Directivas de solicitud de conexión
Puede usar este artículo para aprender a usar directivas de solicitud de conexión del NPS para configurar el NPS como un servidor RADIUS, un proxy RADIUS o ambos.
Nota
Además de este artículo, está disponible la siguiente documentación sobre directivas de solicitud de conexión.
Las directivas de solicitud de conexión son conjuntos de condiciones y ajustes que permiten a los administradores de red designar qué servidores de servicio de autenticación remota telefónica de usuario (RADIUS) realizan la autenticación y autorización de las solicitudes de conexión que recibe el servidor que ejecuta el Servidor de directivas de redes (NPS) desde los clientes RADIUS. Las directivas de solicitud de conexión se pueden configurar para designar los servidores RADIUS que se usan para las cuentas RADIUS.
Puede crear directivas de solicitud de conexión de manera tal que algunos mensajes de solicitud RADIUS enviados desde clientes RADIUS se procesen localmente (el NPS se usa como servidor RADIUS) y otros tipos de mensajes se reenvíen a otro servidor RADIUS (el NPS se usa como proxy RADIUS).
Con las directivas de solicitud de conexión, puede usar el NPS como servidor RADIUS o como proxy RADIUS, de acuerdo con factores como los siguientes:
- La hora del día y el día de la semana
- El nombre de dominio kerberos en la solicitud de conexión
- El tipo de conexión que se solicita
- La dirección IP del cliente RADIUS
Los mensajes de solicitud de acceso RADIUS se procesan o reenvían por el NPS solo si la configuración del mensaje entrante coincide como mínimo con una de las directivas de solicitud de conexión configuradas en el NPS.
Si la configuración de la directiva coincide y la directiva requiere que el NPS procese el mensaje, el NPS funciona como un servidor RADIUS para autenticar y autorizar la solicitud de conexión. Si la configuración de la directiva coincide y la directiva requiere que el NPS reenvíe el mensaje, el NPS funciona como un proxy RADIUS y reenvía la solicitud de conexión a un servidor RADIUS remoto para su procesamiento.
Si la configuración de un mensaje entrante de solicitud de acceso RADIUS no coincide como mínimo con una de las directivas de solicitud de conexión, se envía un mensaje de rechazo de acceso al cliente RADIUS y se deniega el acceso al usuario o al equipo que intenta conectarse a la red.
Ejemplos de configuración
En los siguientes ejemplos de configuración se muestra cómo puede usar directivas de solicitud de conexión.
NPS como servidor RADIUS
La directiva de solicitud de conexión predeterminada es la única directiva configurada. En este ejemplo, el NPS se configura como un servidor RADIUS y todas las solicitudes de conexión se procesan por el NPS local. El NPS puede autenticar y autorizar los usuarios cuyas cuentas están en el dominio del NPS y en los dominios de confianza.
NPS como proxy RADIUS
La directiva de solicitud de conexión predeterminada se elimina y se crean dos nuevas directivas de solicitud de conexión para reenviar solicitudes a dos dominios diferentes. En este ejemplo, NPS se configura como un proxy RADIUS. NPS no procesa ninguna solicitud de conexión en el servidor local. En su lugar, reenvía las solicitudes de conexión a un servidor NPS o a otros servidores RADIUS configurados como miembros de grupos de servidores RADIUS remotos.
NPS como servidor RADIUS y proxy RADIUS
Además de la directiva de solicitud de conexión predeterminada, se crea una nueva directiva de solicitud de conexión que reenvía solicitudes de conexión a NPS u otro servidor RADIUS en un dominio que no es de confianza. En este ejemplo, la directiva de proxy aparece en primer lugar en la lista ordenada de directivas. Si la solicitud de conexión coincide con la directiva de proxy, la solicitud de conexión se reenvía al servidor RADIUS en el grupo de servidores remotos RADIUS. Si la solicitud de conexión no coincide con la directiva proxy pero sí coincide con la directiva de solicitud de conexión predeterminada, NPS procesa la solicitud de conexión en el servidor local. Si la solicitud de conexión no coincide con ninguna de las dos directivas, se descarta.
NPS como servidor RADIUS con servidores de cuentas remotas
En este ejemplo, el NPS local no está configurado para la contabilización de cuentas y la directiva de solicitud de conexión predeterminada se revisa de forma que los mensajes de contabilización de cuentas RADIUS se reenvían a un NPS u otro servidor RADIUS en un grupo de servidores RADIUS remotos. Aunque se reenvían los mensajes de contabilización de cuentas, los mensajes de autenticación y autorización no, y el NPS local realiza estas funciones para los dominios locales y todos los dominios de confianza.
NPS con asignación de RADIUS remota a usuario de Windows
En este ejemplo, NPS actúa como servidor RADIUS y como proxy RADIUS para cada solicitud de conexión individual ya que reenvía la solicitud de autenticación a un servidor RADIUS remoto y, al mismo tiempo, usa la cuenta de usuario de Windows local para la autorización. Para implementar esta configuración, se debe establecer el atributo Asignación de RADIUS remota a usuario de Windows como una condición de la directiva de solicitud de conexión. (Además, se debe crear una cuenta de usuario local que tenga el mismo nombre que la cuenta de usuario remota que será la que usará el servidor RADIUS remoto para realizar la autenticación.)
Condiciones de la directiva de solicitud de conexión
Las condiciones de la directiva de solicitud de conexión son uno o más atributos RADIUS que se comparan con los atributos del mensaje de solicitud de acceso RADIUS entrante. Si hay varias condiciones, entonces todas las condiciones del mensaje de solicitud de conexión y de la directiva de solicitud de conexión deben coincidir para que la directiva sea aplicada por NPS.
Los siguientes son los atributos de condición que se pueden configurar en las directivas de solicitud de conexión.
Grupo de atributos de propiedades de conexión
El grupo de atributos Propiedades de la conexión contiene los siguientes atributos.
- Protocolo entramado. Se usa para designar el tipo de entramado para los paquetes entrantes. Algunos ejemplos son el protocolo punto a punto (PPP), el protocolo de Internet de línea serie (SLIP), Frame Relay y X.25.
- Tipo de servicio. Se usa para designar el tipo de servicio que se solicita. Entre los ejemplos se incluyen entramados (por ejemplo, conexiones PPP) y de inicio de sesión (por ejemplo, conexiones Telnet). Para obtener más información acerca de los tipos de servicio RADIUS, consulte la RFC 2865, que se refiere al Servicio de autenticación remota telefónica de usuario (RADIUS).
- Tipo de túnel. Se usa para designar el tipo de túnel que está creando el cliente que realiza la solicitud. Entre los tipos de túnel se incluyen el protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa dos (L2TP).
Grupo de atributos de restricciones de día y hora
El grupo de atributos Restricciones de día y hora contiene un atributo de Restricciones de día y hora. Con este atributo, puede designar el día de la semana y la hora del día del intento de conexión. El día y la hora son relativos al día y la hora del NPS.
Grupo de atributos de puerta de enlace
El grupo de atributos Puerta de enlace contiene los siguientes atributos.
- Id. de estación llamada. Se usa para designar el número de teléfono del servidor de acceso a la red. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área.
- Identificador de NAS. Se usa para designar el nombre del servidor de acceso a la red. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar identificadores de NAS.
- Dirección NAS IPv4. Se usa para designar la dirección del Protocolo de Internet versión 4 (IPv4) del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.
- Dirección NAS IPv6. Se usa para designar la dirección del Protocolo de Internet versión 6 (IPv6) del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.
- Tipo de puerto de NAS. Se usa para designar el tipo de medios usados por el cliente de acceso. Algunos ejemplos son las líneas telefónicas analógicas (conocidas como asincrónicas), la red digital de servicios integrados (ISDN), los túneles o redes privadas virtuales (VPN), las conexiones inalámbricas IEEE 802.11 y los conmutadores Ethernet.
Grupo de atributos de Machine Identity
El grupo de atributos ///Identidad del equipo contiene el atributo ///Identidad del equipo. Con este atributo, puede especificar el método con el que se identifican los clientes en la directiva.
Grupo de atributos de propiedades del cliente RADIUS
El grupo de atributos Propiedades del cliente RADIUS contiene los siguientes atributos.
- Id. de la estación que llama. Se usa para designar el número de teléfono usado por quien llama (el cliente de acceso). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar códigos de área. En las autenticaciones 802.1x, la dirección MAC se suele rellenar y puede coincidir con el cliente. Este campo se usa normalmente para escenarios de omisión de direcciones Mac cuando la directiva de solicitud de conexión está configurada para "Aceptar usuarios sin validar credenciales".
- Nombre descriptivo del cliente. Se usa para designar el nombre del equipo cliente RADIUS que solicita autenticación. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar nombres de cliente.
- Dirección IPv4 del cliente. Se usa para designar la dirección IPv4 del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.
- Dirección IPv6 del cliente. Se usa para designar la dirección IPv6 del servidor de acceso a la red (el cliente RADIUS). Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón para especificar redes IP.
- Proveedor del cliente. Se usa para designar el proveedor del servidor de acceso a la red que solicita autenticación. Un equipo que ejecuta el Servicio de enrutamiento y acceso remoto es el fabricante de Microsoft NAS. Puede usar este atributo para configurar directivas independientes para diferentes fabricantes de NAS. Este atributo es una cadena de caracteres. Puede usar una sintaxis de coincidencia de patrón.
Grupo de atributos de nombre de usuario
El grupo de atributos Nombre de usuario contiene el atributo Nombre de usuario. Con este atributo, puede designar el nombre de usuario, o una parte del nombre de usuario, que debe coincidir con el proporcionado por el cliente de acceso en el mensaje RADIUS. Este atributo es una cadena de caracteres que normalmente contiene un nombre de dominio kerberos y un nombre de cuenta de usuario. Puede usar una sintaxis de coincidencia de patrón para especificar nombres de usuario.
Configuración de la directiva de solicitud de conexión
La configuración de la directiva de solicitud de conexión es un conjunto de propiedades que se aplican a un mensaje RADIUS entrante. La configuración se compone de los siguientes grupos de propiedades:
- Authentication
- Control
- Manipulación de atributos
- Reenviando solicitud
- Avanzado
En las siguientes secciones se proporcionan detalles adicionales sobre esta configuración.
Authentication
Con esta configuración, puede invalidar la configuración de autenticación que se configura en todas las directivas de red y puede designar los métodos y tipos de autenticación que se necesitan para conectarse a la red.
Importante
Si configura un método de autenticación en la directiva de solicitud de conexión que es menos seguro que el método de autenticación que configura en la directiva de red, el método de autenticación más seguro que se configura en la directiva de red se invalidará. Por ejemplo, si tiene una directiva de red que exige el uso de la versión 2 del protocolo de autenticación extensible protegido-protocolo de autenticación por desafío mutuo (PEAP-MS-CHAP v2), que es un método de autenticación basado en contraseña para el acceso inalámbrico seguro, y configura también una directiva de solicitud de conexión para permitir el acceso no autenticado, el resultado es que ningún cliente necesita autenticarse mediante PEAP-MS-CHAP v2. En este ejemplo, se concede a todos los clientes que se conectan a la red un acceso no autenticado.
Control
Con esta configuración, puede configurar una directiva de solicitud de conexión para reenviar información de contabilización de cuentas a un NPS u otro servidor RADIUS de un grupo de servidores RADIUS remotos para que este grupo ejecute la contabilización de cuentas.
Nota
Si tiene varios servidores RADIUS y desea que la información de cuentas para todos los servidores se almacene en una base de datos de cuentas RADIUS central, puede usar la configuración de cuentas de la directiva de solicitud de conexión en una directiva en cada servidor RADIUS para reenviar datos de cuentas de todos los servidores a un servidor NPS o u otro servidor RADIUS que se designa como servidor de cuentas.
La configuración de contabilización de cuentas de la directiva de solicitud de conexión funciona independientemente de la configuración de contabilización de cuentas del servidor NPS local. Es decir, si configura el NPS local para registrar información de contabilización de cuentas RADIUS en un archivo local o en una base de datos de Microsoft SQL Server, lo hará independientemente de si se configura una directiva de solicitud de conexión para reenviar los mensajes de contabilización de cuentas a un grupo de servidores RADIUS remotos.
Si quiere que se registre la información de contabilización de cuentas de forma remota pero no local, debe configurar el NPS local para que no ejecute la contabilización de cuentas y configurar al mismo tiempo la contabilización de cuentas en una directiva de solicitud de conexión para reenviar los datos de contabilización de cuentas a un grupo de servidores RADIUS remotos.
Manipulación de atributos
Puede configurar un conjunto de reglas de buscar y reemplazar que manipule las cadenas de texto de uno de los siguientes atributos:
- Nombre de usuario
- Identificador de estación llamada
- Identificador de estación que llama
El procesamiento de la regla de buscar y reemplazar se produce para uno de los atributos precedentes antes de que el mensaje RADIUS se someta a la configuración de autenticación y administración de cuentas. Las reglas de manipulación de atributos se aplican a un solo atributo. No puede configurar reglas de manipulación de atributos para cada atributo. Además, la lista de atributos que se pueden manipular es una lista estática: no se pueden agregar atributos a la lista de atributos disponibles para su manipulación.
Nota
Si usa el protocolo de autenticación MS-CHAP v2, no puede manipular el atributo de Nombre de usuario si la directiva de solicitud de conexión se usa para reenviar el mensaje RADIUS. La única excepción se produce cuando se usa un carácter de barra diagonal inversa () y la manipulación solo afecta a la información que aparece a la izquierda de dicho carácter. El carácter de barra diagonal inversa se usa normalmente para indicar un nombre de dominio (la información a la izquierda del carácter de barra diagonal inversa) y el nombre de una cuenta de usuario dentro del dominio (la información a la derecha del carácter de barra diagonal inversa). En este caso, sólo se permiten las reglas de manipulación de atributos que modifican o reemplazan el nombre de dominio.
Para obtener ejemplos de cómo manipular el nombre de dominio en el atributo Nombre de usuario, consulte la sección "Ejemplos para la manipulación del nombre de dominio en el atributo Nombre de usuario" en el artículo Uso de expresiones regulares en NPS.
Reenviando solicitud
Puede establecer las siguientes opciones de reenvío de solicitud que se usan para mensajes de solicitud de acceso de RADIUS:
Autenticar solicitudes en este servidor. Con esta configuración, el NPS usa un dominio de Windows NT 4.0, Active Directory o la base de datos local de cuentas de usuario del Administrador de cuentas de seguridad (SAM) para autenticar la solicitud de conexión. Esta configuración también especifica que la directiva de red coincidente que se configura en NPS, junto con las propiedades de marcado de la cuenta de usuario, sean usadas por NPS para autorizar la solicitud de conexión. En este caso, el NPS se configura para funcionar como un servidor RADIUS.
Reenviar solicitudes al siguiente grupo de servidores RADIUS remotos. Con esta configuración, el NPS reenvía las solicitudes de conexión al grupo de servidores RADIUS remotos que especifique. Si el NPS recibe un mensaje de aceptación de acceso válido que corresponde al mensaje de solicitud de acceso, el intento de conexión se considera autenticado y autorizado. En este caso, el NPS funciona como un proxy RADIUS.
Aceptar usuarios sin validar credenciales. Con esta configuración, el NPS no comprueba la identidad del usuario que intenta conectarse a la red y el NPS no intenta comprobar si el usuario o el equipo tienen derecho a conectarse a la red. Cuando NPS se configura para permitir el acceso no autenticado y recibe una solicitud de conexión, NPS envía de inmediato un mensaje de aceptación de acceso al cliente RADIUS y se concede al usuario o el equipo acceso a la red. Esta configuración se usa para algunos tipos de tunelización obligatoria en los que se tuneliza al cliente de acceso antes de que se autentiquen las credenciales del usuario.
Nota
Esta opción de autenticación no puede usarse cuando el protocolo de autenticación del cliente de acceso es el MS-CHAP v2 o el protocolo de autenticación extensible de seguridad de la capa de transporte (EAP-TLS), ambos pueden proporcionar autenticación mutua. En la autenticación mutua, el cliente de acceso demuestra que es un cliente de acceso válido para el servidor de autenticación (el NPS) y el servidor de autenticación demuestra que es un servidor de autenticación válido para el cliente de acceso. Cuando se usa esta opción de autenticación, se devuelve el mensaje de aceptación de acceso. Sin embargo, el servidor de autenticación no proporciona validación al cliente de acceso y la autenticación mutua presenta un error.
Para ver ejemplos de cómo usar expresiones regulares para crear reglas de enrutamiento que reenvíen mensajes RADIUS con un nombre de dominio especificado a un grupo de servidores RADIUS remotos, consulte la sección "Ejemplo de reenvío de mensajes RADIUS por un servidor proxy" en el artículo Uso de expresiones regulares en NPS.
Avanzado
Puede configurar propiedades avanzadas para especificar la serie de atributos RADIUS que son:
- Se agrega al mensaje de respuesta RADIUS cuando el NPS se usa como un servidor de autenticación o contabilización de cuentas RADIUS. Cuando hay atributos especificados en una directiva de red y la directiva de solicitud de conexión, los atributos que se envían al mensaje de respuesta RADIUS son la combinación de ambos conjuntos de atributos.
- Agregados al mensaje de respuesta RADIUS cuando el servidor NPS se usa como proxy de autenticación o cuentas RADIUS. Si el atributo ya existe en el mensaje que se reenvía, se reemplaza por el valor del atributo especificado en la directiva de solicitud de conexión.
Además, algunos atributos disponibles para su configuración en la pestaña Configuración de la directiva de solicitud de conexión en la categoría Opciones avanzadas proporcionan funciones especializadas. Por ejemplo, puede configurar el atributo Asignación de RADIUS remota a usuario de Windows cuando desee dividir la autenticación y autorización de una solicitud de conexión entre dos bases de datos de cuentas de usuario.
El atributo Asignación de RADIUS remota a usuario de Windows especifica que la autorización de Windows se produce para los usuarios autenticados por un servidor RADIUS remoto. Es decir, un servidor RADIUS remoto ejecuta la autenticación con respecto a una cuenta de usuario en una base de datos de cuentas de usuario remoto, mientras que el NPS local autoriza la solicitud de conexión con respecto a una cuenta de usuario en una base de datos de cuentas de usuario local. Esto resulta útil cuando se desea permitir el acceso a la red por parte de visitantes.
Por ejemplo, los visitantes de organizaciones asociadas pueden autenticarse mediante el servidor RADIUS de su propia organización asociada y, a continuación, usar una cuenta de usuario de Windows en su organización para tener acceso a una red de área local (LAN) invitada en su red.
Otros atributos que proporcionan funciones especializadas son:
- MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout. Estos atributos se usan al implementar el Control de cuarentena de acceso a la red (NAQC) con la implementación de VPN de Enrutamiento y acceso remoto.
- Passport-User-Mapping-UPN-Suffix. Este atributo permite autenticar solicitudes de conexión con credenciales de cuenta de usuario de identificador Windows Live™.
- Tunnel-Tag. Este atributo designa el número de identificador de VLAN al que la conexión debe ser asignada por el NAS cuando se implementan redes de área local virtuales (VLAN).
Directiva de solicitud de conexión predeterminada
Al instalar NPS se crea una directiva de solicitud de conexión predeterminada. Esta directiva tiene la siguiente configuración:
- Autenticación no se configura.
- Cuentas no se configura para reenviar información de cuentas a un grupo de servidores remotos RADIUS.
- Atributo no se configura con reglas de manipulación de atributos que reenvían solicitudes de conexión a grupos de servidores remotos RADIUS.
- La solicitud de reenvío se configura de tal manera que las solicitudes de conexión se autentiquen y autoricen en el NPS local.
- Los atributos de Opciones avanzadas no se configuran.
La directiva de solicitud de conexión predeterminada usa NPS como servidor RADIUS. Para configurar un servidor que ejecuta NPS para funcionar como proxy RADIUS, también debe configurar un grupo de servidores remotos RADIUS. Puede crear un nuevo grupo de servidores RADIUS remotos mientras crea una nueva directiva de solicitud de conexión con el Asistente para nueva directiva de solicitud de conexión. Puede eliminar la directiva de solicitud de conexión predeterminada o comprobar que esta es la última directiva procesada por el NPS colocándola en último lugar en la lista de directivas ordenada.
Nota
Si el NPS y el servicio de acceso remoto se instalan en el mismo equipo y el servicio de acceso remoto se configura para la autenticación y contabilización de cuentas de Windows, es posible que las solicitudes de autenticación y contabilización de cuentas de acceso remoto se reenvíen a un servidor RADIUS. Esto puede ocurrir cuando las solicitudes de autenticación y contabilización de cuentas de acceso remoto coinciden con una directiva de solicitud de conexión configurada para reenviarlas a un grupo de servidores RADIUS remotos.