• Artículo

The Cable GuyServidor de directivas de redes

Joseph Davies

Este artículo se basa en una versión preliminar de Windows Server 2008. Por tanto, toda la información de este documento está sujeta a cambios.

El servicio Servidor de directivas de redes (NPS) de Windows Server 2008 sustituye al Servicio de autenticación de Internet (IAS) de Windows Server 2003. NPS permite a un equipo que ejecuta Windows Server 2008 actuar como servidor y proxy del servicio de usuario de acceso telefónico de autenticación remota (RADIUS). RADIUS es un protocolo del Internet Engineering Task

Force (IETF) con especificaciones RFC 2865 y 2866 que ofrece autenticación centralizada, autorización y asignación de cuenta (AAA) para dispositivos de acceso a redes como puntos de acceso inalámbrico. Los servidores RADIUS llevan a cabo AAA para dispositivos de acceso a redes. Los proxys de RADIUS reenvían mensajes RADIUS entre clientes (dispositivos de acceso a redes) y servidores RADIUS.

NPS incluye muchas mejoras para facilitar la implementación de acceso autenticado a redes, ofrecer extensibilidad para componentes de terceros y para ser compatible con las últimas tecnologías y plataformas de red. El nuevo complemento NPS se muestra en la figura 1.

Figura 1 El nuevo complemento NPS

Figura 1** El nuevo complemento NPS **(Hacer clic en la imagen para ampliarla)

Características del Servidor de directivas de redes

En esta columna, hablaré de las características de NPS que no se incluyeron en versiones anteriores de Windows®. Empezaré explicando cómo la Protección de acceso a redes (NAP) ayuda a exigir los requisitos de estado para su red y afecta a la administración, la configuración, la compatibilidad con IPv6 y otros elementos. También describiré las características del nuevo complemento NPS.

Protección de acceso a redes NAP, que se presentó en Windows Server® 2008, constituye un conjunto de nuevas tecnologías que pueden ayudarle a exigir el cumplimiento de requisitos de estado de equipo, lo que le permite proteger de manera más adecuada su intranet. Sus directivas de estado pueden especificar, por ejemplo, que se debe instalar y habilitar un firewall y que se deben instalar las últimas actualizaciones de sistema operativo en todos los clientes que se conectan a su red. Con NAP, puede crear directivas personalizadas para certificar el estado de un equipo antes de permitir su acceso a redes o a comunicación, actualizar de forma automática los equipos para asegurar el cumplimiento continuo y limitar los equipos que no cumplan con la directiva a una red restringida hasta que cumplan. Para obtener más información, consulte microsoft.com/nap.

En una implementación de NAP, el servidor NPS es un servidor de la directiva de estado NAP que evalúa el estado de clientes NAP para garantizar los puntos de aplicación de NAP, tales como las autoridades de registro de estado (HRA), los puntos del acceso 802.1X, los servidores de red privada virtual (VPN) y los servidores del Protocolo de configuración dinámica de host (DHCP). El servidor NPS determina también si se debe conceder acceso completo o limitado a los clientes a la intranet. Las directivas de la red, las directivas de estado y la configuración NAP determinan el comportamiento de la evaluación del estado para NPS.

Compatibilidad con las directivas EAPHost y EAP NPS es compatible con EAPHost, la nueva arquitectura de métodos de autenticación para el Protocolo de Autenticación Extensible (EAP). Esta nueva arquitectura permite a proveedores de método EAP desarrollar e instalar de manera fácil los nuevos métodos EAP para 802.1X o autenticación basada en el protocolo punto a punto (PPP), tanto en los equipos cliente como servidores NPS.

EAPHost será compatible con la instalación y el uso de todos los métodos EAP incluidos en el Registro EAP en www.iana.org/assignments/eap-numbers, así como otros métodos de autenticación populares, como Cisco Systems Lightweight EAP (LEAP). EAPHost permite la coexistencia de múltiples implementaciones de un método EAP. Por ejemplo, puede instalar y seleccionar tanto la versión de Microsoft de EAP Protegido (PEAP) como la versión de Cisco Systems.

Para proveedores de método EAP, EAPHost es compatible con los métodos EAP ya desarrollados para Windows XP y Windows Server 2003, además de una manera más fácil de desarrollar nuevos métodos EAP para Windows Vista® y Windows Server 2008. Después de la instalación, puede configurar los métodos EAP necesarios para una situación específica de acceso a red en una directiva de red. Una directiva de red para NPS es igual que una directiva de acceso remoto para IAS.

Para obtener más información acerca de la arquitectura de EAPHost, consulte technetmagazine.com/issues/2007/05/CableGuy.

Configuración almacenada en XML IAS almacenaba su información de configuración en una base de datos Jet. NPS ahora almacena información de configuración en formato XML, lo que facilita la exportación de la configuración de un servidor de NPS e importarla a otro. Exportar e importar archivos de configuración es una forma de sincronizar la configuración de varios servidores NPS en una configuración con tolerancia a errores. Puede exportar la configuración NPS con el comando de exportación netsh nps e importarla con el comando de importación netsh nps.

Cumplimiento de Common Engineering Criteria NPS se ha actualizado para que sea compatible con la implementación en los entornos que deben cumplir con Microsoft® Common Engineering Criteria (CEC). Para obtener más información, consulte microsoft.com/windowsserversystem/cer/allcriteria.mspx.

DLL eficaces para extensión de NPS El servicio NPS puede extenderse a través de DLL de extensión y autorización. A diferencia de IAS, estos componentes de terceros están aislados dentro de NPS para que ningún problema que puedan encontrar afecte a la operación o ejecución de NPS.

Compatibilidad con IPv6 NPS es compatible con IPv6 y la implementación en entornos IPv6 nativos o de túnel. Puede configurar las direcciones IPv6 para clientes RADIUS o servidores remotos RADIUS y el servicio NPS puede comunicar sobre IPv6 para autenticación de cuenta de servicios de dominio y operaciones de autorización Active Directory®.

IAS frente a NPS

Si ya está familiarizado con el complemento IAS para Windows Server 2003, apreciará los siguientes cambios en el complemento NPS:

  • Las directivas de acceso remoto pasan a ser las directivas de red y se han colocado bajo el nodo Directivas.
  • El nodo Clientes RADIUS se ha trasladado bajo el nodo Clientes y servidores RADIUS.
  • Ya no hay un nodo Procesamiento de solicitud de conexión. El nodo Directivas de solicitud de conexión se ha trasladado bajo Directivas y el nodo Grupos de servidores remotos RADIUS se ha colocado bajo Clientes y servidores RADIUS.
  • La configuración de perfiles y las condiciones de la Directiva de acceso remoto se han reorganizado en la fichas Información general, Condiciones, Restricciones y Configuración de las propiedades de una directiva de red.
  • Las condiciones de la directiva de solicitud de conexión y la configuración de perfiles se han reorganizado en las fichas Información general, Condiciones y Configuración de las propiedades de una directiva de solicitud de conexión.
  • La carpeta Registro de acceso remoto ha cambiado de nombre al nodo Cuentas y ya no tiene los nodos Archivo local o SQL ServerTM.

Generación automática de secretos compartidos seguros de RADIUS Los secretos compartidos de RADIUS se usan para comprobar que los mensajes RADIUS han sido enviados por un cliente, servidor o proxy RADIUS configurado con el mismo secreto compartido. Los secretos compartidos se usan también para cifrar algunos atributos confidenciales de RADIUS, como las contraseñas y las claves de cifrado. Los secretos compartidos seguros de RADIUS son una secuencia larga (más de 22 caracteres) y aleatoria de letras, números y signos de puntuación.

Con el complemento NPS, puede generar automáticamente un secreto compartido seguro RADIUS cuando agregue o edite un cliente RADIUS. Este secreto compartido seguro puede copiarse a un editor de texto, como el Bloc de notas, así que tiene la capacidad de configurar el dispositivo de acceso a redes o punto de aplicación NAP con el mismo secreto compartido.

Integración con el administrador de servidores Puede instalar NPS a través de las herramientas Tareas de configuración inicial y Administrador de servidores. En ambos casos, se instala NPS con la Directiva de red y la función de Servicios de acceso. Para empezar, en la herramienta Tareas de configuración inicial en Personalizar este servidor, haga clic en la opción Agregar funciones. En la herramienta Administrador de servidores, abra Resumen de funciones y haga clic en Agregar funciones.

Después de instalar NPS, puede hacer clic en Directiva de red y Servicios de acceso bajo el nodo Funciones en el árbol de la consola del Administrador de servidores para comprobar el estado del servicio NPS y para ver eventos de error encontrados en las últimas 24 horas. Cuando amplía la Directiva de red y el nodo Acceso a servicios en la consola, puede configurar NPS con el complemento NPS.

Compatibilidad mejorada con Netsh Windows Server 2003 tenía un conjunto limitado de comandos en el contexto netsh aaaa para configurar IAS. En Windows Server 2008, el nuevo contexto netsh nps tiene un conjunto extenso de comandos para configurar NPS en la línea de comandos o a través de un script. Ahora, con los comandos netsh nps, puede configurar clientes y servidores remotos RADIUS, directivas de red, inicio de sesión y para NAP, directivas de estado, validadores de estado del sistema y grupos de servidores de actualizaciones. Los scripts formados por comandos en el contexto netsh nps ofrecen otra manera de sincronizar la configuración de múltiples servidores NPS en una configuración con tolerancia a errores.

Etiquetas de origen para el aislamiento de la directiva de red Las directivas de red pueden configurarse para un tipo específico de servidor de acceso a redes o punto de aplicación NAP, como un servidor DHCP o HRA, que pasan a ser una etiqueta de origen que clasifica la directiva de red. Los servidores de acceso basados en Windows Server 2008 y puntos de aplicación NAP incluyen esta etiqueta de origen en sus mensajes RADIUS. Cuando se recibe un mensaje RADIUS solicitando el acceso, el servicio NPS intenta encontrar una directiva de red coincidente que tenga la misma etiqueta de origen que el mensaje entrante. Si ninguna directiva coincide, NPS intenta encontrar una directiva de red coincidente para esas directivas que no tienen etiqueta de origen especificada.

El uso de la etiqueta de origen en la directiva de red y mensajes RADIUS entrantes aísla los diferentes tipos de directivas de red una de la otra. Por ejemplo, las directivas de red para servidores DHCP no se usan para conexiones VPN.

Integración con el control de acceso a redes de Cisco NPS es compatible con características para integrarse mejor en un entorno que use hardware de Cisco y el Control de acceso a redes (NAC). Las características incluyen compatibilidad con el Protocolo de autorización de credencial de host (HCAP) y las condiciones de HCAP, la condición de expiración de la directiva y la configuración de Protección de acceso a redes de estado extendido en directivas de red.

Condiciones de nueva directiva de red Las directivas de redes en NPS tienen nuevas condiciones que han sido pensadas para especificar grupos de equipos, grupos de usuarios, tipos permitidos de EAP y direcciones de servidor de acceso y cliente IPv6. Para la compatibilidad con HCAP, NPS tiene condiciones nuevas para grupos de ubicación y grupos de usuarios. Para la compatibilidad con NAP, NPS tiene condiciones de directiva nuevas para el tipo identidad, directiva de estado, equipos compatibles con NAP, sistema operativo y expiración de directiva.

El complemento NPS El nuevo complemento NPS se ha mejorado significativamente para que pueda administrar fácilmente clientes y servidores remotos RADIUS, con directivas de red para situaciones comunes de acceso a redes, directivas de estado y configuración NAP para situaciones NAP y configuración de inicio de sesión.

En el nodo Clientes y servidores RADIUS, puede configurar clientes RADIUS (servidores de acceso a redes, puntos de aplicación de NAP u otros proxys RADIUS cuando NPS actúa como un servidor RADIUS) y grupos de servidores remotos RADIUS (otros servidores RADIUS cuando NPS actúa como un proxy RADIUS).

En el nodo Directivas, puede configurar directivas de solicitud de conexión (tanto si el servicio NPS actúa como servidor o como proxy de RADIUS), directivas de red (configuración y restricciones de autorización y conexión cuando el servicio NPS actúa como servidor RADIUS) y las directivas de estado (cumplimiento de estado de sistema para clientes NAP). Cuando selecciona una directiva de solicitud de conexión o una directiva de red en el panel de detalles, el complemento NPS muestra las condiciones de la directiva y la configuración. La figura 2 muestra un ejemplo del aspecto de lo explicado.

Figura 2 Visualización mejorada del complemento NPS

Figura 2** Visualización mejorada del complemento NPS **(Hacer clic en la imagen para ampliarla)

En el nodo Protección de acceso a redes, el nodo Validadores de estado del sistema le permite configurar los requisitos de estado NAP. El nodo Grupos del servidor de actualizaciones le permite configurar el conjunto de servidores que restringieron a los clientes NAP el acceso a los métodos de aplicación VPN y DHCP NAP. Por último, en el nodo Cuentas, puede configurar cómo NPS almacena la información de cuenta.

El complemento NPS incluye un conjunto extenso de asistentes para automatizar la configuración inicial de clientes RADIUS y las directivas necesarias para métodos de aplicación de NAP, conexiones telefónicas o basadas en VPN y para conexiones inalámbricas autenticadas 802.1X y conexiones con cable. Para métodos de aplicación de NAP, el asistente de NAP configura automáticamente todas las directivas de solicitud de conexión, directivas de red y directivas de estado.

Estos nuevos asistentes están disponibles al hacer clic en el nodo NPS en el complemento NPS. Para configurar las directivas y la configuración para métodos de aplicación de NAP, seleccione Protección de acceso a redes en el cuadro desplegable Configuración estándar y, a continuación, haga clic en Configurar NAP. Para configurar las directivas y la configuración para VPN o acceso telefónico a redes, seleccione el servidor RADIUS para conexiones telefónicas o VPN en el cuadro desplegable Configuración estándar y, a continuación, haga clic en Configurar VPN o Telefónico. Para configurar las directivas y la configuración para acceso inalámbrico autenticado 802.1X o por cable, seleccione servidor RADIUS 802.1X inalámbrico o conexiones por cable en el cuadro desplegable Configuración estándar y, a continuación, haga clic en Configurar 802.1X.

Cada uno de estos asistentes le guía a través de los elementos de configuración más comunes para la situación elegida. Los asistentes para los métodos de aplicación de NAP son especialmente útiles: el asistente para NAP para la aplicación de VPN crea una directiva de solicitud de conexión, tres directivas de red (para clientes compatibles con NAP, para clientes no compatibles con NAP y para clientes que no son NAP) y dos directivas de estado (para clientes compatibles y no compatibles con NAP).

Los nuevos asistentes NAP y otros asistentes para crear clientes RADIUS, grupos de servidores remotos RADIUS, directivas de solicitud de conexión y directivas de red, hacen mucho más fácil configurar NPS en diversas situaciones de acceso a redes.

Joseph Davieses escritor técnico en Microsoft y ha enseñado y escrito acerca de temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es el autor de la columna mensual Cable Guy de TechNet.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.