Exportar (0) Imprimir
Expandir Tudo

Servidor RADIUS para conexões 802.1X com ou sem fio

Aplica-se a: Windows Server 2008 R2

Quando você implanta acesso com ou sem fio 802.1X com NPS (Servidor de Diretivas de Rede) como um servidor RADIUS, você deve executar o seguinte:

  • Instalar e configurar os servidores de acesso à rede (NASs) como clientes RADIUS.

  • Implantar componentes para os métodos de autenticação.

  • Configurar o NPS como um servidor RADIUS.

Instalar e configurar os servidores de acesso à rede (clientes RADIUS)

Para implantar o acesso sem fio 802.1X, você deve instalar e configurar pontos de acesso sem fio. Para implantar o acesso com fio 802.1X, você deve instalar e configurar chaves de autenticação 802.1X.

ImportantImportante
Computadores cliente, como laptops sem fio e outros computadores executando sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede — como pontos de acesso sem fio, comutadores compatíveis com 802.1X, servidores de rede virtual privada (VPN) e servidores dial-up — pois eles usam o protocolo RADIUS para se comunicar com os servidores RADIUS, como Servidores de Diretivas de Rede (NPS).

Em ambos os casos, esses servidores de acesso à rede devem atender aos seguintes requisitos:

  • Suporte para autenticação 802.1X padrão IEEE (Electrical and Electronics Engineers)

  • Suporte para autenticação e contabilização RADIUS

Se você utilizar aplicativos de cobrança ou contabilização que requeiram correlação de sessões, o seguinte será necessário:

  • Suporte para o atributo Class conforme definido na RFC 2865 pelo IETF (Internet Engineering Task Force), "Serviço RADIUS", para permitir a correlação de sessões para registros de contabilização e autenticação RADIUS. Para correlação de sessões, quando você configurar a contabilização RADIUS no proxy ou servidor NPS, é necessário que registre todos os dados contábeis que permitem que os aplicativos (como os aplicativos de cobrança) consultem o banco de dados, façam correlação de campos relacionados e retornem uma exibição coesa de cada sessão nos resultados da consulta. No mínimo, para fornecer uma correlação de sessões, você deve registrar os seguintes dados contábeis do NPS: Endereço IP do NAS; Identificador do NAS (o Endereço IP do NAS e o Identificador do NAS são necessários porque o servidor de acesso pode enviar um desses atributos); Classe; Id da Sessão de Contabilização; Id de Múltiplas Sessões de Contabilização; Tipo de Pacote; Tipo de Status de Contabilização; Intervalo Provisório da Contabilização; Porta do NAS; e Carimbo de Data/Hora do Evento.

  • Suporte para solicitações provisórias de contabilização, que são enviadas periodicamente por alguns servidores de acesso à rede (NASs) durante uma sessão do usuário, que podem ser registradas. Este tipo de solicitação pode ser usado quando o atributo de Intervalo Provisório da Contabilização do RADIUS for configurado para oferecer suporte a solicitações periódicas no perfil de acesso remoto no servidor NPS. O NAS deve oferecer suporte ao uso de solicitações provisórias de contabilização se você desejar que as solicitações provisórias sejam registradas no servidor NPS.

Se você usar redes locais virtuais (VLANs), os NASs deverão oferecer suporte a VLANs.

Em ambientes de rede de longa distância (WAN), os servidores de acesso à rede devem fornecer o seguinte:

  • Suporte para estimativa de tempo limite de retransmissão (RTO) dinâmica ou retirada exponencial para lidar com congestionamentos e atrasos em um ambiente WAN.

Além disso, há recursos de filtragem aos quais os servidores de acesso à rede devem oferecer suporte para garantir mais segurança à rede. Estas opções de filtragem incluem:

  • Filtragem DHCP. Os servidores NASs devem filtrar nas portas IP para impedir a transmissão de mensagens de difusão de protocolo DHCP se o cliente for um servidor DHCP. Os servidores de acesso à rede devem impedir que o cliente envie pacotes IP da porta 68 para a rede.

  • Filtragem DNS. Os servidores NASs devem filtrar em portas IP para impedir que um cliente atue como um servidor DNS. Os servidores NASs devem impedir que o cliente envie pacotes IP da porta 53 para a rede.

Se você estiver implantando pontos de acesso sem fio, o suporte para Wi-Fi Protected Access (WPA) é preferível. Também há suporte para o WPA no Windows Vista® e no Windows XP com Service Pack 2. Para implantar o WPA, use também adaptadores de rede sem fio que ofereçam suporte ao WPA.

Implantar componentes para métodos de autenticação

Para 802.1X com e sem fio, você pode usar os seguintes métodos de autenticação:

  • Protocolo EAP com Transport Layer Security (TLS), também chamado de EAP-TLS.

  • EAP Protegido (PEAP) com protocolo MS-CHAP versão 2, também chamado de PEAP-MS-CHAP v2.

  • PEAP com EAP-TLS, também chamado de PEAP-TLS.

Para EAP-TLS e PEAP-TLS, você deve implantar uma infraestrutura de chave pública (PKI) instalando e configurando os Serviços de Certificado do Active Directory® (AD CS) para emitir certificados para computadores cliente membros de um domínio e servidores NPS. Esses certificados são usados durante o processo de autenticação, como prova de identidade, por clientes e servidores NPS. Se preferir, você pode implantar cartões inteligentes em vez de usar certificados de computador cliente. Nesse caso, você deve emitir cartões inteligentes e leitores de cartões inteligentes para os funcionários da organização.

Para PEAP-MS-CHAP v2, você pode implantar sua própria autoridade de certificação com AD CS para emitir certificados para servidores NPS ou pode adquirir certificados de servidor de uma autoridade de certificação raiz pública de confiança dos clientes, como a Verisign.

Para obter mais informações, consulte Visão geral do EAP e Visão geral do PEAP.

Configurar o NPS como um servidor RADIUS

Ao configurar o NPS como um servidor RADIUS, você deve configurar os clientes RADIUS, a diretiva de rede e a contabilização RADIUS.

Configurar clientes RADIUS

São necessários dois estágios para configurar clientes RADIUS:

  • Configure o cliente RADIUS físico, como o ponto de acesso sem fio ou chave de autenticação, com informações que permitam que o servidor de acesso à rede se comunique com servidores NPS. Essas informações incluem a configuração do endereço IP do servidor NPS e o segredo compartilhado no ponto de acesso ou na interface do usuário da chave.

  • No NPS, adicione um novo cliente RADIUS. No servidor NPS, adicione cada ponto de acesso ou chave de autenticação como um cliente RADIUS. O NPS permite que você forneça um nome amigável para cada cliente RADIUS, assim como o endereço IP do cliente RADIUS e o segredo compartilhado.

Para obter mais informações, consulte Adicionar um novo cliente RADIUS.

Configurar as diretivas da rede

As diretivas de rede são conjuntos de condições, restrições e configurações que permitem que você determine quem tem autorização para se conectar à rede e as condições de acordo com as quais isso pode ocorrer.

Para obter mais informações, consulte Diretivas de rede.

Configurar Contabilização RADIUS

A contabilização RADIUS permite que você registre solicitações de contabilização e autenticação do usuário em um arquivo de log local ou em um banco de dados do Microsoft® SQL Server™ em um computador local ou remoto.

Para obter mais informações, consulte Contabilização RADIUS.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2015 Microsoft