinação qualificada.
  • Configure o servidor IAS ou o servidor proxy IAS
    Como as solicitações de autenticação não são encaminhadas para servidores RADIUS externos quando a autenticação é realizada com certificados, você não precisa usar o IAS como um servidor proxy.

Mapeamento muitos-para-um

O mapeamento de certificados muitos-para-um permite mapear vários certificados para uma conta de usuário. Depois de confiar na autoridade de certificação raiz corporativa de uma organização parceira, você pode mapear todos os certificados emitidos pela CA da organização parceira para uma conta criada no domínio local. Essa solução facilita o gerenciamento de vários usuários e elimina a necessidade de criar uma conta de usuário individual para cada visitante da organização.

Para o mapeamento de certificados muitos-para-um, você deve seguir estas etapas:

Para obter mais informações sobre como projetar a implantação do servidor proxy IAS, consulte Considerações sobre o projeto do IAS como um proxy RADIUS.

Observações

  • Por padrão, após a execução do <b>Assistente para novos grupos de servidores remotos RADIUS</b>, o <b>Assistente para nova diretiva de solicitação de conexão</b> é aberto. Se você não quiser que o Assistente para Nova Diretiva de Solicitação de Conexão seja aberto, clique em Iniciar o Assistente para Nova Diretiva de Solicitação de Conexão quando o assistente for encerrado no Assistente para Novos Grupos de Servidores Remotos RADIUS.
  • Para obter um alto nível de segurança entre o servidor proxy IAS e os servidores RADIUS da organização parceira, você pode usar a segurança do protocolo Internet (IPSec). Para obter mais informações, consulte Protegendo o tráfego do RADIUS com o IPSec. Para obter recomendações e questões adicionais de segurança, consulte Considerações sobre segurança do IAS como proxy RADIUS e Informações sobre segurança do IAS.
  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft