Exportar (0) Imprimir
Expandir Todos

Funcionalidades do IAS

Funcionalidades do IAS

O serviço de autenticação da Internet (IAS, Internet Authentication Service) inclui suporte para as seguintes funcionalidades:

  • Vários de métodos de autenticação
    O IAS suporta vários protocolos de autenticação e permite-lhe adicionar métodos personalizados que satisfaçam os requisitos de autenticação. Os métodos de autenticação suportados são:
    • Protocolos de autenticação ponto-a-ponto (PPP, Point-to-Point Protocol) baseados em palavras-passe
      São suportados os protocolos de autenticação PPP baseados em palavras-passe, tais como o protocolo de autenticação de palavras-passe (PAP, Password Authentication Protocol), o protocolo de autenticação Challenge Handshake (CHAP, Challenge Handshake Authentication Protocol), o protocolo de autenticação Challenge Handshake da Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol) e a versão 2 do MS-CHAP (MS-CHAP v2). Para mais informações, consulte Métodos de autenticação.
    • Protocolo de autenticação extensível (EAP, Extensible Authentication Protocol)
      É uma infra-estrutura baseada nos padrões da Internet que permite a adição de métodos de autenticação arbitrários, tais como cartões Smart Card, certificados, palavras-passe a serem utilizadas uma só vez e cartões token. Um método de autenticação específico que utiliza a infra-estrutura EAP é um tipo de EAP. O IAS inclui suporte para EAP-Message Digest 5 (MD5) e EAP-TLS (Extensible Authentication Protocol-Transport Level Security). Para mais informações, consulte EAP.
  • Vários de métodos de autorização
    O IAS suporta vários protocolos de autorização e permite-lhe adicionar métodos personalizados que satisfaçam os requisitos de autorização. Os métodos de autorização suportados são:
    • Serviço de identificação do número marcado (DNIS, Dialed Number Identification Service)
      Autorização de uma tentativa de ligação com base no número marcado. O serviço DNIS fornece o número marcado ao receptor da chamada e é fornecido pela maior parte das empresas de telecomunicações padrão.
    • Identificação automática do número/Identificação da linha chamadora (ANI/CLIP, Automatic Number Identification/Calling Line Identification)
      Autorização de uma tentativa de ligação com base no número de telefone do autor da chamada. O serviço ANI/CLIP fornece o número do autor da chamada ao receptor da chamada e é fornecido pela maior parte das empresas de telecomunicações padrão.
    • Autorização de convidado
      Utilização da conta Convidado como a identidade do utilizador, quando a ligação é efectuada sem credenciais de utilizador (nome de utilizador e palavra-passe).
      Para mais informações, consulte Acesso não autenticado.
  • Servidores de acesso heterogéneo
    O IAS suporta servidores de acesso que suportam RADIUS RFC 2865 e 2866. Além de servidores de acesso telefónico (também conhecidos como servidores de acesso à rede), o IAS suporta também:
    • Pontos de acesso sem fios
      Ao utilizar políticas de acesso remoto e a condição de tipo de porta Sem fios-IEEE 802.11, o IAS pode ser utilizado como um servidor RADIUS para pontos de acesso sem fios que utilizem RADIUS para autenticação e autorização de nós sem fios. Para mais informações, consulte Novas funcionalidades do IAS.
    • Comutadores de autenticação
      Ao utilizar políticas de acesso remoto e a condição de tipo de porta Ethernet, o IAS pode ser utilizado como um servidor RADIUS para comutadores de rede Ethernet que utilizem RADIUS para autenticação e autorização de nós comutadores. Para mais informações, consulte Novas funcionalidades do IAS.
    • Integração com o serviço de Encaminhamento e acesso remoto
      O IAS e o serviço de Encaminhamento e acesso remoto partilham políticas de acesso remoto e capacidades de ficheiro de registo. Esta integração fornece uma implementação consistente do IAS e do serviço de Encaminhamento e acesso remoto. Permite-lhe implementar o serviço de Encaminhamento e acesso remoto em pequenos locais sem necessitar de um servidor IAS centralizado, separado. Fornece também a capacidade de dimensionar um modelo de gestão de acesso remoto centralizado, sempre que tiver vários servidores de Encaminhamento e acesso remoto na organização. O IAS, em conjunto com os servidores de Encaminhamento e acesso remoto, implementa um único ponto de administração para acesso remoto à rede para marcação através de recursos externos, marcação a pedido e acesso VPN. As políticas do IAS, num local grande e central, podem ser exportadas para o servidor de Encaminhamento e acesso remoto independente, num pequeno local.
  • Proxy RADIUS
    O IAS permite que um pedido RADIUS a receber seja reencaminhado para outro servidor RADIUS para processamento da autenticação e autorização ou gestão de contas. Enquanto proxy RADIUS, o IAS pode ser utilizado sempre que o pedido RADIUS tiver de ser ser encaminhado para outro servidor RADIUS. O IAS pode reencaminhar pedidos com base no nome de utilizador, endereço IP do servidor de acesso, identificador do servidor de acesso e outras condições. Para mais informações, consulte Novas funcionalidades do IAS.
  • Acesso telefónico através de recursos externos e acesso à rede sem fios
    A marcação através de recursos externos (também conhecida como marcação via terceiros) fornece um contracto entre uma organização (o cliente) e um fornecedor de serviços Internet (ISP, Internet service provider). O ISP permite que os empregados da organização liguem à respectiva rede antes de se estabelecer o túnel VPN para a rede privada da organização. Quando um empregado da organização estabelece ligação ao servidor de acesso à rede (NAS, network access server) do ISP, os registos de autenticação e utilização são reencaminhados para o servidor IAS da organização. O servidor IAS permite à organização controlar a autenticação de utilizador, monitorizar a utilização e determinar quais os empregados que podem aceder à rede do ISP.
    A vantagem da marcação através de recursos externos consiste nas potenciais poupanças que poderá obter. Através da utilização de routers de um ISP, servidores de acesso à rede e ligações de rede alargada (WAN, Wide Area Network), em vez de adquirir equipamento próprio, poderá reduzir significativamente os custos com o hardware (infra-estrutura). Através da marcação utilizando o ISP, nas ligações a nível mundial, pode reduzir significativamente a factura telefónica de chamadas de longa distância. Além disso, se mover requisitos de suporte para o fornecedor, pode eliminar custos administrativos.
    Pode também utilizar recursos externos para acesso sem fios. Um fornecedor pode fornecer acesso sem fios numa localização remota e utilizar o nome de utilizador para reencaminhar o pedido de ligação para um servidor RADIUS sob controlo para autenticação e autorização. Um bom exemplo é o acesso sem fios à Internet num aeroporto.
  • Autenticação e autorização centralizadas do utilizador
    Para autenticar um pedido de ligação, o IAS valida as credenciais de ligação nas contas de utilizador no Gestor de contas de segurança (SAM) local, num domínio do Microsoft® Windows NT® Server 4.0 ou num domínio do Active Directory®. Num domínio do Active Directory, o IAS suporta a utilização de nomes principais de utilizador (UPN, user principal name) e de grupos universais.
    Para autorizar um pedido de ligação, o IAS utiliza as propriedades de acesso telefónico da conta de utilizador que correspondem às credenciais de ligação e às políticas de acesso remoto. Embora seja relativamente fácil gerir a permissão de acesso remoto para cada conta de utilizador, esta abordagem pode deixar de se adaptar da melhor forma à medida que uma organização for crescendo. As políticas de acesso remoto fornecem um meio mais avançado e flexível de gerir permissões de acesso remoto. Pode autorizar o acesso à rede com base em várias condições, incluindo:
    • Os membros da conta de utilizador num grupo.
    • A hora ou dia da semana.
    • O tipo de suporte de dados através do qual o utilizador estabelece a ligação (por exemplo, sem fios, comutador Ethernet, modem ou VPN)
    • O número de telefone para o qual o utilizador efectua a ligação.
    • O servidor de acesso a partir do qual chega o pedido.
      Ao configurar as definições do perfil nas políticas de acesso remoto, pode controlar vários parâmetros de ligação, incluindo:
    • A utilização de métodos de autenticação específicos.
    • O tempo limite de inactividade.
    • O tempo máximo de uma sessão única.
    • O número de ligações numa sessão multiligação.
    • A utilização de encriptação e respectiva força.
    • A utilização de filtros de pacote para controlar os elementos a que pode aceder o utilizador de acesso remoto quando estiver ligado à rede. Por exemplo, pode utilizar filtros para controlar quais os endereços IP, anfitriões e portas que o utilizador está autorizado a utilizar quando envia ou recebe pacotes.
    • A criação de um túnel obrigatório que force todos os pacotes dessa ligação a serem transmitidos de modo seguro através da Internet e a terminem numa rede privada.
    • O identificador de rede local virtual (VLAN ID, virtual local area network identifier) para ligações sem fios ou Ethernet.
  • Administração centralizada para todos os servidores de acesso.
    O suporte para o padrão RADIUS permite ao IAS controlar os parâmetros de ligação para qualquer servidor de acesso que implemente RADIUS. O padrão RADIUS também permite aos fornecedores de acesso remoto individuais criarem extensões proprietárias, denominadas atributos específicos do fornecedor (VSA, vendor-specific attribute). O IAS incorporou as extensões de vários fornecedores no respectivo dicionário. Pode adicionar VSA adicionais ao perfil das políticas de acesso remoto individuais. Para mais informações, consulte Descrição geral dos atributos específicos do fornecedor.
  • Auditoria e gestão de contas de utilização centralizadas
    Numa localização central, o suporte para o padrão RADIUS permite ao IAS recolher, os registos de utilização (gestão de contas) enviados por todos os servidores. O IAS armazena informações sobre auditoria (por exemplo, aceitação e rejeição da autenticação) e informações sobre a utilização (por exemplo, registos de ligação e interrupção) em ficheiros de registo. O IAS suporta um formato de ficheiro de registo que pode ser directamente importado para uma base de dados. Em seguida, os dados podem ser analisados através de qualquer aplicação de análise de dados padrão. Para mais informações, consulte Registar pedidos de autenticação de utilizador e de gestão de contas.
  • Ferramenta de gestão baseada no snap-in
    O IAS fornece uma ferramenta administrativa denominada snap-in Serviço de autenticação da Internet. Para administrar o IAS num computador local, pode executar o Serviço de autenticação da Internet a partir de Ferramentas administrativas. Em alternativa, pode adicionar o snap-in Serviço de autenticação da Internet à Consola de gestão da Microsoft (MMC, Microsoft Management Console) para administrar o IAS em execução num computador local ou num computador remoto.
  • Monitorização local ou remota com ferramentas fornecidas no Microsoft® Windows Server® 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition
    Pode monitorizar o IAS localmente ou num computador remoto com ferramentas fornecidas no Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition, incluindo o Visualizador de Eventos, o Monitor de Sistema e o Protocolo de Gestão de Rede Simples (SNMP, Simple Network Management Protocol). Pode também utilizar o Monitor de rede para capturar mensagens RADIUS para análise de tráfego detalhada e resolução de problemas.
  • Escalabilidade
    Pode utilizar o IAS em várias configurações de rede de dimensão variável, desde servidores autónomos de pequenas redes até grandes organizações e redes ISP.
  • Suporte para vários servidores IAS
    A sincronização da configuração de vários servidores IAS pode ser efectuada utilizando a ferramenta da linha de comandos Netsh. Para mais informações, consulte Copiar a configuração do IAS para outro servidor.
  • Extensibilidade
    O Windows Server 2003 Platform Software Development Kit (SDK) contém dois SDK de rede mais pequenos: o SDK do IAS e o SDK do EAP.
    Pode utilizar o SDK do IAS para:
    • Devolver atributos personalizados ao servidor de acesso, para além dos atributos devolvidos pelo IAS. Por exemplo, pode criar um módulo personalizado para atribuir endereços IP.
    • Controlar o número de sessões de rede de utilizador.
    • Importar dados de utilização e auditoria directamente para a uma base de dados compatível com a interligação de bases de dados abertas (ODBC, Open Database Connectivity).
    • Criar módulos de autorização personalizados.
    • Criar módulos de autenticação personalizados (não EAP).

Pode utilizar o SDK do EAP para criar tipos de EAP. Para mais informações, consulte EAP.

Nota

  • É possível configurar o IAS no Windows Server 2003, Standard Edition, com um máximo de 50 clientes RADIUS e um máximo de 2 grupos de servidores RADIUS remotos. É possível definir um cliente RADIUS utilizando um nome de domínio totalmente qualificado ou um endereço IP, mas não é possível definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS for resolvido para vários endereços IP, o servidor IAS utiliza o primeiro endereço IP devolvido na consulta de DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, pode configurar um número ilimitado de clientes RADIUS e de grupos de servidores RADIUS remotos. Além disso, é possível configurar clientes RADIUS especificando um intervalo de endereços IP.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft