Exportar (0) Imprimir
Expandir Tudo

Usando outro banco de dados de autenticação

Usando outro banco de dados de autenticação

Este tópico descreve de que forma o IAS pode ser usado como um proxy RADIUS para encaminhar mensagens RADIUS entre servidores de acesso e dois bancos de dados de contas de usuários distintos. Uma floresta do Active Directory e outro banco de dados de contas de usuários são usados como exemplos.

A seguinte configuração é usada para uma organização que usa:

  • Domínios do Active Directory.
    Os domínios do Active Directory contêm as contas de usuários, senhas e propriedades de discagem de que cada servidor IAS precisa para autenticar credenciais de usuário e avaliar restrições de autorização e de conexão. Para otimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, o IAS é instalado em controladores de domínio.
  • Outro banco de dados de contas de usuários.
    Há um outro banco de contas de usuários que é utilizado para autenticar e autorizar tentativas de conexão. Exemplos de outros bancos de dados de contas de usuários são o NDS (Novell Directory Services) e o SQL (Structured Query Language). Como o IAS só pode acessar bancos de dados de contas de usuários do Windows, é necessário utilizar um servidor RADIUS de outro fabricante para acessar outro banco de dados de contas de usuários.
  • Dois servidores IAS para cada banco de dados de autenticação.
    Dois servidores IAS (um primário e outro secundário) são usados para proporcionar tolerância a falhas para autenticação, autorização e estatísticas RADIUS em cada banco de dados de contas de usuários. Se apenas um servidor RADIUS estiver configurado e se tornar indisponível, os clientes de acesso desse banco de dados de contas de usuários não conseguirão se conectar. O uso de dois servidores IAS e a configuração dos proxies IAS para os servidores IAS primário e secundário referentes a cada banco de dados de contas de usuários permitem aos proxies IAS detectar quando o servidor RADIUS primário não está disponível e automaticamente alternar para o servidor IAS secundário.
  • Diretivas de acesso remoto.
    As diretivas de acesso remoto são configuradas para especificar, com base nos membros do grupo, os tipos diferentes de restrições de conexão para usuários.
  • Dois proxies IAS.
    Dois proxies IAS são usados para proporcionar tolerância a falhas para solicitações RADIUS que são enviadas de servidores de acesso.

A ilustração a seguir mostra o uso de proxies IAS para encaminhar mensagens RADIUS entre os servidores de acesso e os servidores RADIUS que acessam dois bancos de dados de contas de usuários diferentes.

Acesso sem fio

Observação

  • Este tópico descreve somente como configurar o IAS. A configuração de domínios do Active Directory, servidores de acesso, servidores RADIUS de outros fabricantes ou do outro banco de dados de contas de usuários não é descrita. Para obter mais informações sobre como implantar esses componentes, consulte os tópicos da <b>Ajuda</b> apropriados.

Para configurar o IAS para esse exemplo, execute as seguintes etapas:

  • Configurar a floresta do Active Directory para contas de usuário e grupos.
  • Configurar o servidor IAS primário em um controlador de domínio.
  • Configurar o servidor IAS secundário em outro controlador de domínio.
  • Configurar os servidores RADIUS primário e secundário para o outro banco de dados de contas de usuários.
  • Configurar o proxy IAS primário.
  • Configurar o proxy IAS secundário.
  • Configurar estatísticas e autenticação RADIUS nos servidores de acesso.

Configurando as florestas para contas de usuário e grupos

Para configurar a floresta para contas de usuário e grupos, faça o seguinte:

  1. Certifique-se de que todos os usuários que estão estabelecendo conexões de acesso à rede têm uma conta de usuário correspondente.
  2. Gerencie o acesso à rede por grupo definindo a permissão de acesso remoto em contas de usuário como Controlar acesso através de Diretiva de Acesso Remoto. Para obter mais informações, consulte Configurar a permissão de acesso remoto para um usuário.
  3. Organize os usuários com acesso remoto nos grupos universais e nos grupos aninhados apropriados para se beneficiar das diretivas de acesso remoto baseadas em grupos. Para obter mais informações, consulte Escopo de grupo.
  4. Se você estiver usando o protocolo de autenticação de handshake de desafio (CHAP), ative o suporte para senhas criptografadas de forma reversível nos domínios apropriados. Para obter mais informações, consulte Habilitar senhas com criptografia reversível em um domínio.

Configurando o servidor IAS primário em um controlador de domínio

Para configurar o servidor IAS primário em um controlador de domínio, faça o seguinte:

  1. No controlador de domínio, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS (o controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro. Em seguida, configure o computador servidor IAS para que leia as propriedades das contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
    Se o servidor IAS autenticar tentativas de conexão de contas de usuário de outros domínios e esses domínios não tiverem uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro, consulte Autenticação entre florestas.
  4. Ative o log de arquivos para eventos de estatísticas e autenticação. Para obter mais informações, consulte Configurar propriedades do arquivo de log.
  5. Adicione os proxies IAS como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  6. Crie as diretivas de acesso remoto apropriadas para clientes de acesso.
    Para obter exemplos de diretivas de acesso remoto, consulte Exemplos de Diretivas de Acesso Remoto.

Configurando o servidor IAS secundário em outro controlador de domínio

Para configurar o servidor IAS secundário em outro controlador de domínio, faça o seguinte:

  1. No outro controlador de domínio, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS secundário (o outro controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS secundário é membro. Em seguida, configure o computador servidor IAS secundário para que leia as propriedades de contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
    Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios e esses domínios não tiverem uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro, consulte Autenticação entre florestas.
  4. Copie a configuração do servidor IAS primário para o servidor IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando os servidores RADIUS primário e secundário para o outro banco de dados de contas de usuários

Para configurar os servidores RADIUS primário e secundário para acessar os outros bancos de dados de contas de usuários e adicionar os dois proxies IAS como clientes RADIUS, consulte a documentação dos servidores RADIUS.

Configurando o proxy IAS primário

Para configurar o proxy IAS primário, faça o seguinte:

  1. Em um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS. O computador no qual o IAS é instalado não precisa ser dedicado ao encaminhamento de mensagens RADIUS. Por exemplo, você pode instalar o IAS em um servidor Web, em um servidor de arquivos ou em um servidor DNS.
  2. Se necessário, configure portas UDP adicionais para mensagens RADIUS que são enviadas pelos servidores de acesso. Para obter mais informações, consulte Configurar informações das portas no IAS. Por padrão, o IAS usa as portas UDP 1812 e 1645 para autenticação e as portas 1813 e 1646 para estatísticas.
  3. Adicione os servidores de acesso como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  4. Crie uma diretiva de solicitação de conexão que encaminhe mensagens de solicitação RADIUS aos servidores IAS em que o nome de território corresponda às contas de usuários da floresta.
    Use o <b>Assistente para nova diretiva de solicitação de conexão</b> para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão para um grupo de servidores remotos RADIUS e na qual o nome de território corresponda ao nome de território das contas de usuários da floresta. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS com membros que incluam os dois servidores IAS.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  5. Crie uma diretiva de solicitação de conexão que encaminhe aos servidores RADIUS mensagens de solicitação RADIUS com base no nome de território de contas existentes no banco de dados adicional de contas de usuários.
    Use o <b>Assistente para nova diretiva de solicitação de conexão</b> para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão a um servidor remoto RADIUS e na qual o nome de território corresponda ao nome de território das contas de usuários do banco de dados de contas de usuários adicional. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS com membros que incluam os dois servidores RADIUS.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  6. Exclua a diretiva de solicitação de conexão padrão chamada Usar autenticação do Windows para todos os usuários. Para obter mais informações, consulte Excluir uma diretiva de solicitação de conexão.

Configurando o proxy IAS secundário

Para configurar o proxy IAS secundário em outro computador, faça o seguinte:

  1. Em um computador que esteja executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Copie a configuração do proxy IAS primário para o proxy IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando estatísticas e autenticação RADIUS nos servidores de acesso

Para configurar cada servidor de acesso para usar os proxies IAS primário e secundário para autenticação, autorização e estatísticas de conexões de rede, faça o seguinte:

  1. Se o servidor dial-up ou VPN for um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou o Windows 2000 e o serviço Roteamento e Acesso Remoto, configure os proxies IAS primário e secundário como servidores RADIUS para autenticação e estatística RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS e Usar estatísticas RADIUS.
  2. Se o servidor dial-up ou VPN for um computador que esteja executando o Windows NT Server 4.0 e o serviço Roteamento e Acesso Remoto (RRAS), consulte a Ajuda online do Windows NT Server 4.0 para obter informações sobre como configurar os proxies IAS primário e secundário como servidores RADIUS para autenticação RADIUS.
  3. Se o servidor dial-up, o servidor VPN, o ponto de acesso sem fio ou o switch de autenticação for um servidor de acesso de outro fabricante, consulte a documentação do servidor de acesso para saber como configurá-lo como um cliente RADIUS com dois servidores RADIUS (os proxies IAS primário e secundário).

Observação

  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft