Exportar (0) Imprimir
Expandir Tudo

Autenticação entre florestas

Autenticação em florestas

Este tópico descreve como o IAS pode ser usado como um servidor e um proxy RADIUS para fornecer autenticação entre duas florestas. Essa configuração também pode ser utilizada para fornecer autenticação entre domínios não confiáveis e domínios confiáveis unidirecionais.

Observações

  • Ao usar EAP-TLS com certificados como o método de autenticação, você deve utilizar um ou mais servidores proxy RADIUS que encaminhem solicitações de autenticação à floresta apropriada, mesmo quando as florestas têm uma relação de confiança bidirecional transitiva.
  • Quando são utilizados métodos de autenticação diferentes de EAP-TLS com certificados, o IAS permite a autenticação sem um proxy RADIUS nas duas florestas se elas forem formadas somente por controladores de domínio que executam o Windows Server 2003, Standard Edition, o Windows Server 2003, Enterprise Edition e o Windows Server 2003, Datacenter Edition, bem como se contiverem apenas domínios do Windows Server 2003. Para obter mais informações, consulte Acessando recursos entre florestas e Funcionalidade de domínio e de floresta.

A seguinte configuração é usada para uma organização que usa:

  • Domínios do Active Directory.
    Os domínios do Active Directory contêm as contas de usuários, senhas e propriedades de discagem de que cada servidor IAS precisa para autenticar credenciais de usuário e avaliar restrições de autorização e de conexão. Para otimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, o IAS é instalado em controladores de domínio.
  • Dois servidores IAS em cada floresta.
    Dois servidores IAS (um primário e outro secundário) são usados para proporcionar tolerância a falhas para autenticação, autorização e estatísticas RADIUS em cada floresta. Se apenas um servidor RADIUS estiver configurado e se tornar indisponível, os clientes de acesso dessa floresta não conseguirão se conectar. O uso de dois servidores IAS e a configuração dos proxies IAS para os servidores IAS primário e secundário permitem aos proxies IAS detectar quando o servidor RADIUS primário não está disponível e automaticamente alternar para o servidor IAS secundário.
  • Diretivas de acesso remoto.
    As diretivas de acesso remoto são configuradas para especificar, com base nos membros do grupo, os tipos diferentes de restrições de conexão para usuários.
  • Dois proxies IAS.
    Dois proxies IAS são usados para proporcionar tolerância a falhas para solicitações RADIUS que são enviadas de servidores de acesso.

A ilustração a seguir mostra a configuração de autenticação entre florestas utilizando proxies IAS.

Acesso sem fio externo

Observação

  • Este tópico descreve somente como configurar o IAS. A configuração de domínios do Active Directory ou de servidores de acesso não é descrita. Para obter mais informações sobre como implantar esses componentes, consulte os tópicos da <b>Ajuda</b> apropriados.

Para configurar o IAS para esse exemplo, execute as seguintes etapas:

  • Configurar as florestas do Active Directory para contas de usuário e grupos.
  • Configurar o servidor IAS primário em um controlador de domínio da primeira floresta.
  • Configurar o servidor IAS secundário em outro controlador de domínio da primeira floresta.
  • Configurar o servidor IAS primário em um controlador de domínio da segunda floresta.
  • Configurar o servidor IAS secundário em outro controlador de domínio da segunda floresta.
  • Configurar o proxy IAS primário.
  • Configurar o proxy IAS secundário.
  • Configurar estatísticas e autenticação RADIUS em servidores de acesso.

Configurando florestas para contas de usuário e grupos

Para configurar florestas para contas de usuário e grupos, faça o seguinte:

  1. Certifique-se de que todos os usuários que estão estabelecendo conexões de acesso à rede têm uma conta de usuário correspondente.
  2. Gerencie o acesso à rede por grupo definindo a permissão de acesso remoto em contas de usuário como Controlar acesso através de Diretiva de Acesso Remoto. Para obter mais informações, consulte Configurar a permissão de acesso remoto para um usuário.
  3. Organize os usuários com acesso remoto nos grupos universais e nos grupos aninhados apropriados para se beneficiar das diretivas de acesso remoto baseadas em grupos. Para obter mais informações, consulte Escopo de grupo.
  4. Se você estiver usando o protocolo de autenticação de handshake de desafio (CHAP), ative o suporte para senhas criptografadas de forma reversível nos domínios apropriados. Para obter mais informações, consulte Habilitar senhas com criptografia reversível em um domínio.

Configurando o servidor IAS primário em um controlador de domínio da primeira floresta

Para configurar o servidor IAS primário em um controlador de domínio da primeira floresta, faça o seguinte:

  1. No controlador de domínio da primeira floresta, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS (o controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS estiver autenticando tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro. Em seguida, configure o computador servidor IAS para que leia as propriedades das contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
  4. Ative o log de arquivos para eventos de estatísticas e autenticação. Para obter mais informações, consulte Configurar propriedades do arquivo de log.
  5. Adicione os proxies IAS como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  6. Crie as diretivas de acesso remoto apropriadas para clientes de acesso na primeira floresta.
    Para obter exemplos de diretivas de acesso remoto, consulte Exemplos de Diretivas de Acesso Remoto.

Configurando o servidor IAS secundário em outro controlador de domínio da primeira floresta

Para configurar o servidor IAS secundário em outro controlador de domínio da primeira floresta, faça o seguinte:

  1. No outro controlador de domínio da primeira floresta, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS secundário (o outro controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS secundário é membro. Em seguida, configure o computador servidor IAS secundário para que leia as propriedades de contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
  4. Copie a configuração do servidor IAS primário para o servidor IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando o servidor IAS primário em um controlador de domínio da segunda floresta

Para configurar o servidor IAS primário em um controlador de domínio da segunda floresta, faça o seguinte:

  1. No controlador de domínio da segunda floresta, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS (o controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro. Em seguida, configure o computador servidor IAS para que leia as propriedades das contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
  4. Ative o log de arquivos para eventos de estatísticas e autenticação. Para obter mais informações, consulte Configurar propriedades do arquivo de log.
  5. Adicione os proxies IAS como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  6. Crie as diretivas de acesso remoto apropriadas para clientes de acesso na segunda floresta.
    Para obter exemplos de diretivas de acesso remoto, consulte Exemplos de Diretivas de Acesso Remoto.

Configurando o servidor IAS secundário em outro controlador de domínio da segunda floresta

Para configurar o servidor IAS secundário em outro controlador de domínio da segunda floresta, faça o seguinte:

  1. No outro controlador de domínio da segunda floresta, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS secundário (o outro controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS secundário é membro. Em seguida, configure o computador servidor IAS secundário para que leia as propriedades de contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
  4. Copie a configuração do servidor IAS primário para o servidor IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando o proxy IAS primário

Para configurar o proxy IAS primário, faça o seguinte:

  1. Em um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS. O computador no qual o IAS é instalado não precisa ser dedicado ao encaminhamento de mensagens RADIUS. Por exemplo, você pode instalar o IAS em um servidor Web, em um servidor de arquivos ou em um servidor DNS.
  2. Se necessário, configure portas UDP adicionais para mensagens RADIUS que são enviadas pelos servidores de acesso. Para obter mais informações, consulte Configurar informações das portas no IAS. Por padrão, o IAS usa as portas UDP 1812 e 1645 para autenticação e as portas 1813 e 1646 para estatísticas.
  3. Adicione os servidores de acesso como clientes RADIUS do proxy IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  4. Crie uma diretiva de solicitação de conexão que encaminhe mensagens de solicitação RADIUS (baseadas no nome de território de contas da primeira floresta) para servidores IAS da primeira floresta.
    Use o <b>Assistente para nova diretiva de solicitação de conexão</b> para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão a um grupo de servidores remotos RADIUS e na qual o nome de território corresponda ao nome de território das contas de usuário da primeira floresta. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS com membros que incluam os dois servidores IAS da primeira floresta.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  5. Crie uma diretiva de solicitação de conexão que encaminhe mensagens de solicitação RADIUS (baseadas no nome de território de contas da segunda floresta) para servidores IAS da segunda floresta.
    Use o <b>Assistente para nova diretiva de solicitação de conexão</b> para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão para um grupo de servidores remotos RADIUS e na qual o nome de território corresponda ao nome de território das contas de usuário da segunda floresta. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS com membros que incluam os dois servidores IAS da segunda floresta.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  6. Exclua a diretiva de solicitação de conexão padrão chamada Usar autenticação do Windows para todos os usuários. Para obter mais informações, consulte Excluir uma diretiva de solicitação de conexão.

Configurando o proxy IAS secundário

Para configurar o proxy IAS secundário em outro computador, faça o seguinte:

  1. Em um computador que esteja executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Copie a configuração do proxy IAS primário para o proxy IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando estatísticas e autenticação RADIUS nos servidores de acesso

Para configurar cada servidor de acesso para usar os proxies IAS primário e secundário para autenticação, autorização e estatísticas de conexões de rede, faça o seguinte:

  1. Se o servidor dial-up ou VPN for um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou o Windows 2000 e o serviço Roteamento e Acesso Remoto, configure os proxies IAS primário e secundário como servidores RADIUS para autenticação e estatística RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS eUsar estatísticas RADIUS.
  2. Se o servidor dial-up ou VPN for um computador que executa o Windows NT Server 4.0 e o RRAS (Serviço de Roteamento e Acesso Remoto), consulte a Ajuda online do Windows NT Server 4.0 para obter informações sobre como configurar os proxies IAS primário e secundário como servidores RADIUS para autenticação RADIUS.
  3. Se o servidor dial-up, o servidor VPN, o ponto de acesso sem fio ou o switch de autenticação for um servidor de acesso de outro fabricante, consulte a documentação do servidor de acesso para saber como configurá-lo como um cliente RADIUS com dois servidores RADIUS (os proxies IAS primário e secundário).

Para obter mais informações, consulte Relações de confiança de floresta, Acessando recursos entre florestas, Atualizando de um domínio do Windows NT e Práticas recomendadas para Domínios e relações de confiança do Active Directory.

Observação

  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft