Planear NPS como servidor RADIUS

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Al implementar servidor de directivas de red (NPS) como servidor Servicio de autenticación remota telefónica de usuario (RADIUS), NPS realiza la autenticación, autorización y contabilidad de las solicitudes de conexión para el dominio local y para los dominios que confían en el dominio local. Puede usar estas directrices de planeamiento para simplificar la implementación de RADIUS.

Estas directrices de planeamiento no incluyen las circunstancias en las que desea implementar NPS como proxy RADIUS. Al implementar NPS como proxy RADIUS, NPS reenvía las solicitudes de conexión a un servidor que ejecuta NPS u otros servidores RADIUS en dominios remotos, dominios que no son de confianza o ambos.

Antes de implementar NPS como un servidor RADIUS en la red, use las siguientes directrices para planear la implementación.

  • Planear la configuración de NPS.

  • Planear clientes RADIUS.

  • Planee el uso de métodos de autenticación.

  • Planear directivas de red.

  • Planear la contabilidad de NPS.

Planeación de la configuración de NPS

Debe decidir en qué dominio es miembro nps. Para entornos de varios dominios, un NPS puede autenticar credenciales para las cuentas de usuario del dominio del que es miembro y para todos los dominios que confían en el dominio local de NPS. Para permitir que NPS lea las propiedades de acceso telefónico de las cuentas de usuario durante el proceso de autorización, debe agregar la cuenta de equipo de NPS al grupo RAS y NPSs para cada dominio.

Después de haber determinado la pertenencia al dominio de NPS, el servidor debe configurarse para comunicarse con clientes RADIUS, también denominados servidores de acceso a la red, mediante el protocolo RADIUS. Además, puede configurar los tipos de eventos que NPS registra en el registro de eventos y puede escribir una descripción para el servidor.

Pasos clave

Durante el planeamiento de la configuración de NPS, puede usar los pasos siguientes.

  • Determine los puertos RADIUS que usa NPS para recibir mensajes RADIUS de clientes RADIUS. Los puertos predeterminados son los puertos UDP 1812 y 1645 para los mensajes de autenticación RADIUS y los puertos 1813 y 1646 para los mensajes de contabilidad RADIUS.

  • Si el NPS está configurado con varios adaptadores de red, determine los adaptadores sobre los que desea permitir el tráfico RADIUS.

  • Determine los tipos de eventos que desea que NPS registre en el registro de eventos. Puede registrar solicitudes de autenticación rechazadas, solicitudes de autenticación correctas o ambos tipos de solicitudes.

  • Determine si va a implementar más de un NPS. Para proporcionar tolerancia a errores para la autenticación y la contabilidad basadas en RADIUS, use al menos dos NPS. Un NPS se usa como servidor RADIUS principal y el otro como copia de seguridad. A continuación, cada cliente RADIUS se configura en ambos NPS. Si el NPS principal deja de estar disponible, los clientes RADIUS envían Access-Request mensajes al NPS alternativo.

  • Planee el script que se usa para copiar una configuración de NPS a otros NPS para ahorrar en sobrecarga administrativa y evitar la cofiguración incorrecta de un servidor. NPS proporciona los comandos Netsh que permiten copiar todo o parte de una configuración de NPS para importarla a otro NPS. Puede ejecutar los comandos manualmente en el símbolo del sistema de Netsh. Sin embargo, si guarda la secuencia de comandos como un script, puede ejecutarlo en una fecha posterior si decide cambiar las configuraciones del servidor.

Planeación de clientes RADIUS

Los clientes RADIUS son servidores de acceso a la red, como puntos de acceso inalámbricos, servidores de red privada virtual (VPN), conmutadores compatibles con 802.1X y servidores de acceso telefónico. Los servidores proxy RADIUS, que reenvía mensajes de solicitud de conexión a servidores RADIUS, también son clientes RADIUS. NPS admite todos los servidores de acceso a la red y servidores proxy RADIUS que cumplen con el protocolo RADIUS, como se describe en RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" y RFC 2866, "RADIUS Accounting".

Importante

Los clientes de acceso, como los equipos cliente, no son clientes RADIUS. Solo los servidores de acceso a la red y los servidores proxy que admiten el protocolo RADIUS son clientes RADIUS.

Además, tanto los puntos de acceso inalámbricos como los conmutadores deben ser capaces de realizar la autenticación 802.1X. Si desea implementar el Protocolo de autenticación extensible (EAP) o el Protocolo de autenticación extensible protegido (PEAP), los puntos de acceso y los conmutadores deben admitir el uso de EAP.

Para probar la interoperabilidad básica de las conexiones PPP para los puntos de acceso inalámbricos, configure el punto de acceso y el cliente de acceso para que usen el Protocolo de autenticación de contraseña (PAP). Use protocolos de autenticación basados en PPP adicionales, como PEAP, hasta que haya probado los que piensa usar para el acceso a la red.

Pasos clave

Durante el planeamiento de los clientes RADIUS, puede seguir estos pasos.

  • Documente los atributos específicos del proveedor (VSA) que debe configurar en NPS. Si los servidores de acceso a la red requieren VSA, registre la información de VSA para su uso posterior al configurar las directivas de red en NPS.

  • Documente las direcciones IP de los clientes RADIUS y nps para simplificar la configuración de todos los dispositivos. Al implementar los clientes RADIUS, debe configurarlos para que usen el protocolo RADIUS, con la dirección IP de NPS especificada como servidor de autenticación. Y al configurar NPS para que se comunique con los clientes RADIUS, debe escribir las direcciones IP del cliente RADIUS en el complemento NPS.

  • Cree secretos compartidos para la configuración en los clientes RADIUS y en el complemento NPS. Debe configurar clientes RADIUS con un secreto compartido, o contraseña, que también escribirá en el complemento NPS al configurar clientes RADIUS en NPS.

Planear el uso de métodos de autenticación

NPS admite métodos de autenticación basados en contraseña y basados en certificados. Sin embargo, no todos los servidores de acceso a la red admiten los mismos métodos de autenticación. En algunos casos, es posible que desee implementar un método de autenticación diferente en función del tipo de acceso a la red.

Por ejemplo, es posible que quiera implementar el acceso inalámbrico y VPN para su organización, pero usar un método de autenticación diferente para cada tipo de acceso: EAP-TLS para las conexiones VPN, debido a la seguridad sólida que proporciona EAP con seguridad de la capa de transporte (EAP-TLS) y PEAP-MS-CHAP v2 para las conexiones inalámbricas 802.1X.

PEAP con protocolo de autenticación de desafío de Microsoft versión 2 (PEAP-MS-CHAP v2) proporciona una característica denominada reconexión rápida diseñada específicamente para su uso con equipos portátiles y otros dispositivos inalámbricos. La reconexión rápida permite a los clientes inalámbricos moverse entre puntos de acceso inalámbricos en la misma red sin que se vuelvan a autenticar cada vez que se asocian a un nuevo punto de acceso. Esto proporciona una mejor experiencia para los usuarios inalámbricos y les permite moverse entre puntos de acceso sin tener que volver a escribir sus credenciales. Debido a la reconexión rápida y la seguridad que proporciona PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 es una opción lógica como método de autenticación para las conexiones inalámbricas.

En el caso de las conexiones VPN, EAP-TLS es un método de autenticación basado en certificados que proporciona una seguridad sólida que protege el tráfico de red, incluso cuando se transmite a través de Internet desde equipos móviles o domésticas a los servidores VPN de la organización.

Métodos de autenticación basados en certificados.

Los métodos de autenticación basados en certificados tienen la ventaja de proporcionar una seguridad segura; y tienen la desventaja de ser más difíciles de implementar que los métodos de autenticación basados en contraseña.

PEAP-MS-CHAP v2 y EAP-TLS son métodos de autenticación basados en certificados, pero hay muchas diferencias entre ellos y la forma en que se implementan.

EAP-TLS

EAP-TLS usa certificados para la autenticación de cliente y servidor, y requiere que implemente una infraestructura de clave pública (PKI) en su organización. La implementación de una PKI puede ser compleja y requiere una fase de planeamiento independiente del planeamiento del uso de NPS como servidor RADIUS.

Con EAP-TLS, NPS inscribe un certificado de servidor de una entidad de certificación (CA) y el certificado se guarda en el equipo local en el almacén de certificados. Durante el proceso de autenticación, la autenticación del servidor se produce cuando NPS envía su certificado de servidor al cliente de acceso para demostrar su identidad al cliente de acceso. El cliente de acceso examina varias propiedades de certificado para determinar si el certificado es válido y es adecuado para su uso durante la autenticación del servidor. Si el certificado de servidor cumple los requisitos mínimos de certificado de servidor y lo emite una CA en la que confía el cliente de acceso, el cliente autentica correctamente el NPS.

De forma similar, la autenticación de cliente se produce durante el proceso de autenticación cuando el cliente envía su certificado de cliente al NPS para demostrar su identidad a NPS. El NPS examina el certificado y, si el certificado de cliente cumple los requisitos mínimos del certificado de cliente y lo emite una entidad de certificación en la que confía NPS, nps autentica correctamente el cliente de acceso.

Aunque es necesario que el certificado de servidor se almacene en el almacén de certificados de NPS, el certificado de cliente o de usuario se puede almacenar en el almacén de certificados del cliente o en una tarjeta inteligente.

Para que este proceso de autenticación se realiza correctamente, es necesario que todos los equipos tengan el certificado de entidad de certificación de su organización en el almacén de certificados entidades de certificación raíz de confianza para el equipo local y el usuario actual.

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 usa un certificado para la autenticación de servidor y credenciales basadas en contraseña para la autenticación de usuario. Dado que los certificados solo se usan para la autenticación de servidor, no es necesario implementar una PKI para usar PEAP-MS-CHAP v2. Al implementar PEAP-MS-CHAP v2, puede obtener un certificado de servidor para NPS de una de las dos maneras siguientes:

  • Puede instalar Servicios de certificados de Active Directory (AD CS) y, a continuación, realizar la inscripción automática de certificados en NPS. Si usa este método, también debe inscribir el certificado de entidad de certificación en los equipos cliente que se conectan a la red para que confíen en el certificado emitido para NPS.

  • Puede adquirir un certificado de servidor de una entidad de certificación pública como VeriSign. Si usa este método, asegúrese de seleccionar una ENTIDAD de certificación que ya sea de confianza para los equipos cliente. Para determinar si los equipos cliente confían en una entidad de certificación, abra el complemento Certificados Microsoft Management Console (MMC) en un equipo cliente y, a continuación, vea el almacén entidades de certificación raíz de confianza para el equipo local y para el usuario actual. Si hay un certificado de la CA en estos almacenes de certificados, el equipo cliente confía en la CA y, por tanto, confiará en cualquier certificado emitido por la CA.

Durante el proceso de autenticación con PEAP-MS-CHAP v2, la autenticación del servidor se produce cuando nps envía su certificado de servidor al equipo cliente. El cliente de acceso examina varias propiedades de certificado para determinar si el certificado es válido y es adecuado para su uso durante la autenticación del servidor. Si el certificado de servidor cumple los requisitos mínimos de certificado de servidor y lo emite una CA en la que confía el cliente de acceso, el cliente autentica correctamente el NPS.

La autenticación de usuario se produce cuando un usuario que intenta conectarse a la red tipos de credenciales basadas en contraseña e intenta iniciar sesión. NPS recibe las credenciales y realiza la autenticación y autorización. Si el usuario se autentica y autoriza correctamente, y si el equipo cliente autenticó correctamente el NPS, se concede la solicitud de conexión.

Pasos clave

Durante la planeación del uso de métodos de autenticación, puede seguir estos pasos.

  • Identifique los tipos de acceso a la red que planea ofrecer, como el acceso inalámbrico, VPN, conmutador compatible con 802.1X y acceso telefónico.

  • Determine el método de autenticación o los métodos que desea usar para cada tipo de acceso. Se recomienda usar los métodos de autenticación basados en certificados que proporcionan una seguridad segura. sin embargo, puede que no le sea práctico implementar una PKI, por lo que otros métodos de autenticación podrían proporcionar un mejor equilibrio de lo que necesita para la red.

  • Si va a implementar EAP-TLS, planee la implementación de PKI. Esto incluye planear las plantillas de certificado que va a usar para certificados de servidor y certificados de equipo cliente. También incluye determinar cómo inscribir certificados en equipos que no son miembros del dominio y en equipos que no son de dominio, y determinar si desea usar tarjetas inteligentes.

  • Si va a implementar PEAP-MS-CHAP v2, determine si desea instalar AD CS para emitir certificados de servidor a los NPS o si quiere adquirir certificados de servidor desde una CA pública, como VeriSign.

Planeación de directivas de red

NPS usa directivas de red para determinar si las solicitudes de conexión recibidas de los clientes RADIUS están autorizadas. NPS también usa las propiedades de acceso telefónico de la cuenta de usuario para realizar una determinación de autorización.

Dado que las directivas de red se procesan en el orden en que aparecen en el complemento NPS, planee colocar primero las directivas más restrictivas en la lista de directivas. Para cada solicitud de conexión, NPS intenta hacer coincidir las condiciones de la directiva con las propiedades de la solicitud de conexión. NPS examina cada directiva de red en orden hasta que encuentra una coincidencia. Si no encuentra una coincidencia, se rechaza la solicitud de conexión.

Pasos clave

Durante el planeamiento de las directivas de red, puede seguir estos pasos.

  • Determine el orden de procesamiento de NPS preferido de las directivas de red, de más restrictivo a menos restrictivo.

  • Determine el estado de la directiva. El estado de la directiva puede tener el valor habilitado o deshabilitado. Si la directiva está habilitada, NPS evalúa la directiva mientras se realiza la autorización. Si la directiva no está habilitada, no se evalúa.

  • Determine el tipo de directiva. Debe determinar si la directiva está diseñada para conceder acceso cuando la solicitud de conexión coincide con las condiciones de la directiva o si la directiva está diseñada para denegar el acceso cuando la solicitud de conexión coincide con las condiciones de la directiva. Por ejemplo, si desea denegar explícitamente el acceso inalámbrico a los miembros de un grupo de Windows, puede crear una directiva de red que especifique el grupo, el método de conexión inalámbrica y que tenga una configuración de tipo de directiva de Denegar acceso.

  • Determine si desea que NPS ignore las propiedades de acceso telefónico de las cuentas de usuario que son miembros del grupo en el que se basa la directiva. Cuando esta opción no está habilitada, las propiedades de acceso telefónico de las cuentas de usuario invalidan la configuración configurada en las directivas de red. Por ejemplo, si se configura una directiva de red que concede acceso a un usuario pero las propiedades de acceso telefónico de la cuenta de usuario para ese usuario se establecen para denegar el acceso, se deniega el acceso al usuario. Pero si habilita la configuración de tipo de directiva Omitir las propiedades de acceso telefónico de la cuenta de usuario, se concederá acceso a la red al mismo usuario.

  • Determine si la directiva usa la configuración de origen de la directiva. Esta configuración permite especificar fácilmente un origen para todas las solicitudes de acceso. Los orígenes posibles son una puerta de enlace de Terminal Services (puerta de enlace de TS), un servidor de acceso remoto (VPN o acceso telefónico), un servidor DHCP, un punto de acceso inalámbrico y un servidor de entidad de registro de estado. Como alternativa, puede especificar un origen específico del proveedor.

  • Determine las condiciones que deben coincidir para que se aplique la directiva de red.

  • Determine la configuración que se aplica si la solicitud de conexión coincide con las condiciones de la directiva de red.

  • Determine si desea usar, modificar o eliminar las directivas de red predeterminadas.

Planeamiento de la contabilidad de NPS

NPS proporciona la capacidad de registrar datos de contabilidad RADIUS, como autenticación de usuario y solicitudes de contabilidad, en tres formatos: formato IAS, formato compatible con la base de datos y registro Microsoft SQL Server datos.

El formato IAS y el formato compatible con la base de datos crean archivos de registro en el NPS local en formato de archivo de texto.

SQL Server registro proporciona la capacidad de iniciar sesión en una base de datos compatible con XML de SQL Server 2000 o SQL Server 2005, ampliando la contabilidad RADIUS para aprovechar las ventajas del registro en una base de datos relacional.

Pasos clave

Durante el planeamiento de la contabilidad de NPS, puede usar los pasos siguientes.

  • Determine si desea almacenar datos de contabilidad nps en archivos de registro o en una base SQL Server datos.

Contabilidad de NPS mediante archivos de registro locales

El registro de solicitudes de autenticación y contabilidad de usuarios en archivos de registro se usa principalmente con fines de facturación y análisis de conexiones, y también es útil como herramienta de investigación de seguridad, lo que proporciona un método para realizar el seguimiento de la actividad de un usuario malintencionado después de un ataque.

Pasos clave

Durante el planeamiento de la contabilidad de NPS mediante archivos de registro locales, puede seguir estos pasos.

  • Determine el formato de archivo de texto que desea usar para los archivos de registro nps.

  • Elija el tipo de información que desea registrar. Puede registrar solicitudes de contabilidad, solicitudes de autenticación y estado periódico.

  • Determine la ubicación del disco duro donde desea almacenar los archivos de registro.

  • Diseñe la solución de copia de seguridad de archivos de registro. La ubicación del disco duro donde se almacenan los archivos de registro debe ser una ubicación que le permita realizar fácilmente una copia de seguridad de los datos. Además, la ubicación del disco duro debe protegerse configurando la lista de control de acceso (ACL) de la carpeta donde se almacenan los archivos de registro.

  • Determine la frecuencia con la que desea crear nuevos archivos de registro. Si desea que los archivos de registro se cree según el tamaño del archivo, determine el tamaño máximo de archivo permitido antes de que NPS cree un nuevo archivo de registro.

  • Determine si desea que NPS elimine los archivos de registro más antiguos si el disco duro se queda sin espacio de almacenamiento.

  • Determine la aplicación o las aplicaciones que desea usar para ver los datos de contabilidad y generar informes.

Registro de SQL Server NPS

El registro SQL Server nps se usa cuando se necesita información de estado de sesión, para la creación de informes y el análisis de datos, y para centralizar y simplificar la administración de los datos de contabilidad.

NPS proporciona la capacidad de usar el registro de SQL Server para registrar las solicitudes de autenticación y contabilidad de usuarios recibidas de uno o varios servidores de acceso a la red en un origen de datos en un equipo que ejecuta el motor de escritorio de Microsoft SQL Server (MSDE 2000) o cualquier versión de SQL Server posterior a SQL Server 2000.

Los datos de contabilidad se pasan de NPS en formato XML a un procedimiento almacenado en la base de datos, que admite tanto lenguaje de consulta estructurado (SQL) como XML (SQLXML). El registro de solicitudes de autenticación y contabilidad de usuarios en una base de SQL Server compatible con XML permite que varios NPS tengan un origen de datos.

Pasos clave

Durante el planeamiento de la contabilidad de NPS mediante nps SQL Server registro, puede usar los pasos siguientes.

  • Determine si usted u otro miembro de su organización tiene experiencia de desarrollo de bases de datos relacionales de SQL Server 2000 o SQL Server 2005 y sabe cómo usar estos productos para crear, modificar, administrar y administrar bases de datos SQL Server.

  • Determine si SQL Server está instalado en NPS o en un equipo remoto.

  • Diseñe el procedimiento almacenado que usará en la base de SQL Server para procesar archivos XML entrantes que contengan datos de contabilidad NPS.

  • Diseñe la estructura SQL Server y el flujo de replicación de base de datos.

  • Determine la aplicación o las aplicaciones que desea usar para ver los datos de contabilidad y generar informes.

  • Planee el uso de servidores de acceso de red que envían el atributo Class en todas las accounting-requests. El atributo Class se envía al cliente RADIUS en un mensaje Access-Accept y es útil para correlacionar Accounting-Request mensajes con sesiones de autenticación. Si el servidor de acceso a la red envía el atributo Class en los mensajes de solicitud de contabilidad, se puede usar para que coincida con los registros de contabilidad y autenticación. La combinación de los atributos Unique-Serial-Number, Service-Reboot-Time y Server-Address debe ser una identificación única para cada autenticación que acepte el servidor.

  • Planee el uso de servidores de acceso de red que admitan la contabilidad provisional.

  • Planee el uso de servidores de acceso a la red que envían mensajes de accounting-on y accounting-off.

  • Planee el uso de servidores de acceso de red que admitan el almacenamiento y reenvío de datos de contabilidad. Los servidores de acceso de red que admiten esta característica pueden almacenar datos de contabilidad cuando el servidor de acceso a la red no puede comunicarse con nps. Cuando nps está disponible, el servidor de acceso a la red reenvía los registros almacenados al NPS, lo que proporciona una mayor confiabilidad en la contabilidad sobre los servidores de acceso a la red que no proporcionan esta característica.

  • Planee configurar siempre el atributo Acct-Interim-Interval en las directivas de red. El atributo Acct-Interim-Interval establece el intervalo (en segundos) entre cada actualización provisional que envía el servidor de acceso a la red. Según RFC 2869, el valor del atributo Acct-Interim-Interval no debe ser menor que 60 segundos, o un minuto, y no debe ser menor que 600 segundos o 10 minutos. Para obtener más información, vea RFC 2869, "Radius Extensions".

  • Asegúrese de que el registro del estado periódico está habilitado en los NPS.