Exportar (0) Imprimir
Expandir Tudo

IAS como um proxy RADIUS

IAS como um proxy RADIUS

O serviço de autenticação de Internet (IAS) pode ser usado como um proxy RADIUS para fornecer o roteamento de mensagens RADIUS entre clientes RADIUS (servidores de acesso) e servidores RADIUS que executam autenticação, autorização e estatística do usuário para a tentativa de conexão. Quando usado como um proxy RADIUS, o IAS é um ponto de roteamento ou de comutação central pelo qual o acesso RADIUS e as mensagens sobre estatísticas fluem. O IAS registra as informações em um log de estatísticas sobre as mensagens que são encaminhadas.

A ilustração a seguir mostra o IAS como um proxy RADIUS entre os clientes RADIUS (servidores de acesso) e os servidores RADIUS ou outro proxy RADIUS.

IAS como um Proxy RADIUS

Quando o IAS é usado como um proxy RADIUS entre um cliente RADIUS e um servidor RADIUS, as mensagens RADIUS para as tentativas de conexão de acesso à rede são encaminhadas da seguinte maneira:

  1. Servidores de acesso, como servidores de acesso de rede dial-up, servidores VPN e pontos de acesso sem fio recebem solicitações de conexão de clientes de acesso.
  2. O servidor de acesso, configurado para usar RADIUS como protocolo de autenticação, autorização e estatísticas, cria uma mensagem Access-Request e a envia para o servidor IAS que está sendo usado como o proxy RADIUS IAS.
  3. O proxy RADIUS IAS recebe a mensagem Access-Request e, com base nas diretivas de solicitação de conexão configuradas localmente, determina para onde encaminhar a mensagem Access-Request.
  4. O proxy RADIUS IAS encaminha a mensagem Access-Request para o servidor RADIUS adequado.
  5. O servidor RADIUS avalia a mensagem Access-Request.
  6. Se necessário, o servidor RADIUS envia uma mensagem Access-Challenge para o proxy RADIUS IAS, no qual ele é encaminhado para o servidor de acesso. O servidor de acesso processa o desafio com o cliente de acesso e envia uma Access-Request atualizada para o proxy RADIUS IAS, no qual ele é encaminhado para o servidor RADIUS.
  7. O servidor RADIUS autentica e autoriza a tentativa de conexão.
  8. Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem Access-Accept para o proxy RADIUS IAS, no qual ele é encaminhado para o servidor de acesso.
    Se a tentativa de conexão não for autenticada nem autorizada, o servidor RADIUS enviará uma mensagem Access-Reject para o proxy RADIUS IAS, no qual ele é encaminhado para o servidor de acesso.
  9. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem Accounting-Request ao proxy RADIUS IAS. O proxy RADIUS IAS registra os dados de estatísticas e encaminha a mensagem para o servidor RADIUS.
  10. O servidor RADIUS envia uma Accounting-Response para o proxy RADIUS IAS, no qual ele é encaminhado para o servidor de acesso.

Você pode usar o IAS como um proxy RADIUS quando:

  • Você é um provedor de serviços que oferece serviços de acesso à rede sem fio, rede virtual privada (VPN) ou discagem terceirizada para diversos clientes. Seus servidores de acesso à rede enviam solicitações de conexão para o proxy RADIUS IAS. Com base na parte do território do nome do usuário na solicitação de conexão, o proxy RADIUS IAS encaminha a solicitação de conexão para um servidor RADIUS que é mantido pelo cliente e pode autenticar e autorizar a tentativa de conexão. Para obter mais informações, consulte Nomes de territórios.
  • Você deseja fornecer autenticação e autorização para as contas do usuário que não são membros do domínio no qual o servidor IAS é um membro ou outro domínio que tem uma relação de confiança bidirecional com o domínio no qual o servidor IAS é um membro. Isso inclui contas em domínios não confiáveis, domínios confiáveis unidirecionais e outras florestas. Em vez de configurar os servidores de acesso para enviar suas solicitações de conexão para um servidor RADIUS IAS, você pode configurá-los para enviar suas solicitações de conexão para um proxy RADIUS IAS. O proxy RADIUS IAS usa a parte do nome do território do nome do usuário e encaminha a solicitação para um servidor IAS no domínio ou na floresta corretos. As tentativas de conexão para as contas do usuário em um domínio ou uma floresta podem ser autenticadas para servidores de acesso à rede em outro domínio ou floresta.
    O IAS oferece suporte à autenticação por florestas sem um proxy RADIUS quando as duas florestas contêm apenas domínios compostos por controladores de domínio que executam Microsoft® Windows Server® 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition. O nível funcional da floresta deve ser Windows Server 2003 e deve haver uma relação de confiança bidirecional entre as florestas. No entanto, se você usar o EAP-TLS com certificados como seu método de autenticação, deverá usar um proxy RADIUS para autenticação pelas florestas compostas por domínios do Windows Server 2003.
  • Você deseja executar a autenticação e a autorização usando um banco de dados que não seja um banco de dados de conta do Windows. Nesse caso, as solicitações de conexão que correspondem a um nome de domínio especificado são encaminhadas para um servidor RADIUS, que tem acesso a um banco de dados diferente de contas de usuário e dados de autorização. Os exemplos de outros bancos de dados de usuários incluem os bancos de dados do Novell Directory Services (NDS) e da Structured Query Language (SQL).
  • Você deseja processar um grande número de solicitações de conexão. Nesse caso, em vez de configurar seus clientes RADIUS para tentar equilibrar suas solicitações de estatísticas e conexão por diversos servidores RADIUS, você pode configurá-las para enviar suas solicitações de estatísticas e conexão a um proxy RADIUS IAS. O proxy RADIUS IAS equilibra a carga de solicitações de estatísticas e conexão por diversos servidores RADIUS e aumenta o processamento de números maiores de clientes RADIUS e de autenticações por segundo.
  • Você deseja fornecer autenticação e autorização RADIUS para provedores de serviço terceirizados e minimizar a configuração de firewall da intranet. Um firewall de intranet está entre sua rede de perímetro (a rede entre a intranet e a Internet) e a intranet. Colocando um servidor IAS na rede de perímetro, o firewall entre a rede de perímetro e a intranet deve permitir que o tráfego flua entre o servidor IAS e diversos controladores de domínio. Ao substituir um servidor IAS por um proxy IAS, o firewall deve permitir apenas que o tráfego RADIUS flua entre o proxy IAS e um ou diversos servidores IAS dentro da intranet.

Para obter mais informações, consulte Implantando o IAS como proxy RADIUS.

Observação

  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft