Client RADIUS
Un Server di accesso di rete (NAS) è un dispositivo che fornisce un certo livello di accesso a una rete più grande. Un NAS che usa un'infrastruttura RADIUS è anche un client RADIUS, che invia richieste di connessione e messaggi sull'account a un server RADIUS per autenticazione, autorizzazione e account.
Nota
I computer client, ad esempio computer laptop e altri computer che eseguono sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete, ad esempio, punti di accesso wireless, commutatori di autenticazione che supportano 802.1 X, server di rete privata virtuale (VPN) e server di connessione remota, perché utilizzano il protocollo RADIUS per comunicare con server RADIUS, come i server dei criteri di rete (NPS).
Per distribuire NPS come un server RADIUS o proxy RADIUS, è necessario configurare i client RADIUS in NPS.
Esempi di client RADIUS
Esempi di server di accesso alla rete sono:
- Server di accesso alla rete che forniscono connettività di accesso remoto a una rete dell'organizzazione o a Internet. Un esempio è costituito da un computer che esegue il sistema operativo Windows Server 2016 e il servizio accesso remoto che fornisce servizi di accesso remoto tradizionale o di rete privata virtuale (VPN) a una intranet dell'organizzazione.
- Punti di accesso wireless che forniscono l'accesso fisico a una rete dell'organizzazione tramite tecnologie di trasmissione e ricezione basate su wireless.
- Commutatori che forniscono l'accesso fisico a livello fisico alla rete di un'organizzazione, usando tecnologie LAN tradizionali, ad esempio Ethernet.
- Proxy RADIUS che inoltrano le richieste di connessione ai server RADIUS membri di un gruppo di server RADIUS remoto configurato nel proxy RADIUS.
Messaggi di richiesta di accesso RADIUS
I client RADIUS creano messaggi RADIUS Access-Request e li inoltrano a un proxy RADIUS o a un server RADIUS oppure inoltrano i messaggi di richiesta di accesso a un server RADIUS ricevuti da un altro client RADIUS ma non sono stati creati autonomamente.
I client RADIUS non elaborano i messaggi di richiesta di accesso eseguendo l'autenticazione, l'autorizzazione e la contabilità. Solo i server RADIUS eseguono queste funzioni.
NPS, tuttavia, può essere configurato sia come proxy RADIUS che come server RADIUS contemporaneamente, in modo da elaborare alcuni messaggi di richiesta di accesso e inoltrare altri messaggi.
NPS come client RADIUS
NPS funge da client RADIUS quando viene configurato come proxy RADIUS per inoltrare i messaggi di richiesta di accesso ad altri server RADIUS per l'elaborazione. Quando si usa NPS come proxy RADIUS, sono necessari i passaggi di configurazione generali seguenti:
I server di accesso alla rete, ad esempio i punti di accesso wireless e i server VPN, vengono configurati con l'indirizzo IP del proxy NPS come server RADIUS designato o autenticando il server. Ciò consente ai server di accesso alla rete, che creano messaggi di richiesta di accesso in base alle informazioni ricevute dai client di accesso, di inoltrare messaggi al proxy NPS.
Il proxy NPS viene configurato aggiungendo ogni server di accesso alla rete come client RADIUS. Questo passaggio di configurazione consente al proxy NPS di ricevere messaggi dai server di accesso alla rete e di comunicare con essi durante l'autenticazione. Inoltre, i criteri di richiesta di connessione nel proxy NPS sono configurati per specificare i messaggi di richiesta di accesso da inoltrare a uno o più server RADIUS. Questi criteri vengono configurati anche con un gruppo di server RADIUS remoto, che indica al server dei criteri di rete dove inviare i messaggi ricevuti dai server di accesso alla rete.
NPS o altri server RADIUS membri del gruppo di server RADIUS remoto nel proxy NPS sono configurati per ricevere messaggi dal proxy NPS. Questa operazione viene eseguita configurando il proxy NPS come client RADIUS.
Proprietà client RADIUS
Quando si aggiunge un client RADIUS alla configurazione NPS tramite la console NPS o tramite l'uso dei comandi netsh per NPS o di Windows PowerShell, si sta configurando NPS per ricevere messaggi RADIUS Access-Request da un server di accesso di rete o da un proxy RADIUS.
Quando si configura un client RADIUS in NPS, è possibile designare le proprietà seguenti:
Nome del client
Nome descrittivo per il client RADIUS, che semplifica l'identificazione quando si usano i comandi snap-in nps o netsh per NPS.
Indirizzo IP
Indirizzo IP versione 4 (IPv4) o nome DNS (Domain Name System) del client RADIUS.
Fornitore client
Fornitore del client RADIUS. In caso contrario, è possibile usare il valore standard RADIUS per fornitore client.
Segreto condiviso
Stringa di testo usata come password tra client RADIUS, server RADIUS e proxy RADIUS. Quando viene usato l'attributo Message Authenticator, il segreto condiviso viene usato anche come chiave per crittografare i messaggi RADIUS. Questa stringa deve essere configurata nel client RADIUS e nello snap-in NPS.
Attributo Message Authenticator
Descritto in RFC 2869, "Estensioni RADIUS", un hash MD5 (Message Digest 5) dell'intero messaggio RADIUS. Se l'attributo RADIUS Message Authenticator è presente, viene verificato. Se la verifica non riesce, il messaggio RADIUS viene rimosso. Se le impostazioni client richiedono l'attributo Message Authenticator e non è presente, il messaggio RADIUS viene rimosso. È consigliabile usare l'attributo Message Authenticator.
Nota
L'attributo Message Authenticator è obbligatorio e abilitato per impostazione predefinita quando si usa l'autenticazione EAP (Extensible Authentication Protocol).
Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).