Pianificare Servizi dei criteri di rete come server RADIUS

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Quando si distribuisce Server dei criteri di rete (NPS) come server RADIUS (Remote Authentication Dial-In User Service), Server dei criteri di rete esegue l'autenticazione, l'autorizzazione e la contabilità delle richieste di connessione per il dominio locale e per i domini che considerano attendibile il dominio locale. È possibile usare queste linee guida per la pianificazione per semplificare la distribuzione RADIUS.

Queste linee guida di pianificazione non includono le circostanze in cui si vuole distribuire NPS come proxy RADIUS. Quando si distribuisce NPS come proxy RADIUS, NPS inoltra le richieste di connessione a un server che esegue Server dei criteri di rete o altri server RADIUS in domini remoti, domini non attendibili o entrambi.

Prima di distribuire NPS come server RADIUS nella rete, usare le linee guida seguenti per pianificare la distribuzione.

  • Pianificare la configurazione di NPS.

  • Pianificare i client RADIUS.

  • Pianificare l'uso dei metodi di autenticazione.

  • Pianificare i criteri di rete.

  • Pianificare la contabilità NPS.

Pianificare la configurazione di NPS

È necessario decidere in quale dominio il server dei criteri di rete è membro. Per gli ambienti a più domini, un NPS può autenticare le credenziali per gli account utente nel dominio di cui è membro e per tutti i domini che considerano attendibile il dominio locale del server dei criteri di rete. Per consentire al server dei criteri di rete di leggere le proprietà di accesso esterno degli account utente durante il processo di autorizzazione, è necessario aggiungere l'account computer del server dei criteri di rete al gruppo RAS e NPS per ogni dominio.

Dopo aver determinato l'appartenenza al dominio di NPS, il server deve essere configurato per comunicare con i client RADIUS, detti anche server di accesso alla rete, usando il protocollo RADIUS. Inoltre, è possibile configurare i tipi di eventi registrati da NPS nel registro eventi ed è possibile immettere una descrizione per il server.

Passaggi chiave

Durante la pianificazione della configurazione di NPS, è possibile seguire questa procedura.

  • Determinare le porte RADIUS usate dal server dei criteri di rete per ricevere messaggi RADIUS dai client RADIUS. Le porte predefinite sono le porte UDP 1812 e 1645 per i messaggi di autenticazione RADIUS e le porte 1813 e 1646 per i messaggi di contabilità RADIUS.

  • Se NPS è configurato con più schede di rete, determinare le schede su cui si vuole consentire il traffico RADIUS.

  • Determinare i tipi di eventi da registrare nel registro eventi. È possibile registrare richieste di autenticazione rifiutate, richieste di autenticazione riuscite o entrambi i tipi di richieste.

  • Determinare se si distribuiscono più NPS. Per fornire la tolleranza di errore per l'autenticazione basata su RADIUS e la contabilità, usare almeno due NPS. Un NPS viene usato come server RADIUS primario e l'altro viene usato come backup. Ciascun client RADIUS viene quindi configurato in entrambi gli NPS. Se l'NPS primario non è più disponibile, i client RADIUS inviano messaggi di richiesta di accesso all'NPS alternativo.

  • Pianificare lo script usato per copiare una configurazione NPS in altri NPS per risparmiare sul sovraccarico amministrativo e impedire la configurazione errata di un server. Server dei criteri di rete fornisce i comandi Netsh che consentono di copiare tutto o parte di una configurazione NPS per l'importazione in un altro NPS. È possibile eseguire manualmente i comandi al prompt di Netsh. Tuttavia, se si salva la sequenza di comandi come script, è possibile eseguire lo script in un secondo momento se si decide di modificare le configurazioni server.

Pianificare i client RADIUS

I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, server VPN (Virtual Private Network), switch compatibili con 802.1X e server di connessione remota. I proxy RADIUS, che inoltrano i messaggi di richiesta di connessione ai server RADIUS, sono anche client RADIUS. NPS supporta tutti i server di accesso alla rete e i proxy RADIUS conformi al protocollo RADIUS, come descritto in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" e RFC 2866, "Radius Accounting".

Importante

I client di accesso, ad esempio i computer client, non sono client RADIUS. Solo i server di accesso alla rete e i server proxy che supportano il protocollo RADIUS sono client RADIUS.

Inoltre, sia i punti di accesso wireless che i commutatori devono essere in grado di eseguire l'autenticazione 802.1X. Se si vuole distribuire Extensible Authentication Protocol (EAP) o PEAP (Protected Extensible Authentication Protocol), i punti di accesso e le opzioni devono supportare l'uso di EAP.

Per testare l'interoperabilità di base per le connessioni PPP per i punti di accesso wireless, configurare il punto di accesso e il client di accesso per l'uso del protocollo PAP (Password Authentication Protocol). Usare protocolli di autenticazione aggiuntivi basati su PPP, ad esempio PEAP, fino a quando non sono stati testati quelli che si intende usare per l'accesso alla rete.

Passaggi chiave

Durante la pianificazione per i client RADIUS, è possibile seguire questa procedura.

  • Documentare gli attributi specifici del fornitore (VSA) che è necessario configurare in NPS. Se i server di accesso di rete richiedono VSA, registrare le informazioni VSA per usarle in un secondo momento quando si configurano i criteri di rete in NPS.

  • Documentare gli indirizzi IP dei client RADIUS e l'NPS per semplificare la configurazione di tutti i dispositivi. Quando si distribuiscono i client RADIUS, è necessario configurarli per l'uso del protocollo RADIUS, con l'indirizzo IP NPS immesso come server di autenticazione. Quando si configura NPS per comunicare con i client RADIUS, è necessario immettere gli indirizzi IP client RADIUS nello snap-in NPS.

  • Creare segreti condivisi per la configurazione nei client RADIUS e nello snap-in NPS. È necessario configurare i client RADIUS con un segreto condiviso o una password, che verranno inseriti nello snap-in NPS durante la configurazione dei client RADIUS in Server dei criteri di rete.

Pianificare l'uso dei metodi di autenticazione

NPS supporta metodi di autenticazione basati su password e basati su certificati. Tuttavia, non tutti i server di accesso alla rete supportano gli stessi metodi di autenticazione. In alcuni casi, potrebbe essere necessario distribuire un metodo di autenticazione diverso in base al tipo di accesso alla rete.

Ad esempio, è possibile distribuire l'accesso wireless e VPN per l'organizzazione, ma usare un metodo di autenticazione diverso per ogni tipo di accesso: EAP-TLS per le connessioni VPN, a causa della sicurezza avanzata fornita da EAP con Transport Layer Security (EAP-TLS) e PEAP-MS-CHAP v2 per le connessioni wireless 802.1X.

PEAP con Microsoft Challenge Handshake Authentication Protocol versione 2 (PEAP-MS-CHAP v2) offre una funzionalità denominata riconnessione veloce progettata appositamente per l'uso con computer portatili e altri dispositivi wireless. La riconnessione veloce consente ai client wireless di spostarsi tra punti di accesso wireless nella stessa rete senza essere autenticati di nuovo ogni volta che si associano a un nuovo punto di accesso. Ciò offre un'esperienza migliore per gli utenti wireless e consente loro di spostarsi tra i punti di accesso senza dover ridigitare le credenziali. A causa della riconnessione rapida e della sicurezza fornita da PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 è una scelta logica come metodo di autenticazione per le connessioni wireless.

Per le connessioni VPN, EAP-TLS è un metodo di autenticazione basato su certificati che garantisce una sicurezza avanzata che protegge il traffico di rete anche quando viene trasmesso attraverso Internet da computer domestici o mobili ai server VPN dell'organizzazione.

Metodi di autenticazione basati sui certificati

I metodi di autenticazione basati su certificati hanno il vantaggio di offrire una sicurezza avanzata; e hanno lo svantaggio di essere più difficili da distribuire rispetto ai metodi di autenticazione basati su password.

Sia PEAP-MS-CHAP v2 che EAP-TLS sono metodi di autenticazione basati su certificati, ma esistono molte differenze tra di esse e il modo in cui vengono distribuite.

Protocollo EAP-TLS

EAP-TLS usa certificati per l'autenticazione client e server e richiede la distribuzione di un'infrastruttura a chiave pubblica (PKI) nell'organizzazione. La distribuzione di un'infrastruttura a chiave pubblica può essere complessa e richiede una fase di pianificazione indipendente dalla pianificazione per l'uso di NPS come server RADIUS.

Con EAP-TLS, NPS registra un certificato server da un'autorità di certificazione (CA) e il certificato viene salvato nel computer locale nell'archivio certificati. Durante il processo di autenticazione, l'autenticazione server si verifica quando NPS invia il certificato del server al client di accesso per dimostrare la propria identità al client di accesso. Il client di accesso esamina varie proprietà del certificato per determinare se il certificato è valido ed è appropriato per l'uso durante l'autenticazione del server. Se il certificato del server soddisfa i requisiti minimi del certificato del server e viene emesso da una CA che considera attendibile il client di accesso, NPS viene autenticato correttamente dal client.

Analogamente, l'autenticazione client si verifica durante il processo di autenticazione quando il client invia il certificato client al server dei criteri di rete per dimostrare la propria identità a NPS. NPS esamina il certificato e se il certificato client soddisfa i requisiti minimi del certificato client e viene emesso da una CA attendibile di NPS, il client di accesso viene autenticato correttamente da NPS.

Anche se è necessario che il certificato del server sia archiviato nell'archivio certificati nel server dei criteri di rete, il client o il certificato utente può essere archiviato nell'archivio certificati nel client o in una smart card.

Affinché questo processo di autenticazione abbia esito positivo, è necessario che tutti i computer dispongano del certificato CA dell'organizzazione nell'archivio certificati Autorità di certificazione radice attendibili per il computer locale e l'utente corrente.

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 usa un certificato per l'autenticazione server e le credenziali basate su password per l'autenticazione utente. Poiché i certificati vengono usati solo per l'autenticazione server, non è necessario distribuire un'infrastruttura a chiave pubblica per usare PEAP-MS-CHAP v2. Quando si distribuisce PEAP-MS-CHAP v2, è possibile ottenere un certificato server per NPS in uno dei due modi seguenti:

  • È possibile installare Servizi certificati Active Directory e quindi registrare automaticamente i certificati negli NPS. Se si usa questo metodo, è necessario registrare anche il certificato della CA nei computer client che si connettono alla rete in modo che considerino attendibile il certificato rilasciato a NPS.

  • È possibile acquistare un certificato server da una CA pubblica, ad esempio VeriSign. Se si usa questo metodo, assicurarsi di selezionare una CA già considerata attendibile dai computer client. Per determinare se i computer client considerano attendibile una CA, aprire lo snap-in Microsoft Management Console (MMC) Certificati in un computer client e quindi visualizzare l'archivio Autorità di certificazione radice attendibili per il computer locale e per l'utente corrente. Se, in questi archivi certificati, è presente un certificato della CA, il computer client considera attendibile la CA e pertanto considera attendibile qualsiasi certificato emesso dalla CA.

Durante il processo di autenticazione con PEAP-MS-CHAP v2, l'autenticazione server si verifica quando il server dei criteri di rete invia il certificato server al computer client. Il client di accesso esamina varie proprietà del certificato per determinare se il certificato è valido ed è appropriato per l'uso durante l'autenticazione del server. Se il certificato del server soddisfa i requisiti minimi del certificato del server e viene emesso da una CA che considera attendibile il client di accesso, NPS viene autenticato correttamente dal client.

L'autenticazione utente si verifica quando un utente tenta di connettersi alle credenziali basate su password dei tipi di rete e tenta di eseguire l'accesso. NPS riceve le credenziali ed esegue l'autenticazione e l'autorizzazione. Se l'utente viene autenticato e autorizzato correttamente e se il computer client ha autenticato correttamente NPS, viene concessa la richiesta di connessione.

Passaggi chiave

Durante la pianificazione dell'uso dei metodi di autenticazione, è possibile seguire questa procedura.

  • Identificare i tipi di accesso alla rete che si prevede di offrire, ad esempio wireless, VPN, commutatore con supporto per 802.1X e accesso esterno.

  • Determinare il metodo o i metodi di autenticazione da usare per ogni tipo di accesso. È consigliabile usare i metodi di autenticazione basati su certificati che offrono una sicurezza avanzata; Tuttavia, potrebbe non essere pratico distribuire un'infrastruttura a chiave pubblica (PKI), quindi altri metodi di autenticazione potrebbero offrire un migliore equilibrio tra le esigenze della rete.

  • Se si distribuisce EAP-TLS, pianificare la distribuzione PKI. Sono inclusi la pianificazione dei modelli di certificato che verranno usati per i certificati server e i certificati del computer client. Include anche la determinazione di come registrare i certificati nei computer membri di dominio e membri non di dominio e determinare se si desidera utilizzare le smart card.

  • Se si distribuisce PEAP-MS-CHAP v2, determinare se si vuole installare Servizi certificati Active Directory per rilasciare certificati server nei server dei criteri di rete o se si desidera acquistare certificati server da una CA pubblica, ad esempio VeriSign.

Pianificare i criteri di rete

I criteri di rete vengono usati da NPS per determinare se le richieste di connessione ricevute dai client RADIUS sono autorizzate. NPS usa anche le proprietà di accesso esterno dell'account utente per determinare l'autorizzazione.

Poiché i criteri di rete vengono elaborati nell'ordine in cui vengono visualizzati nello snap-in NPS, pianificare di inserire i criteri più restrittivi nell'elenco dei criteri. Per ogni richiesta di connessione, NPS tenta di soddisfare le condizioni dei criteri con le proprietà della richiesta di connessione. NPS esamina i criteri di rete in ordine fino a quando non trova una corrispondenza. Se non trova una corrispondenza, la richiesta di connessione viene rifiutata.

Passaggi chiave

Durante la pianificazione dei criteri di rete, è possibile seguire questa procedura.

  • Determinare l'ordine di elaborazione NPS, dal più restrittivo al meno restrittivo.

  • Determinare lo stato dei criteri. Lo stato dei criteri può avere il valore abilitato o disabilitato. Se il criterio è abilitato, NPS valuta i criteri durante l'esecuzione dell'autorizzazione. Se il criterio non è abilitato, non viene valutato.

  • Determinare il tipo di criterio. È necessario determinare se i criteri sono progettati per concedere l'accesso quando le condizioni dei criteri corrispondono alla richiesta di connessione o se il criterio è progettato per negare l'accesso quando le condizioni dei criteri vengono soddisfatte dalla richiesta di connessione. Ad esempio, se si desidera negare esplicitamente l'accesso wireless ai membri di un gruppo di Windows, è possibile creare criteri di rete che specificano il gruppo, il metodo di connessione wireless e che dispone di un'impostazione di tipo di criterio Nega accesso.

  • Determinare se si desidera che NPS ignori le proprietà di accesso esterno degli account utente membri del gruppo su cui si basa il criterio. Quando questa impostazione non è abilitata, le proprietà di accesso esterno degli account utente sostituiscono le impostazioni configurate nei criteri di rete. Ad esempio, se un criterio di rete è configurato che concede l'accesso a un utente, ma le proprietà di accesso esterno dell'account utente per tale utente sono impostate per negare l'accesso, l'utente viene negato l'accesso. Tuttavia, se si abilita l'impostazione Tipo di criterio Ignora le proprietà di accesso esterno dell'account utente, lo stesso utente viene concesso l'accesso alla rete.

  • Determinare se il criterio usa l'impostazione dell'origine dei criteri. Questa impostazione consente di specificare facilmente un'origine per tutte le richieste di accesso. Le origini possibili sono un gateway servizi terminal (gateway TS), un server di accesso remoto (VPN o connessione remota), un server DHCP, un punto di accesso wireless e un server dell'autorità di registrazione dell'integrità. In alternativa, è possibile specificare un'origine specifica del fornitore.

  • Determinare le condizioni che devono essere soddisfatte affinché vengano applicati i criteri di rete.

  • Determinare le impostazioni applicate se le condizioni dei criteri di rete corrispondono alla richiesta di connessione.

  • Determinare se si desidera usare, modificare o eliminare i criteri di rete predefiniti.

Pianificare la contabilità NPS

Server dei criteri di rete consente di registrare i dati contabili RADIUS, ad esempio l'autenticazione utente e le richieste di contabilità, in tre formati: formato IAS, formato compatibile con il database e registrazione di Microsoft SQL Server.

Il formato IAS e il formato compatibile con il database creano file di log nell'NPS locale in formato file di testo.

La registrazione di SQL Server consente di accedere a un database conforme a SQL Server 2000 o SQL Server 2005 conforme a XML, estendendo la contabilità RADIUS per sfruttare i vantaggi della registrazione in un database relazionale.

Passaggi chiave

Durante la pianificazione dell'accounting NPS, è possibile seguire questa procedura.

  • Determinare se si desidera archiviare i dati di contabilità di NPS nei file di log o in un database di SQL Server.

Contabilità di NPS con i file di log locali

La registrazione delle richieste di autenticazione utente e contabilità nei file di log viene usata principalmente per l'analisi della connessione e la fatturazione ed è utile anche come strumento di analisi della sicurezza, fornendo un metodo per tenere traccia dell'attività di un utente malintenzionato dopo un attacco.

Passaggi chiave

Durante la pianificazione della contabilità di NPS usando i file di log locali, è possibile seguire questa procedura.

  • Determinare il formato di file di testo che si vuole usare per i file di log NPS.

  • Scegliere il tipo di informazioni che si desidera registrare. È possibile registrare le richieste di contabilità, le richieste di autenticazione e lo stato periodico.

  • Determinare il percorso del disco rigido in cui archiviare i file di log.

  • Progettare la soluzione di backup dei file di log. Il percorso del disco rigido in cui archiviare i file di log deve essere un percorso che consente di eseguire facilmente il backup dei dati. Inoltre, il percorso del disco rigido deve essere protetto configurando l'elenco di controllo di accesso (ACL) per la cartella in cui sono archiviati i file di log.

  • Determinare la frequenza con cui si desidera creare nuovi file di log. Se si desidera creare file di log in base alle dimensioni del file, determinare le dimensioni massime consentite prima della creazione di un nuovo file di log da NPS.

  • Determinare se si desidera che NPS elimini i file di log meno recenti se il disco rigido esaurisce lo spazio di archiviazione.

  • Determinare l'applicazione o le applicazioni da usare per visualizzare i dati contabili e produrre report.

Registrazione SQL Server NPS

La registrazione di SQL Server NPS viene usata quando sono necessarie informazioni sullo stato della sessione, per scopi di creazione di report e analisi dei dati e per centralizzare e semplificare la gestione dei dati contabili.

NPS consente di usare la registrazione di SQL Server per registrare le richieste di autenticazione utente e accounting ricevute da uno o più server di accesso di rete a un'origine dati in un computer che esegue Il motore desktop di Microsoft SQL Server (MSDE 2000) o qualsiasi versione di SQL Server successiva a SQL Server 2000.

I dati di accounting vengono passati da NPS in formato XML a una stored procedure nel database, che supporta sia il linguaggio di query strutturato (SQL) che XML (SQLXML). La registrazione di richieste di autenticazione utente e accounting in un database SQL Server conforme a XML consente a più NPS di avere un'origine dati.

Passaggi chiave

Durante la pianificazione della contabilità di NPS tramite la registrazione di SERVER dei criteri di rete di SQL Server, è possibile seguire questa procedura.

  • Determinare se l'utente o un altro membro dell'organizzazione ha esperienza di sviluppo di database relazionali di SQL Server 2000 o SQL Server 2005 e si è appreso come usare questi prodotti per creare, modificare, amministrare e gestire database DI SQL Server.

  • Determinare se SQL Server è installato in NPS o in un computer remoto.

  • Progettare la stored procedure che verrà usata nel database di SQL Server per elaborare i file XML in ingresso che contengono dati di contabilità di NPS.

  • Progettare la struttura e il flusso di replica del database di SQL Server.

  • Determinare l'applicazione o le applicazioni da usare per visualizzare i dati contabili e produrre report.

  • Pianificare l'uso dei server di accesso alla rete che inviano l'attributo Class in tutte le richieste di contabilità. L'attributo Class viene inviato al client RADIUS in un messaggio Access-Accept ed è utile per correlare i messaggi Accounting-Request con le sessioni di autenticazione. Se l'attributo Class viene inviato dal server di accesso alla rete nei messaggi di richiesta di contabilità, può essere usato per trovare le corrispondenze con i record di accounting e di autenticazione. La combinazione degli attributi Unique-Serial-Number, Service-Reboot-Time e Server-Address deve essere un'identificazione univoca per ogni autenticazione accettata dal server.

  • Pianificare l'uso di server di accesso alla rete che supportano l'accounting provvisorio.

  • Pianificare l'uso di server di accesso alla rete che inviano messaggi Accounting-on e Accounting-off.

  • Pianificare l'uso dei server di accesso alla rete che supportano l'archiviazione e l'inoltro dei dati contabili. I server di accesso alla rete che supportano questa funzionalità possono archiviare i dati contabili quando il server di accesso alla rete non può comunicare con NPS. Quando NPS è disponibile, il server di accesso alla rete inoltra i record archiviati a NPS, offrendo maggiore affidabilità nella contabilità sui server di accesso alla rete che non forniscono questa funzionalità.

  • Pianificare sempre la configurazione dell'attributo Acct-Interim-Interval nei criteri di rete. L'attributo Acct-Interim-Interval imposta l'intervallo in secondi tra ogni aggiornamento provvisorio inviato dal server di accesso alla rete. In base a RFC 2869, il valore dell'attributo Acct-Interim-Interval non deve essere inferiore a 60 secondi (1 minuto) e non deve essere inferiore a 600 secondi (10 minuti), vale a dire che i valori oltre 600 secondi ridurranno la frequenza degli aggiornamenti ricevuti dal server RADIUS. Per maggiori informazioni, consultare la sezione RFC 2869.

  • Assicurarsi che la registrazione dello stato periodico sia abilitata negli NPS.