Políticas de solicitação de conexão

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Você pode usar este tópico para saber como usar políticas de solicitação de conexão NPS a fim de configurar o NPS como um servidor RADIUS, um proxy RADIUS ou ambos.

Observação

Além deste tópico, estão disponíveis as documentações de política de solicitação de conexão abaixo.

• Configurar políticas de solicitação de conexão
• Configurar grupos de servidores remotos RADIUS

As políticas de solicitação de conexão são conjuntos de condições e configurações que permitem aos administradores de rede designar quais servidores RADIUS (Remote Authentication Dial-In User Service) fazem a autenticação e autorização de solicitações de conexão que o servidor que executa o NPS (Servidor de Políticas de Rede) recebe de clientes RADIUS. As políticas de solicitação de conexão podem ser configuradas a fim de designar quais servidores RADIUS são usados para a contabilização RADIUS.

Você pode criar políticas de solicitação de conexão para que algumas mensagens de solicitação RADIUS enviadas de clientes RADIUS sejam processadas localmente (o NPS é usado como um servidor RADIUS) e outros tipos de mensagens sejam encaminhados para outro servidor RADIUS (o NPS é usado como um proxy RADIUS).

Com as políticas de solicitação de conexão, você pode usar o NPS como um servidor RADIUS ou como um proxy RADIUS, com base em fatores como os seguintes:

• A hora do dia e o dia da semana
• O nome do realm na solicitação de conexão
• O tipo de conexão que está sendo solicitado
• O endereço IP do cliente RADIUS

As mensagens Access-Request RADIUS serão processadas ou encaminhadas pelo NPS somente se as configurações da mensagem de entrada corresponderem a pelo menos uma das políticas de solicitação de conexão configuradas no NPS.

Se as configurações de política corresponderem e a política exigir que o NPS processe a mensagem, o NPS atuará como um servidor RADIUS, autenticando e autorizando a solicitação de conexão. Se as configurações de política corresponderem e a política exigir que o NPS encaminhe a mensagem, o NPS atuará como um proxy RADIUS e encaminhará a solicitação de conexão a um servidor RADIUS remoto para processamento.

Se as configurações de uma mensagem Access-Request RADIUS recebida não corresponderem a pelo menos uma das políticas de solicitação de conexão, uma mensagem Access-Reject será enviada ao cliente RADIUS e o usuário ou computador que tenta se conectar à rede terá acesso negado.

Exemplos de configuração

Os exemplos de configuração a seguir demonstram como você pode usar políticas de solicitação de conexão.

NPS como um servidor RADIUS

A política de solicitação de conexão padrão é a única política configurada. Neste exemplo, o NPS é configurado como um servidor RADIUS e todas as solicitações de conexão são processadas pelo NPS local. O NPS pode autenticar e autorizar usuários cujas contas estão no domínio do domínio NPS e em domínios confiáveis.

NPS como um proxy RADIUS

A política de solicitação de conexão padrão é excluída e duas novas políticas de solicitação de conexão são criadas a fim de encaminhar solicitações para dois domínios diferentes. Neste exemplo, o NPS é configurado como um proxy RADIUS. O NPS não processa nenhuma solicitação de conexão no servidor local. Em vez disso, ele encaminha solicitações de conexão para NPS ou outros servidores RADIUS configurados como membros de grupos de servidores RADIUS remotos.

NPS como servidor RADIUS e proxy RADIUS

Além da política de solicitação de conexão padrão, é criada uma nova política de solicitação de conexão que encaminha solicitações de conexão para um NPS ou outro servidor RADIUS em um domínio não confiável. Neste exemplo, a política de proxy aparece primeiro na lista ordenada de políticas. Se a solicitação de conexão corresponder à política de proxy, a solicitação de conexão será encaminhada para o servidor RADIUS no grupo de servidores RADIUS remoto. Se a solicitação de conexão não corresponder à política de proxy, mas corresponder à política de solicitação de conexão padrão, o NPS processará a solicitação de conexão no servidor local. Se a solicitação de conexão não corresponder a nenhuma das políticas, ela será descartada.

NPS como servidor RADIUS com servidores de contabilização remota

Neste exemplo, o NPS local não está configurado para executar a contabilização e a política de solicitação de conexão padrão é revisada para que as mensagens de contabilização RADIUS sejam encaminhadas a um NPS ou outro servidor RADIUS em um grupo de servidores RADIUS remoto. Embora as mensagens de contabilização sejam encaminhadas, as mensagens de autenticação e autorização não são encaminhadas e o NPS local executa essas funções para o domínio local e para todos os domínios confiáveis.

NPS com mapeamento de usuário do RADIUS remoto para o Windows

Neste exemplo, o NPS atua como um servidor RADIUS e como um proxy RADIUS para cada solicitação de conexão individual com o encaminhamento da solicitação de autenticação para um servidor RADIUS remoto enquanto usa uma conta de usuário local do Windows para autorização. Essa configuração é implementada com a configuração do atributo RADIUS remoto para mapeamento de usuário do Windows como uma condição da política de solicitação de conexão. (Além disso, uma conta de usuário precisa ser criada localmente com o mesmo nome que a conta de usuário remoto na qual a autenticação é executada pelo servidor RADIUS remoto.)

Política de solicitação de conexão, guia de condições

As condições da política de solicitação de conexão são um ou mais atributos RADIUS comparados aos atributos da mensagem Access-Request RADIUS recebida. Se houver várias condições, todas as condições na mensagem de solicitação de conexão e na política de solicitação de conexão precisarão corresponder para que a política seja imposta pelo NPS.

A seguir estão os atributos de condição disponíveis que você pode configurar nas políticas de solicitação de conexão.

Grupo de atributos Propriedades da Conexão

O grupo de atributos Propriedades da Conexão contém os atributos a seguir.

• Framed Protocol. Usado para designar o tipo de enquadramento para pacotes de entrada. Os exemplos são PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Frame Relay e X.25.
• Tipo de serviço. Usado para designar o tipo de serviço que está sendo solicitado. Exemplos incluem framed (por exemplo, conexões PPP) e login (por exemplo, conexões Telnet). Para obter mais informações sobre tipos de serviço RADIUS, confira RFC 2865, "RADIUS (Remote Authentication Dial-in User Service)."
• Tipo de Encapsulamento. Usado para designar o tipo de túnel que está sendo criado pelo cliente solicitante. Os tipos de túnel incluem o PPTP (Point-to-Point Tunneling Protocol) e o L2TP (Layer Two Tunneling Protocol).

Grupo de atributos Restrições de Dia e Hora

O grupo de atributos Restrições de Dia e Hora contém o atributo Day and Time Restrictions. Com esse atributo, você pode designar o dia da semana e a hora do dia da tentativa de conexão. O dia e a hora se relacionam com o dia e a hora do NPS.

Grupo de atributos Gateway

O grupo de atributos Gateway contém os atributos a seguir.

• Called Station ID. Usado para designar o número de telefone do servidor de acesso à rede. Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar códigos de área.
• NAS Identifier. Usado para designar o nome do servidor de acesso à rede. Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar identificadores NAS.
• NAS IPv4 Address. Usado para designar o endereço IPv4 (protocolo IPv4) do servidor de acesso à rede (o cliente RADIUS). Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar redes IP.
• NAS IPv6 Address. Usado para designar o endereço IPv6 (protocolo IPv6) do servidor de acesso à rede (o cliente RADIUS). Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar redes IP.
• NAS Port Type. Usado para designar o tipo de mídia usado pelo cliente de acesso. Exemplos são linhas telefônicas analógicas (conhecidas como assíncronas), ISDN (Integrated Services Digital Network), túneis ou VPNs (redes virtuais privadas), IEEE 802.11 sem fio e comutadores Ethernet.

Grupo de atributos Identidade do Computador

O grupo de atributos Identidade do Computador contém o atributo Machine Identity. Usando esse atributo, você pode especificar o método com o qual os clientes são identificados na política.

Grupo de atributos Propriedades do Cliente RADIUS

O grupo de atributos Propriedades do Cliente RADIUS contém os atributos a seguir.

• Calling Station ID. Usado para designar o número de telefone usado pelo chamador (o cliente de acesso). Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar códigos de área. Em autenticações 802.1x, o endereço MAC normalmente é preenchido e pode ser correspondido com o cliente. Esse campo normalmente é usado para cenários que ignoram Endereço Mac quando a política de solicitação de conexão é configurada para "Aceitar usuários sem validar credenciais".
• Client Friendly Name. Usado para designar o nome do computador cliente RADIUS que está solicitando autenticação. Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar nomes de cliente.
• Client IPv4 Address. Usado para designar o endereço IPv4 do servidor de acesso à rede (o cliente RADIUS). Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar redes IP.
• Client IPv6 Address. Usado para designar o endereço IPv6 do servidor de acesso à rede (o cliente RADIUS). Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões para especificar redes IP.
• Client Vendor. Usado para designar o fornecedor do servidor de acesso à rede que está solicitando autenticação. Um computador que executa o serviço de Roteamento e Acesso Remoto é o fabricante do NAS da Microsoft. Você pode usar esse atributo para configurar políticas diferentes para diferentes fabricantes de NAS. Esse atributo é uma cadeia de caracteres. Você pode usar a sintaxe de correspondência de padrões.

Grupo de atributos Nome de Usuário

O grupo de atributos Nome de Usuário contém o atributo User Name. Usando esse atributo, você pode designar o nome de usuário ou uma parte do nome de usuário que precisa corresponder ao nome de usuário fornecido pelo cliente de acesso na mensagem RADIUS. Esse atributo é uma cadeia de caracteres que normalmente contém um nome de realm e um nome de conta de usuário. Você pode usar a sintaxe de correspondência de padrões para especificar nomes de usuário.

Configurações de política de solicitação de conexão

As configurações de política de solicitação de conexão são um conjunto de propriedades aplicadas a uma mensagem RADIUS recebida. As configurações consistem nos grupos de propriedades a seguir.

• Autenticação
• Contabilidade
• Manipulação de atributo
• Solicitação de encaminhamento
• Avançado

As seções a seguir fornecem detalhes adicionais sobre essas configurações.

Autenticação

Usando essa configuração, você pode substituir as configurações de autenticação que estão configuradas em todas as políticas de rede e pode designar os métodos de autenticação e os tipos necessários para se conectar à sua rede.

Importante

Se você configurar um método de autenticação em uma política de solicitação de conexão menos seguro do que o método de autenticação configurado na política de rede, o método de autenticação mais seguro configurado na política de rede será substituído. Por exemplo, se você tiver uma política de rede que exija o uso do Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol versão 2 (PEAP-MS-CHAP v2), que é um método de autenticação baseado em senha para sem fio protegido, e também configurar uma política de solicitação de conexão para permitir acesso não autenticado, o resultado será que nenhum cliente será obrigado a autenticar usando PEAP-MS-CHAP v2. Neste exemplo, todos os clientes que se conectam à sua rede ganham acesso não autenticado.

Contabilidade

Usando essa configuração, você pode configurar a política de solicitação de conexão para encaminhar informações de contabilização a um NPS ou outro servidor RADIUS em um grupo de servidores RADIUS remoto para que o grupo de servidores RADIUS remoto faça a contabilização.

Observação

Se você tiver vários servidores RADIUS e quiser informações de contabilização para todos os servidores armazenados em um banco de dados de contabilização RADIUS central, poderá usar a configuração de contabilização da política de solicitação de conexão em uma política em cada servidor RADIUS a fim de encaminhar dados de contabilização de todos os servidores para um NPS ou outro servidor RADIUS designado como um servidor de contabilização.

As configurações de contabilização da política de solicitação de conexão funcionam independentemente da configuração de contabilização do NPS local. Em outras palavras, se você configurar o NPS local para registrar informações de contabilização RADIUS em um arquivo local ou em um banco de dados do Microsoft SQL Server, ele fará isso independentemente de você configurar uma política de solicitação de conexão a fim de encaminhar mensagens de contabilização para um grupo de servidores RADIUS remoto.

Se você quiser que as informações de contabilização sejam registradas remotamente, mas não localmente, configure o NPS local para não executar a contabilização, ao mesmo tempo configurando a contabilização em uma política de solicitação de conexão a fim de encaminhar dados contábeis para um grupo de servidores RADIUS remoto.

Manipulação de atributo

Você pode configurar um conjunto de regras de localização e substituição que manipulam as cadeias de caracteres de texto de um dos atributos a seguir.

• Nome do Usuário
• Called Station ID
• Calling Station ID

O processamento de regras de localização e substituição ocorre para um dos atributos anteriores antes que a mensagem RADIUS esteja sujeita a configurações de autenticação e contabilização. As regras de manipulação de atributo se aplicam apenas a um único atributo. Você não pode configurar regras de manipulação de atributo para cada atributo. Além disso, a lista de atributos que você pode manipular é uma lista estática; não é possível adicionar à lista de atributos disponíveis para manipulação.

Observação

Se você estiver usando o protocolo de autenticação MS-CHAP v2, não poderá manipular o atributo User Name se a política de solicitação de conexão for usada para encaminhar a mensagem RADIUS. A única exceção ocorre quando um caractere de barra invertida () é usado e a manipulação afeta apenas as informações à esquerda dele. Um caractere de barra invertida normalmente é usado para indicar um nome de domínio (as informações à esquerda do caractere de barra invertida) e um nome de conta de usuário dentro do domínio (as informações à direita do caractere de barra invertida). Nesse caso, somente regras de manipulação de atributo que modificam ou substituem o nome de domínio são permitidas.

Para obter exemplos de como manipular o nome de realm no atributo User Name, confira a seção "Exemplos de manipulação do nome de realm no atributo User Name" no tópico Usar expressões regulares no NPS.

Solicitação de encaminhamento

Você pode definir as seguintes opções de solicitação de encaminhamento que são usadas para mensagens Access-Request RADIUS:

• Autenticar solicitações neste servidor. Usando essa configuração, o NPS usa um domínio Windows NT 4.0, o Active Directory ou o banco de dados de contas de usuário local do SAM (Gerenciador de Contas de Segurança) para autenticar a solicitação de conexão. Essa configuração também especifica que a política de rede correspondente configurada no NPS, juntamente com as propriedades de discagem da conta de usuário, são usadas pelo NPS para autorizar a solicitação de conexão. Nesse caso, o NPS é configurado para ser executado como um servidor RADIUS.

• Encaminhar solicitações para o grupo de servidores RADIUS remoto a seguir. Usando essa configuração, o NPS encaminha solicitações de conexão para o grupo de servidores RADIUS remoto que você especificar. Se o NPS receber uma mensagem Access-Accept válida que corresponda à mensagem Access-Request, a tentativa de conexão será considerada autenticada e autorizada. Nesse caso, o NPS atua como um proxy RADIUS.

• Aceitar usuários sem validar credenciais. Usando essa configuração, o NPS não verifica a identidade do usuário que está tentando se conectar à rede e não tenta verificar se o usuário ou computador tem o direito de se conectar à rede. Quando o NPS está configurado para permitir o acesso não autenticado e recebe uma solicitação de conexão, ele envia imediatamente uma mensagem Access-Accept para o cliente RADIUS e o usuário ou computador recebe acesso à rede. Essa configuração é usada para alguns tipos de túnel obrigatório em que o cliente de acesso é colocado em túnel antes que as credenciais do usuário sejam autenticadas.

Observação

Essa opção de autenticação não pode ser usada quando o protocolo de autenticação do cliente de acesso é MS-CHAP v2 ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security); ambos fornecem autenticação mútua. Na autenticação mútua, o cliente de acesso prova que é um cliente de acesso válido para o servidor de autenticação (o NPS) e o servidor de autenticação prova que ele é um servidor de autenticação válido para o cliente de acesso. Quando essa opção de autenticação é usada, a mensagem Access-Accept é retornada. No entanto, o servidor de autenticação não fornece validação para o cliente de acesso e a autenticação mútua falha.

Para obter exemplos de como usar expressões regulares para criar regras de roteamento que encaminham mensagens RADIUS com um nome de realm especificado a um grupo de servidores RADIUS remoto, confira a seção "Exemplo de encaminhamento de mensagens RADIUS por um servidor proxy" no tópico Usar expressões regulares no NPS.

Avançado

Você pode definir propriedades avançadas para especificar a série de atributos RADIUS que é:

• Adicionada à mensagem de resposta RADIUS quando o NPS está sendo usado como um servidor de contabilização ou autenticação RADIUS. Quando há atributos especificados em uma política de rede e na política de solicitação de conexão, os atributos enviados na mensagem de resposta RADIUS são a combinação dos dois conjuntos de atributos.
• Adicionada à mensagem RADIUS quando o NPS está sendo usado como um servidor de contabilização ou autenticação de proxy. Se o atributo já existir na mensagem que é encaminhada, ele será substituído pelo valor do atributo especificado na política de solicitação de conexão.

Além disso, alguns atributos disponíveis para configuração na guia Configurações da política de solicitação de conexão na categoria Avançado fornecem funcionalidade especializada. Por exemplo, você pode configurar o atributo Radius remoto para mapeamento de usuário do Windows quando quer dividir a autenticação e a autorização de uma solicitação de conexão entre dois bancos de dados de contas de usuário.

O atributo Mapeamento de usuário RADIUS remoto para Windows especifica que a autorização do Windows ocorre para usuários que são autenticados por um servidor RADIUS remoto. Em outras palavras, um servidor RADIUS remoto faz a autenticação em uma conta de usuário em um banco de dados de contas de usuário remoto, mas o NPS local autoriza a solicitação de conexão em uma conta de usuário em um banco de dados de contas de usuário local. Isso é útil quando você deseja permitir que os visitantes acessem sua rede.

Por exemplo, visitantes de organizações parceiras podem ser autenticados pelo próprio servidor RADIUS da organização parceira e, em seguida, usar uma conta de usuário do Windows em sua organização para acessar uma LAN (rede local) de convidado em sua rede.

Outros atributos que fornecem funcionalidade especializada são:

• MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout. Esses atributos são usados quando você implanta o NAQC (Controle de Quarentena de Acesso à Rede) com a implantação de VPN de Roteamento e Acesso Remoto.
• Passport-User-Mapping-UPN-Suffix. Esse atributo permite autenticar solicitações de conexão com credenciais de conta de usuário om Windows Live™ ID.
• Tunnel-Tag. Esse atributo designa o número de ID da VLAN ao qual a conexão deve ser atribuída pelo NAS na implantação de VLANs (redes locais virtuais).

Política de solicitação de conexão padrão

Uma política de solicitação de conexão padrão é criada quando você instala o NPS. Essa política tem a configuração a seguir.

• A autenticação não está configurada.
• A contabilização não está configurada para encaminhar informações de contabilização a um grupo de servidores RADIUS remoto.
• O atributo não está configurado com regras de manipulação de atributo que encaminham solicitações de conexão para grupos de servidores RADIUS remotos.
• A solicitação de encaminhamento é configurada para que as solicitações de conexão sejam autenticadas e autorizadas no NPS local.
• Os atributos avançados não estão configurados.

A política de solicitação de conexão padrão usa NPS como um servidor RADIUS. Para configurar um servidor que executa o NPS e atua como um proxy RADIUS, você também precisará configurar um grupo de servidores RADIUS remoto. Você pode criar outro grupo de servidores RADIUS remoto enquanto cria outra política de solicitação de conexão usando o Assistente para Nova Política de Solicitação de Conexão. Você pode excluir a política de solicitação de conexão padrão ou verificar se a política de solicitação de conexão padrão é a última política processada pelo NPS colocando-a por último na lista ordenada de políticas.

Observação

Se o NPS e o serviço Acesso Remoto estiverem instalados no mesmo computador e o serviço Acesso Remoto estiver configurado para autenticação do Windows e contabilização, será possível que as solicitações de autenticação e contabilização do Acesso Remoto sejam encaminhadas para um servidor RADIUS. Isso pode ocorrer quando as solicitações de contabilização e autenticação de Acesso Remoto correspondem a uma política de solicitação de conexão configurada para encaminhá-las a um grupo de servidores RADIUS remoto.