Pianificare Servizi dei criteri di rete come server RADIUS

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Quando si distribuisce Server dei criteri di rete (NPS) come server Remote Authentication Dial-In User Service (RADIUS), Server dei criteri di rete esegue l'autenticazione, l'autorizzazione e l'accounting per le richieste di connessione per il dominio locale e per i domini che considera attendibile il dominio locale. È possibile usare queste linee guida per la pianificazione per semplificare la distribuzione RADIUS.

Queste linee guida per la pianificazione non includono le circostanze in cui si desidera distribuire Server dei criteri di rete come proxy RADIUS. Quando si distribuisce Server dei criteri di rete come proxy RADIUS, Server dei criteri di rete inoltra le richieste di connessione a un server che esegue Server dei criteri di rete o ad altri server RADIUS in domini remoti, domini non attendibili o entrambi.

Prima di distribuire Server dei criteri di rete come server RADIUS nella rete, usare le linee guida seguenti per pianificare la distribuzione.

  • Pianificare la configurazione di Server dei criteri di rete.

  • Pianificare i client RADIUS.

  • Pianificare l'uso dei metodi di autenticazione.

  • Pianificare i criteri di rete.

  • Pianificare l'accounting di Server dei criteri di rete.

Pianificare la configurazione di Server dei criteri di rete

È necessario decidere in quale dominio è membro il Server dei criteri di rete. Per gli ambienti con più domini, un server dei criteri di rete può autenticare le credenziali per gli account utente nel dominio di cui è membro e per tutti i domini che considera attendibile il dominio locale del Server dei criteri di rete. Per consentire al Server dei criteri di rete di leggere le proprietà di accesso remoto degli account utente durante il processo di autorizzazione, è necessario aggiungere l'account computer del server dei criteri di rete al gruppo RAS e NPSs per ogni dominio.

Dopo aver determinato l'appartenenza al dominio del server dei criteri di rete, il server deve essere configurato per comunicare con i client RADIUS, detti anche server di accesso alla rete, utilizzando il protocollo RADIUS. È anche possibile configurare i tipi di eventi registrati da Server dei criteri di rete nel registro eventi ed è possibile immettere una descrizione per il server.

Passaggi principali

Durante la pianificazione della configurazione di Server dei criteri di rete, è possibile seguire questa procedura.

  • Determinare le porte RADIUS utilizzate dal Server dei criteri di rete per ricevere messaggi RADIUS dai client RADIUS. Le porte predefinite sono le porte UDP 1812 e 1645 per i messaggi di autenticazione RADIUS e le porte 1813 e 1646 per i messaggi di accounting RADIUS.

  • Se server dei criteri di rete è configurato con più schede di rete, determinare le schede su cui si desidera consentire il traffico RADIUS.

  • Determinare i tipi di eventi che si desidera NPS registrare nel registro eventi. È possibile registrare le richieste di autenticazione rifiutate, le richieste di autenticazione riuscite o entrambi i tipi di richieste.

  • Determinare se si distribuiscono più server dei criteri di rete. Per garantire la tolleranza di errore per l'autenticazione basata su RADIUS e l'accounting, usare almeno due server dei criteri di rete. Un server dei criteri di rete viene usato come server RADIUS primario e l'altro come backup. Ogni client RADIUS viene quindi configurato in entrambi i server dei criteri di rete. Se il server dei criteri di rete primario non è più disponibile, i client RADIUS inviano Access-Request messaggi al server dei criteri di rete alternativo.

  • Pianificare lo script usato per copiare una configurazione di Server dei criteri di rete in altri server dei criteri di rete per evitare un sovraccarico amministrativo e impedire la cofigurazione non corretta di un server. Server dei criteri di rete fornisce i comandi Netsh che consentono di copiare tutta o parte di una configurazione di Server dei criteri di rete per l'importazione in un altro server dei criteri di rete. È possibile eseguire i comandi manualmente al prompt di Netsh. Tuttavia, se si salva la sequenza di comandi come script, è possibile eseguire lo script in un secondo momento se si decide di modificare le configurazioni del server.

Pianificare i client RADIUS

I client RADIUS sono server di accesso alla rete, ad esempio punti di accesso wireless, server VPN (Virtual Private Network), commutatori con supporto 802.1X e server remoti. Anche i proxy RADIUS, che inoltrano i messaggi di richiesta di connessione ai server RADIUS, sono client RADIUS. Server dei criteri di rete supporta tutti i server di accesso alla rete e i proxy RADIUS conformi al protocollo RADIUS, come descritto in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" e RFC 2866, "Accounting RADIUS".

Importante

I client di accesso, ad esempio i computer client, non sono client RADIUS. Solo i server di accesso alla rete e i server proxy che supportano il protocollo RADIUS sono client RADIUS.

Inoltre, sia i punti di accesso wireless che i commutatori devono essere in grado di eseguire l'autenticazione 802.1X. Se si desidera distribuire EAP (Extensible Authentication Protocol) o PEAP (Protected Extensible Authentication Protocol), i punti di accesso e i commutatori devono supportare l'uso di EAP.

Per testare l'interoperabilità di base per le connessioni PPP per i punti di accesso wireless, configurare il punto di accesso e il client di accesso per l'uso Password Authentication Protocol (PAP). Utilizzare protocolli di autenticazione aggiuntivi basati su PPP, ad esempio PEAP, fino a quando non sono stati testati quelli che si intende utilizzare per l'accesso alla rete.

Passaggi principali

Durante la pianificazione dei client RADIUS, è possibile seguire questa procedura.

  • Documentare gli attributi specifici del fornitore (VSA) che è necessario configurare in Server dei criteri di rete. Se i server di accesso alla rete richiedono vsas, registrare le informazioni vsa per un uso successivo quando si configurano i criteri di rete in Server dei criteri di rete.

  • Documentare gli indirizzi IP dei client RADIUS e del server dei criteri di rete per semplificare la configurazione di tutti i dispositivi. Quando si distribuiscono i client RADIUS, è necessario configurarli per l'uso del protocollo RADIUS, con l'indirizzo IP di Server dei criteri di rete immesso come server di autenticazione. Quando si configura Server dei criteri di rete per comunicare con i client RADIUS, è necessario immettere gli indirizzi IP del client RADIUS nello snap-in Server dei criteri di rete.

  • Creare segreti condivisi per la configurazione nei client RADIUS e nello snap-in Server dei criteri di rete. È necessario configurare i client RADIUS con un segreto condiviso, o password, che verrà immesso anche nello snap-in Server dei criteri di rete durante la configurazione dei client RADIUS in Server dei criteri di rete.

Pianificare l'uso dei metodi di autenticazione

Server dei criteri di rete supporta sia i metodi di autenticazione basati su password che i metodi di autenticazione basati su certificati. Tuttavia, non tutti i server di accesso alla rete supportano gli stessi metodi di autenticazione. In alcuni casi, potrebbe essere necessario distribuire un metodo di autenticazione diverso in base al tipo di accesso alla rete.

Ad esempio, è possibile distribuire sia l'accesso wireless che VPN per l'organizzazione, ma usare un metodo di autenticazione diverso per ogni tipo di accesso: EAP-TLS per le connessioni VPN, a causa della sicurezza avanzata fornita da EAP con Transport Layer Security (EAP-TLS) e PEAP-MS-CHAP v2 per le connessioni wireless 802.1X.

PEAP con Microsoft Challenge Handshake Authentication Protocol versione 2 (PEAP-MS-CHAP v2) fornisce una funzionalità denominata riconnessione rapida progettata specificamente per l'uso con computer portatili e altri dispositivi wireless. La riconnessione rapida consente ai client wireless di spostarsi tra punti di accesso wireless nella stessa rete senza essere autenticati di nuovo ogni volta che vengono associati a un nuovo punto di accesso. Ciò offre un'esperienza migliore per gli utenti wireless e consente loro di spostarsi tra i punti di accesso senza dover digitare nuovamente le credenziali. A causa della riconnessione rapida e della sicurezza fornita da PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 è una scelta logica come metodo di autenticazione per le connessioni wireless.

Per le connessioni VPN, EAP-TLS è un metodo di autenticazione basato su certificati che offre sicurezza avanzata che protegge il traffico di rete anche quando viene trasmesso attraverso Internet da computer domestici o mobili ai server VPN dell'organizzazione.

Metodi di autenticazione basati su certificati

I metodi di autenticazione basati su certificati offrono il vantaggio di garantire una sicurezza avanzata. e hanno lo svantaggio di essere più difficili da distribuire rispetto ai metodi di autenticazione basati su password.

PEAP-MS-CHAP v2 ed EAP-TLS sono metodi di autenticazione basati su certificati, ma esistono molte differenze tra di essi e il modo in cui vengono distribuiti.

Protocollo EAP-TLS

EAP-TLS usa i certificati per l'autenticazione client e server e richiede la distribuzione di un'infrastruttura a chiave pubblica (PKI) nell'organizzazione. La distribuzione di un'infrastruttura a chiave pubblica può essere complessa e richiede una fase di pianificazione indipendente dalla pianificazione dell'uso di Server dei criteri di rete come server RADIUS.

Con EAP-TLS, server dei criteri di rete registra un certificato del server da un'autorità di certificazione (CA) e il certificato viene salvato nel computer locale nell'archivio certificati. Durante il processo di autenticazione, l'autenticazione server si verifica quando il server dei criteri di rete invia il certificato server al client di accesso per dimostrare la propria identità al client di accesso. Il client di accesso esamina varie proprietà del certificato per determinare se il certificato è valido ed è appropriato per l'uso durante l'autenticazione del server. Se il certificato del server soddisfa i requisiti minimi del certificato del server e viene emesso da una CA che il client di accesso considera attendibile, il server dei criteri di rete viene autenticato correttamente dal client.

Analogamente, l'autenticazione client si verifica durante il processo di autenticazione quando il client invia il certificato client al server dei criteri di rete per dimostrare la propria identità al server dei criteri di rete. Il Server dei criteri di rete esamina il certificato e, se il certificato client soddisfa i requisiti minimi del certificato client e viene emesso da una CA che il server dei criteri di rete considera attendibile, il client di accesso viene autenticato correttamente dal Server dei criteri di rete.

Anche se è necessario che il certificato del server sia archiviato nell'archivio certificati nel server dei criteri di rete, il certificato client o utente può essere archiviato nell'archivio certificati nel client o in un smart card.

Perché questo processo di autenticazione abbia esito positivo, è necessario che tutti i computer presentino il certificato DELLA CA dell'organizzazione nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale per il computer locale e l'utente corrente.

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 utilizza un certificato per l'autenticazione server e le credenziali basate su password per l'autenticazione utente. Poiché i certificati vengono utilizzati solo per l'autenticazione server, non è necessario distribuire un'infrastruttura a chiave pubblica per utilizzare PEAP-MS-CHAP v2. Quando si distribuisce PEAP-MS-CHAP v2, è possibile ottenere un certificato del server per il server dei criteri di rete in uno dei due modi seguenti:

  • È possibile installare Servizi certificati Active Directory (Servizi certificati Active Directory) e quindi eseguire la registrazione automatica dei certificati nei server dei criteri di rete. Se si usa questo metodo, è necessario registrare anche il certificato della CA nei computer client che si connettono alla rete in modo che considera attendibile il certificato emesso al Server dei criteri di rete.

  • È possibile acquistare un certificato del server da una CA pubblica, ad esempio VeriSign. Se si usa questo metodo, assicurarsi di selezionare una CA già attendibile per i computer client. Per determinare se i computer client considera attendibile una CA, aprire lo snap-in Certificates Microsoft Management Console (MMC) in un computer client e quindi visualizzare l'archivio Autorità di certificazione radice disponibile nell'elenco locale per il computer locale e per l'utente corrente. Se in questi archivi certificati è presente un certificato della CA, il computer client considera attendibile la CA e pertanto considera attendibile qualsiasi certificato emesso dalla CA.

Durante il processo di autenticazione con PEAP-MS-CHAP v2, l'autenticazione server si verifica quando il server dei criteri di rete invia il certificato del server al computer client. Il client di accesso esamina varie proprietà del certificato per determinare se il certificato è valido ed è appropriato per l'uso durante l'autenticazione del server. Se il certificato del server soddisfa i requisiti minimi del certificato del server e viene emesso da una CA che il client di accesso considera attendibile, il server dei criteri di rete viene autenticato correttamente dal client.

L'autenticazione utente si verifica quando un utente che tenta di connettersi alla rete tipi di credenziali basate su password e tenta di accedere. Server dei criteri di rete riceve le credenziali ed esegue l'autenticazione e l'autorizzazione. Se l'utente viene autenticato e autorizzato correttamente e se il computer client ha autenticato correttamente il server dei criteri di rete, viene concessa la richiesta di connessione.

Passaggi principali

Durante la pianificazione dell'utilizzo dei metodi di autenticazione, è possibile utilizzare i passaggi seguenti.

  • Identificare i tipi di accesso alla rete che si intende offrire, ad esempio wireless, VPN, commutatore con supporto 802.1X e accesso remoto.

  • Determinare il metodo o i metodi di autenticazione da usare per ogni tipo di accesso. È consigliabile usare i metodi di autenticazione basati su certificati che forniscono una sicurezza avanzata. Tuttavia, potrebbe non essere pratico distribuire un'infrastruttura a chiave pubblica( PKI), quindi altri metodi di autenticazione potrebbero offrire un migliore equilibrio tra le risorse necessarie per la rete.

  • Se si distribuisce EAP-TLS, pianificare la distribuzione PKI. Ciò include la pianificazione dei modelli di certificato che verranno utilizzati per i certificati server e i certificati del computer client. Include anche la determinazione di come registrare i certificati nei computer membro di dominio e non membro del dominio e la determinazione dell'uso delle smart card.

  • Se si distribuisce PEAP-MS-CHAP v2, determinare se si desidera installare Servizi certificati Active Directory per rilasciare certificati server nei server dei criteri di rete o se si vogliono acquistare certificati server da una CA pubblica, ad esempio VeriSign.

Pianificare i criteri di rete

I criteri di rete vengono usati da Server dei criteri di rete per determinare se le richieste di connessione ricevute dai client RADIUS sono autorizzate. Server dei criteri di rete usa anche le proprietà di accesso remoto dell'account utente per eseguire una determinazione dell'autorizzazione.

Poiché i criteri di rete vengono elaborati nell'ordine in cui vengono visualizzati nello snap-in Server dei criteri di rete, pianificare di inserire i criteri più restrittivi prima nell'elenco dei criteri. Per ogni richiesta di connessione, Server dei criteri di rete tenta di soddisfare le condizioni del criterio con le proprietà della richiesta di connessione. Server dei criteri di rete esamina ogni criterio di rete nell'ordine fino a quando non trova una corrispondenza. Se non trova una corrispondenza, la richiesta di connessione viene rifiutata.

Passaggi chiave

Durante la pianificazione dei criteri di rete, è possibile seguire questa procedura.

  • Determinare l'ordine di elaborazione del server dei criteri di rete preferito, dal più restrittivo al meno restrittivo.

  • Determinare lo stato dei criteri. Lo stato dei criteri può avere il valore abilitato o disabilitato. Se il criterio è abilitato, Server dei criteri di rete valuta i criteri durante l'esecuzione dell'autorizzazione. Se il criterio non è abilitato, non viene valutato.

  • Determinare il tipo di criteri. È necessario determinare se i criteri sono progettati per concedere l'accesso quando le condizioni dei criteri vengono soddisfatte dalla richiesta di connessione o se il criterio è progettato per negare l'accesso quando le condizioni dei criteri vengono soddisfatte dalla richiesta di connessione. Ad esempio, se si vuole negare in modo esplicito l'accesso wireless ai membri di un gruppo di Windows, è possibile creare un criterio di rete che specifichi il gruppo, il metodo di connessione wireless e il cui tipo di criterio sia Impostato su Nega accesso.

  • Determinare se si vuole che Server dei criteri di rete ignori le proprietà di accesso remoto degli account utente membri del gruppo su cui si basa il criterio. Quando questa impostazione non è abilitata, le proprietà di accesso remoto degli account utente sostituiscono le impostazioni configurate nei criteri di rete. Ad esempio, se è configurato un criterio di rete che concede l'accesso a un utente, ma le proprietà di accesso remoto dell'account utente per tale utente sono impostate per negare l'accesso, all'utente viene negato l'accesso. Se tuttavia si abilita l'impostazione del tipo di criterio Ignora le proprietà di accesso remoto dell'account utente, allo stesso utente viene concesso l'accesso alla rete.

  • Determinare se i criteri utilizzano l'impostazione dell'origine dei criteri. Questa impostazione consente di specificare facilmente un'origine per tutte le richieste di accesso. Le origini possibili sono un gateway di Servizi terminal, un server di accesso remoto (VPN o connessione remota), un server DHCP, un punto di accesso wireless e un server autorità di registrazione integrità. In alternativa, è possibile specificare un'origine specifica del fornitore.

  • Determinare le condizioni che devono essere soddisfatte per applicare i criteri di rete.

  • Determinare le impostazioni applicate se le condizioni dei criteri di rete vengono soddisfatte dalla richiesta di connessione.

  • Determinare se si vogliono usare, modificare o eliminare i criteri di rete predefiniti.

Pianificare l'accounting di Server dei criteri di rete

Server dei criteri di rete consente di registrare i dati di accounting RADIUS, ad esempio le richieste di autenticazione utente e accounting, in tre formati: formato IAS, formato compatibile con database e registrazione Microsoft SQL Server registrazione.

Il formato IAS e il formato compatibile con il database creano file di log nel server dei criteri di rete locale in formato di file di testo.

SQL Server registrazione consente di accedere a un database conforme SQL Server 2000 o SQL Server 2005 xml, estendendo la contabilità RADIUS per sfruttare i vantaggi della registrazione in un database relazionale.

Passaggi chiave

Durante la pianificazione dell'accounting di Server dei criteri di rete, è possibile seguire questa procedura.

  • Determinare se si desidera archiviare i dati di accounting del server dei criteri di rete in file di log o in un database SQL Server locale.

Accounting di Server dei criteri di rete tramite file di log locali

La registrazione delle richieste di autenticazione e accounting degli utenti nei file di log viene usata principalmente a scopo di analisi della connessione e fatturazione ed è anche utile come strumento di analisi della sicurezza, fornendo un metodo per tenere traccia dell'attività di un utente malintenzionato dopo un attacco.

Passaggi chiave

Durante la pianificazione dell'accounting di Server dei criteri di rete usando i file di log locali, è possibile seguire questa procedura.

  • Determinare il formato di file di testo che si vuole usare per i file di log di Server dei criteri di rete.

  • Scegliere il tipo di informazioni da registrare. È possibile registrare le richieste di accounting, le richieste di autenticazione e lo stato periodico.

  • Determinare il percorso del disco rigido in cui archiviare i file di log.

  • Progettare la soluzione di backup del file di log. Il percorso del disco rigido in cui si archiviano i file di log deve essere un percorso che consente di eseguire facilmente il backup dei dati. Inoltre, il percorso del disco rigido deve essere protetto configurando l'elenco di controllo di accesso (ACL) per la cartella in cui sono archiviati i file di log.

  • Determinare la frequenza di creazione dei nuovi file di log. Se si desidera creare file di log in base alle dimensioni del file, determinare le dimensioni massime consentite prima che un nuovo file di log venga creato da Server dei criteri di rete.

  • Determinare se si vuole che Server dei criteri di rete elimini i file di log meno recenti se lo spazio di archiviazione sul disco rigido è insufficiente.

  • Determinare l'applicazione o le applicazioni da usare per visualizzare i dati di contabilità e produrre report.

Registrazione SQL Server server dei criteri di rete

La registrazione SQL Server server dei criteri di rete viene usata quando sono necessarie informazioni sullo stato della sessione, ai fini della creazione di report e dell'analisi dei dati, e per centralizzare e semplificare la gestione dei dati di accounting.

Server dei criteri di rete consente di usare la registrazione SQL Server per registrare le richieste di autenticazione utente e accounting ricevute da uno o più server di accesso alla rete a un'origine dati in un computer che esegue Microsoft SQL Server Desktop Engine (MSDE 2000) o qualsiasi versione di SQL Server successiva SQL Server 2000.

I dati di accounting vengono passati dal server dei criteri di rete in formato XML a un stored procedure nel database, che supporta sia structured query language (SQL) che XML (SQLXML). La registrazione delle richieste di autenticazione e accounting degli utenti in un database SQL Server XML consente a più server dei criteri di rete di avere un'unica origine dati.

Passaggi chiave

Durante la pianificazione dell'accounting di Server dei criteri di rete usando la registrazione SQL Server server dei criteri di rete, è possibile usare la procedura seguente.

  • Determinare se l'utente o un altro membro dell'organizzazione ha esperienza di sviluppo di database relazionali SQL Server 2000 o SQL Server 2005 e si comprende come usare questi prodotti per creare, modificare, amministrare e gestire database SQL Server.

  • Determinare se SQL Server è installato nel server dei criteri di rete o in un computer remoto.

  • Progettare il stored procedure che verrà utilizzato nel database SQL Server per elaborare i file XML in ingresso che contengono i dati di accounting di Server dei criteri di rete.

  • Progettare la struttura SQL Server di replica del database e il flusso.

  • Determinare l'applicazione o le applicazioni da usare per visualizzare i dati di contabilità e produrre report.

  • Pianificare l'uso di server di accesso alla rete che inviano l'attributo Class in tutte le richieste di accounting. L'attributo Class viene inviato al client RADIUS in un messaggio Access-Accept ed è utile per correlare Accounting-Request messaggi con le sessioni di autenticazione. Se l'attributo Class viene inviato dal server di accesso alla rete nei messaggi di richiesta di accounting, può essere usato per associare i record di accounting e autenticazione. La combinazione degli attributi Unique-Serial-Number, Service-Reboot-Time e Server-Address deve essere un'identificazione univoca per ogni autenticazione accettata dal server.

  • Pianificare l'uso di server di accesso alla rete che supportano l'accounting provvisorio.

  • Pianificare l'uso di server di accesso alla rete che inviano messaggi accounting-on e accounting-off.

  • Pianificare l'uso di server di accesso alla rete che supportano l'archiviazione e l'inoltro dei dati di accounting. I server di accesso alla rete che supportano questa funzionalità possono archiviare i dati di accounting quando il server di accesso alla rete non è in grado di comunicare con il server dei criteri di rete. Quando il server dei criteri di rete è disponibile, il server di accesso alla rete inoltra i record archiviati al server dei criteri di rete, offrendo maggiore affidabilità nell'accounting sui server di accesso alla rete che non forniscono questa funzionalità.

  • Pianificare la configurazione sempre dell'attributo Acct-Interim-Interval nei criteri di rete. L'attributo Acct-Interim-Interval imposta l'intervallo (in secondi) tra ogni aggiornamento provvisorio inviato dal server di accesso alla rete. In base a RFC 2869, il valore dell'attributo Acct-Interim-Interval non deve essere inferiore a 60 secondi o un minuto e non deve essere inferiore a 600 secondi o 10 minuti. Per altre informazioni, vedere RFC 2869, "Estensioni RADIUS".

  • Assicurarsi che la registrazione dello stato periodico sia abilitata nei server dei criteri di rete.