Configurar clientes RADIUS
Puede usar este tema para configurar servidores de acceso a la red como clientes RADIUS en NPS.
Cuando agrega un nuevo servidor de acceso (servidor VPN, punto de acceso inalámbrico, conmutador de autenticación o servidor de acceso telefónico) a la red, debe agregar el servidor como cliente RADIUS en NPS y, a continuación, configurar dicho cliente para que se comunique con NPS.
Importante
Los equipos cliente y dispositivos como, por ejemplo, equipos portátiles, tabletas, teléfonos y otros equipos que ejecutan sistemas operativos de cliente, no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red (por ejemplo, puntos de acceso inalámbrico, conmutadores compatibles con 802.1X, servidores de red privada virtual [VPN] y servidores de acceso telefónico) porque usan el protocolo RADIUS para comunicarse con servidores RADIUS, como servidores NPS (Servidor de directivas de redes).
Este paso también es necesario cuando el NPS es miembro de un grupo de servidores RADIUS remoto configurado en un proxy NPS. En esta circunstancia, además de realizar los pasos de esta tarea en el proxy NPS, debe hacer lo siguiente:
- En el proxy NPS, configure un grupo de servidores RADIUS remoto que contenga el NPS.
- En el NPS remoto, configure el proxy NPS como un cliente RADIUS.
Para realizar los procedimientos de este tema, debe tener al menos un servidor de acceso a la red (servidor VPN, punto de acceso inalámbrico, conmutador de autenticación o servidor de acceso telefónico) o proxy NPS instalado físicamente en la red.
Configuración del servidor de acceso a la red
Use este procedimiento para configurar los servidores de acceso a la red para usarlos con NPS. Al implementar servidores de acceso a la red (NAS) como clientes RADIUS, debe configurar los clientes para que se comuniquen con los NPS en los que los NAS están configurados como clientes.
En este procedimiento se ofrecen instrucciones generales sobre la configuración que debe usar para configurar los NAS; para obtener instrucciones específicas sobre cómo configurar el dispositivo que va a implementar en la red, consulte la documentación del producto NAS.
Para configurar el servidor de acceso a la red
- En el NAS, en Configuración de RADIUS, seleccione Autenticación RADIUS en el puerto 1812 del Protocolo de datagramas de usuario (UDP) y Cuentas de RADIUS en el puerto UDP 1813.
- En Servidor de autenticación o Servidor RADIUS, especifique el NPS por dirección IP o nombre de dominio completo (FQDN), en función de los requisitos del NAS.
- En Secreto o Secreto compartido, escriba una contraseña segura. Al configurar el NAS como un cliente RADIUS en NPS, usará la misma contraseña, así que no la olvide.
- Si va a usar PEAP o EAP como método de autenticación, configure el NAS para que use la autenticación EAP.
- Si va a configurar un punto de acceso inalámbrico, en SSID, especifique un identificador de red (SSID), que es una cadena alfanumérica que actúa como nombre de red. Este nombre es transmitido por puntos de acceso a clientes inalámbricos y es visible para los usuarios en sus zonas activas de Wireless Fidelity (Wi-Fi).
- Si va a configurar un punto de acceso inalámbrico, en 802.1X y WPA, habilite la autenticación IEEE 802.1X si desea implementar PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS.
Incorporación del servidor de acceso a la red como un cliente RADIUS en NPS
Use este procedimiento para agregar un servidor de acceso a la red como un cliente RADIUS en NPS. Puede usar este procedimiento para configurar un NAS como cliente RADIUS mediante la consola NPS.
Para completar este procedimiento, debe pertenecer al grupo Administradores.
Para agregar un servidor de acceso a la red como un cliente RADIUS en NPS
- En el NPS, en Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola de NPS.
- En la consola de NPS, haga doble clic en Clientes y servidores RADIUS Haga clic con el botón derecho en Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS.
- En Nuevo cliente RADIUS, compruebe que la casilla Habilitar este cliente RADIUS está activada.
- En Nuevo cliente RADIUS, en Nombre descriptivo, escriba un nombre para mostrar para el NAS. En Dirección (IP o DNS), escriba la dirección IP del NAS o el nombre de dominio completo (FQDN). Si escribe el FQDN, haga clic en Comprobar si desea comprobar que el nombre es correcto y se asigna a una dirección IP válida.
- En Nuevo cliente RADIUS, en Proveedor, especifique el nombre del fabricante del NAS. Si no está seguro del nombre del fabricante del NAS, seleccione Estándar RADIUS.
- En Nuevo cliente RADIUS, en Secreto compartido, realice una de las siguientes acciones:
- Asegúrese de que Manual está seleccionado y, a continuación, en Secreto compartido, escriba la contraseña segura que también se especifica en el NAS. Vuelva a escribir el secreto compartido en Confirmar secreto compartido.
- Seleccione Generar y, a continuación, haga clic en Generar para generar automáticamente un secreto compartido. Guarde el secreto compartido generado para la configuración en el NAS para que pueda comunicarse con el NPS.
- En Nuevo cliente RADIUS, en Opciones adicionales, si usa algún método de autenticación distinto de EAP y PEAP, y si el NAS admite el uso del atributo de autenticador de mensajes, seleccione Los mensajes de solicitud de acceso deben contener el atributo de autenticación del mensaje.
- Haga clic en OK. El NAS aparece en la lista de clientes RADIUS configurados en el NPS.
Configuración de clientes RADIUS por intervalo de direcciones IP en Windows Server 2016 Datacenter
Si va a ejecutar Windows Server 2016 Datacenter, puede configurar clientes RADIUS en NPS por intervalo de direcciones IP. Esto le permite agregar un gran número de clientes RADIUS (como puntos de acceso inalámbrico) a la consola NPS a la vez, en lugar de agregar individualmente cada cliente RADIUS.
No puede configurar clientes RADIUS por intervalo de direcciones IP si ejecuta NPS en Windows Server 2016 Standard.
Use este procedimiento para agregar un grupo de servidores de acceso a la red (NAS) como clientes RADIUS que están configurados con direcciones IP del mismo intervalo de direcciones IP.
Todos los clientes RADIUS del intervalo deben usar la misma configuración y secreto compartido.
Para completar este procedimiento, debe pertenecer al grupo Administradores.
Para configurar clientes RADIUS por intervalo de direcciones IP
- En el NPS, en Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola de NPS.
- En la consola de NPS, haga doble clic en Clientes y servidores RADIUS Haga clic con el botón derecho en Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS.
- En Nuevo cliente RADIUS, en Nombre descriptivo, escriba un nombre para mostrar para la colección de NAS.
- En Dirección (IP o DNS), escriba el intervalo de direcciones IP para los clientes RADIUS mediante la notación de Enrutamiento de interdominios sin clases de la empresa de hospedaje (CIDR). Por ejemplo, si el intervalo de direcciones IP de los NAS es 10.10.0.0, escriba 10.10.0.0/16.
- En Nuevo cliente RADIUS, en Proveedor, especifique el nombre del fabricante del NAS. Si no está seguro del nombre del fabricante del NAS, seleccione Estándar RADIUS.
- En Nuevo cliente RADIUS, en Secreto compartido, realice una de las siguientes acciones:
- Asegúrese de que Manual está seleccionado y, a continuación, en Secreto compartido, escriba la contraseña segura que también se especifica en el NAS. Vuelva a escribir el secreto compartido en Confirmar secreto compartido.
- Seleccione Generar y, a continuación, haga clic en Generar para generar automáticamente un secreto compartido. Guarde el secreto compartido generado para la configuración en el NAS para que pueda comunicarse con el NPS.
- En Nuevo cliente RADIUS, en Opciones adicionales, si usa algún método de autenticación distinto de EAP y PEAP, y si el NAS admite el uso del atributo de autenticador de mensajes, seleccione Los mensajes de solicitud de acceso deben contener el atributo de autenticación del mensaje.
- Haga clic en OK. Los servidores NAS aparecen en la lista de clientes RADIUS configurados en el NPS.
Para más información, consulte Clientes RADIUS.
Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).