• Articolo

The Cable GuyServer dei criteri di rete (Network Policy Server)

Joseph Davies

Questo articolo si basa su una versione provvisoria di Windows Server 2008. Tutte le informazioni riportate sono soggette a modifica.

Il servizio Server dei criteri di rete (NPS, Network Policy Server) in Windows Server 2008 sostituisce Servizio autenticazione Internet (IAS, Internet Authentication Service) utilizzato in Windows Server 2003. NPS consente a un computer che utilizza Windows Server 2008 di agire da server e proxy di Remote Authentication Dial-in User Service (RADIUS). RADIUS è un protocollo Internet Engineering Task

Force (IETF) specificato nelle RFC 2865 e 2866 che garantisce autenticazione, autorizzazione e accounting (AAA) centralizzati per i dispositivi di accesso alla rete, come i punti di accesso wireless. I server RADIUS eseguono le operazioni di AAA per i dispositivi di accesso alla rete. I proxy RADIUS inoltrano messaggi RADIUS tra i client RADIUS (i dispositivi di accesso alla rete) e i server RADIUS.

I miglioramenti di NPS per facilitare la distribuzione dell'accesso autenticato alla rete, garantire l'estendibilità per i componenti di terze parti e supportare le tecnologie e le piattaforme di rete più recenti sono molteplici. Il nuovo snap-in NPS è illustrato nella Figura 1.

Figura 1 Il nuovo snap-in NPS

Figura 1** Il nuovo snap-in NPS **(Fare clic sull'immagine per ingrandirla)

Funzionalità di Server dei criteri di rete

In questo articolo verranno illustrate le funzionalità di NPS che non erano disponibili nelle versioni precedenti di Windows®. La prima è Protezione accesso alla rete che consente di applicare dei requisiti di integrità alla rete, quindi si passerà alla gestione, alla configurazione, al supporto di IPv6 e agli altri argomenti. Verranno inoltre descritte le funzionalità del nuovo snap-in NPS.

Protezione accesso alla rete Protezione accesso alla rete, introdotto con Windows Server® 2008, consiste in una serie di nuove tecnologie che consentono di applicare dei requisiti di conformità per l'integrità dei computer, al fine di ottenere una migliore protezione dell'intranet. I criteri di integrità possono prevedere, ad esempio, che deve essere installato e attivato un firewall e che su tutti i client che si connettono alla rete devono essere installati gli aggiornamenti più recenti del sistema operativo. Con Protezione accesso alla rete è possibile creare criteri personalizzati per la certificazione dell'integrità dei computer prima di consentire l'accesso alla rete o la comunicazione, aggiornare automaticamente i computer per garantire una conformità costante e confinare i computer non conformi su una rete limitata fino a che non tornano conformi. Per ulteriori informazioni, vedere microsoft.com/nap.

In una distribuzione di Protezione accesso alla rete, il server NPS è un server criteri di integrità Protezione accesso alla rete che valuta l'integrità dei client di Protezione accesso alla rete per conto dei punti di imposizione Protezione accesso alla rete, come le Autorità registrazione integrità (HRA), i punti di accesso 802.1X, i server della rete privata virtuale (VPN) e i server del protocollo DHCP. Il server NPS determina inoltre se ai client deve essere concesso un accesso pieno o limitato all'intranet. I criteri di rete, i criteri di integrità e le impostazioni di Protezione accesso alla rete determinano il comportamento di valutazione dell'integrità per NPS.

Supporto dei criteri EAPHost ed EAP NPS supporta EAPHost, la nuova architettura per i metodi di autenticazione dell'Extensible Authentication Protocol (EAP). La nuova architettura consente ai fornitori di metodi EAP di sviluppare e installare facilmente nuovi metodi EAP per 802.1X o autenticazioni basate sul protocollo point-to-point (PPP) su server NPS e computer client.

EAPHost supporterà l'installazione e l'uso di tutti i metodi EAP riportati nel Registro di sistema EAP all'indirizzo www.iana.org/assignments/eap-numbers, oltre agli altri metodi di autenticazione più diffusi come il Lightweight EAP (LEAP) di Cisco Systems. EAPHost consente di utilizzare contemporaneamente più implementazioni del metodo EAP. Ad esempio, è possibile installare e scegliere la versione Microsoft e la versione di Cisco Systems di Protected EAP (PEAP).

Per i fornitori di metodi EAP, EAPHost supporta i metodi EAP già sviluppati per Windows XP e Windows Server 2003, oltre a modalità semplificate di sviluppo di nuovi metodi EAP per Windows Vista® e il Windows Server 2008. Dopo l'installazione, è possibile configurare i metodi EAP necessari per un determinato scenario di accesso alla rete in un criterio di rete. Un criterio di rete per NPS equivale a un criterio di accesso remoto per IAS.

Per ulteriori informazioni sull'architettura EAPHost, vedere technetmagazine.com/issues/2007/05/CableGuy.

Configurazione memorizzata in formato XML IAS memorizzava le informazioni di configurazione in un database Jet. Ora NPS memorizza le informazioni di configurazione in formato XML, facilitando l'esportazione della configurazione di un server NPS e l'importazione in un altro server. L'importazione ed esportazione dei file di configurazione è uno dei metodi utilizzabili per la sincronizzazione delle impostazioni di più server NPS in una configurazione a tolleranza d'errore. È possibile esportare la configurazione NPS con il comando netsh nps export e importarla con il comando netsh nps import.

Conformità ai Common Engineering Criteria NPS è stato aggiornato in modo da supportare la distribuzione in ambienti che devono soddisfare i criteri Microsoft® Common Engineering Criteria (CEC). Per ulteriori informazioni, vedere microsoft.com/windowsserversystem/cer/allcriteria.mspx.

DLL di estensione NPS solide Il servizio NPS può essere esteso con DLL di estensione e autorizzazione. Al contrario di IAS, questi componenti di terze parti vengono gestiti in sandbox di NPS in modo che gli eventuali problemi che si verificano non influiscano sul funzionamento o sull'esecuzione del servizio NPS.

Supporto di IPv6 NPS supporta IPv6 e la distribuzione in ambienti IPv6 nativi o con tunnel. È possibile configurare gli indirizzi IPv6 per i client RADIUS o i server RADIUS remoti e il servizio NPS può comunicare tramite IPv6 per le operazioni di autenticazione e autorizzazione degli account dei servizi di dominio Active Directory®.

IAS a confronto con NPS

Se si conosce già bene lo snap-in IAS per Windows Server 2003, si apprezzeranno le seguenti modifiche apportate allo snap-in NPS:

  • I criteri di accesso remoto sono diventati criteri di rete e sono stati spostati sotto il nodo Criteri.
  • Il nodo Client RADIUS è stato spostato sotto il nodo Client e server RADIUS.
  • Non esiste più un nodo Elaborazione richiesta di connessione. Il nodo Criteri richiesta di connessione è stato spostato sotto Criteri e il nodo Gruppi di server RADIUS remoti è stato spostato sotto Client e server RADIUS.
  • Le impostazioni delle condizioni dei criteri di accesso remoto e del profilo sono state riorganizzate sulle schede Panoramica, Condizioni, Vincoli e Impostazioni per le proprietà di un criterio di rete.
  • Le impostazioni delle condizioni dei criteri di richiesta di connessione e del profilo sono state riorganizzate sulle schede Panoramica, Condizioni e Impostazioni per le proprietà di un criterio di richiesta di connessione.
  • Nella cartella Registrazione Accesso remoto è stato rinominato il nodo Accounting e non esistono più i nodi File locale o SQL ServerTM.

Generazione automatica di segreti condivisi RADIUS complessi I segreti condivisi RADIUS vengono utilizzati per verificare che i messaggi RADIUS vengano inviati da un client, server o proxy RADIUS configurato con il medesimo segreto condiviso. I segreti condivisi vengono inoltre utilizzati per crittografare alcuni attributi RADIUS riservati, come password e chiavi di crittografia. I segreti condivisi RADIUS complessi sono una lunga (più di 22 caratteri) sequenza di lettere, numeri e simboli di punteggiatura casuali.

Con lo snap-in NPS, è possibile generare automaticamente un segreto condiviso RADIUS complesso quando si aggiunge o si modifica un client RADIUS. Il segreto condiviso RADIUS complesso può essere copiato in un editor di testo, come Blocco Note, quindi è possibile configurare il dispositivo di accesso alla rete o il punto di imposizione Protezione accesso alla rete con lo stesso segreto condiviso.

Integrazione con Server Manager È possibile installare NPS con gli strumenti Attività di configurazione iniziale o di Server Manager. In entrambi i casi si installa NPS con il ruolo Servizi di accesso e criteri di rete. Per iniziare, sotto Personalizzazione del server nello strumento Attività di configurazione iniziali, fare clic sull'opzione l'opzione Aggiungi ruoli. Nello strumento Server Manager aprire Riepilogo ruoli e fare clic su Aggiungi ruoli.

Dopo aver installato NPS, è possibile fare clic su Servizi di accesso e criteri di rete sotto il nodo Ruoli nella struttura console di Server Manager per verificare lo stato del servizio NPS e visualizzare gli eventi di errore che si sono verificati nelle ultime 24 ore. Quando si espande il nodo Servizi di accesso e criteri di rete nella console, è possibile configurare NPS con lo snap-in NPS.

Supporto di netsh migliorato La serie di comandi di Windows Server 2003 nel contesto netsh aaaa per la configurazione di IAS era limitata. In Windows Server 2008 il nuovo contesto netsh nps prevede una serie estesa di comandi per la configurazione di NPS da riga di comando o tramite uno script. Con i comandi netsh nps è possibile configurare i client RADIUS e i server RADIUS remoti, i criteri di rete, la registrazione e, per Protezione accesso alla rete, i criteri di integrità, le convalide dell'integrità del sistema e i gruppi server di monitoraggio e aggiornamento. Gli script costituiti da comandi nel contesto netsh nps rappresentano un metodo alternativo per sincronizzare le impostazioni di più server NPS in una configurazione a tolleranza di errore.

Tag origine per l'isolamento dei criteri di rete I criteri di rete possono essere configurati per un tipo specifico di server di accesso alla rete o di punto di imposizione Protezione accesso alla rete, come un server DHCP o un HRA, che diventa un tag origine che classifica i criteri di rete. I server di accesso basati su Windows Server 2008 e i punti di imposizione Protezione accesso alla rete contengono questo tag origine nei rispettivi messaggi RADIUS. Quando viene ricevuto un messaggio RADIUS che richiede l'accesso, il servizio NPS tenta di trovare un criterio di rete corrispondente con il medesimo tag origine del messaggio in arrivo. Se non viene rilevato alcun criterio corrispondente, NPS tenta di trovare un criterio di rete corrispondente per i criteri senza alcun tag origine specificato.

L'utilizzo del tag origine in criteri di rete e messaggi RADIUS in entrata consente di isolare i diversi tipi di criteri di rete uno dall'altro. I criteri di rete per i server DHCP, ad esempio, non vengono utilizzati per le connessioni VPN.

Integrazione con il controllo di accesso alla rete di Cisco NPS supporta alcune funzionalità per facilitare l'integrazione in un ambiente che utilizza hardware Cisco e il Network Access Control (NAC). Tali funzionalità prevedono il supporto per Host Credential Authorization Protocol (HCAP) e le condizioni HCAP, la condizione di scadenza dei criteri e l'impostazione di stato esteso di Protezione accesso alla rete nei criteri di rete.

Nuove condizioni dei criteri di rete Esistono nuove condizioni per i criteri di rete in NPS, progettate per specificare gruppi di computer, gruppi di utenti, tipi di EAP consentiti e indirizzi IPv6 di client e server di accesso. Per il supporto di HCAP, NPS è dotato di nuove condizioni per i gruppi di posizioni e i gruppi di utenti. Per il supporto di Protezione accesso alla rete, NPS è dotato di nuove condizioni dei criteri per tipo di identità, criteri di integrità, computer compatibili con Protezione accesso alla rete, sistema operativo e scadenza dei criteri.

Snap-in NPS Il nuovo snap-in NPS è stato molto migliorato, in modo che si possano creare e gestire facilmente i client RADIUS e i server RADIUS remoti, i criteri di rete per gli scenari di accesso alla rete comuni, le impostazioni di criteri di integrità e Protezione accesso alla rete per gli scenari di Protezione accesso alla rete e le impostazioni di registrazione.

Nel nodo Client e server RADIUS è possibile configurare i client RADIUS (server di accesso alla rete, punti di imposizione Protezione accesso alla rete o altri proxy RADIUS quando NPS agisce da server RADIUS) e i gruppi di server RADIUS remoti (altri server RADIUS quando NPS agisce da proxy RADIUS).

Nel nodo Criteri è possibile configurare i criteri di richiesta di connessione (se il servizio di NPS agirà da server o proxy RADIUS), i criteri di rete (impostazioni e vincoli di autorizzazione e connessione quando il servizio NPS agisce da server RADIUS) e i criteri di integrità (conformità di integrità del sistema per i client di Protezione accesso alla rete). Quando si sceglie un criterio di richiesta di connessione o un criterio di rete nel riquadro dei dettagli, nello snap-in NPS vengono visualizzate le condizioni e le impostazioni del criterio. Nella Figura 2 è illustrato un esempio.

Figura 2 Lo snap-in NPS migliorato

Figura 2** Lo snap-in NPS migliorato **(Fare clic sull'immagine per ingrandirla)

Nel nodo Protezione accesso alla rete il nodo Convalida integrità sistema consente di configurare i requisiti di integrità di Protezione accesso alla rete. Il nodo Gruppi server di monitoraggio e aggiornamento consente di configurare la serie di server a cui possono accedere i client limitati di Protezione accesso alla rete per i metodi di imposizione di Protezione accesso alla rete di VPN e DHCP. Infine, nel nodo Accounting, è possibile configurare le modalità di memorizzazione delle informazioni di accounting di NPS.

Lo snap-in NPS è dotato di una serie completa di procedure guidate per automatizzare la configurazione iniziale dei client RADIUS e dei criteri necessari per i metodi di imposizione di Protezione accesso alla rete, le connessioni di accesso remoto o basate su VPN e le connessioni autenticate tramite 802.1X wireless o cablate. Per i metodi di imposizione di Protezione accesso alla rete, la procedura guidata configura automaticamente tutti i criteri di richiesta di connessione, i criteri di rete e i criteri di integrità.

È possibile accedere alle nuove procedure guidate facendo clic sul nodo NPS dello snap-in NPS. Per configurare criteri e impostazioni per i metodi di imposizione di Protezione accesso alla rete, scegliere Protezione accesso alla rete nella casella a discesa Configurazione standard e fare clic su Configurazione Protezione accesso alla rete. Per configurare criteri e impostazioni per l'accesso alla rete VPN o in remoto, scegliere Server RADIUS per connessioni remote o VPN nella casella a discesa Configurazione standard, quindi fare clic su Configurazione VPN o connessioni remote. Per configurare criteri e impostazioni per l'accesso autenticato con 802.1X wireless o cablato, scegliere Server RADIUS per connessioni wireless 802.1X o cablate nella casella a discesa Configurazione standard, quindi fare clic su Configurazione 802.1X.

Ciascuna di queste procedure guidate consente di accedere agli elementi di configurazione più comuni per gli scenari scelti. Le procedure guidate per i metodi di imposizione di Protezione accesso alla rete sono molto utili: la procedura guidata di Protezione accesso alla rete per l'imposizione di VPN crea un criterio di richiesta di connessione, tre criteri di rete (per i client di Protezione accesso alla rete conformi, per i client di Protezione accesso alla rete non conformi e per i client non compatibili con Protezione accesso alla rete) e due criteri di integrità (per i client di Protezione accesso alla rete conformi e non conformi).

Le nuove procedure guidate di Protezione accesso alla rete e le altre procedure guidate per la creazione di client RADIUS, di gruppi di server RADIUS remoti, di criteri di richiesta di connessione e di criteri di rete semplificano di molto la configurazione di NPS per gli scenari di accesso alla rete più comuni.

Joseph Daviesè un autore tecnico di Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile Cable Guy su TechNet.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.