Nomes de realm
Você pode usar este tópico para obter uma visão geral do uso de nomes de realm no processamento de solicitação de conexão do Servidor de Política de Rede.
O atributo RADIUS User-Name é uma cadeia de caracteres que normalmente contém um local de conta de usuário e um nome de conta de usuário. O local da conta de usuário também é chamado de nome de realm ou realm e é sinônimo do conceito de domínio, incluindo domínios DNS, domínios do Active Directory® e domínios Windows NT 4.0. Por exemplo, se uma conta de usuário estiver localizada no banco de dados de contas de usuário para um domínio chamado example.com, example.com será o nome de realm.
Em outro exemplo, se o atributo RADIUS User-Name contiver o nome de usuário user1@example.com, user1 será o nome da conta de usuário e example.com será o nome de realm. Os nomes de realm podem ser apresentados no nome de usuário como um prefixo ou como um sufixo:
Example\user1. Neste exemplo, o nome de realm Example é um prefixo, e também é o nome de um domínio do AD DS (Active Directory® Domain Services).
user1@example.com. Neste exemplo, o nome de realm example.com é um sufixo e é um nome de domínio DNS ou o nome de um domínio do AD DS.
Você pode usar nomes de realm configurados em políticas de solicitação de conexão ao projetar e implantar sua infraestrutura RADIUS para garantir que as solicitações de conexão sejam roteadas de clientes RADIUS, também chamados de servidores de acesso à rede, para servidores RADIUS que podem autenticar e autorizar a solicitação de conexão.
Quando o NPS é configurado como um servidor RADIUS com a política de solicitação de conexão padrão, o NPS processa as solicitações de conexão para o domínio no qual o NPS é membro e para domínios confiáveis.
Para configurar o NPS para atuar como um proxy RADIUS e encaminhar solicitações de conexão para domínios não confiáveis, você deve criar uma nova política de solicitação de conexão. Na nova política de solicitação de conexão, você deve configurar o atributo Nome de Usuário com o nome de realm que estará contido no atributo User-Name das solicitações de conexão que você deseja encaminhar. Você também deve configurar a política de solicitação de conexão com um grupo de servidores RADIUS remoto. A política de solicitação de conexão permite que o NPS calcule quais solicitações de conexão encaminhar para o grupo de servidores RADIUS remoto com base na parte realm do atributo User-Name.
Adquirindo o nome de realm
A parte do nome de realm do nome de usuário é fornecida quando o usuário digita credenciais baseadas em senha durante uma tentativa de conexão ou quando um perfil do Gerenciador de Conexões (GC) no computador do usuário é configurado para fornecer o nome de realm automaticamente.
Você pode designar que os usuários da rede forneçam o nome de realm ao digitar suas credenciais durante tentativas de conexão de rede.
Por exemplo, você pode exigir que os usuários digitem seu nome de usuário, incluindo o nome da conta de usuário e o nome de realm, em Nome de usuário na caixa de diálogo Conectar ao fazer uma conexão VPN (rede privada virtual) ou discada.
Além disso, se você criar um pacote de discagem personalizado com o CMAK (Kit de Administração do Gerenciador de Conexões), poderá ajudar os usuários adicionando o nome de realm automaticamente ao nome da conta de usuário em perfis do GC instalados nos computadores dos usuários. Por exemplo, você pode especificar um nome de realm e uma sintaxe de nome de usuário no perfil do GC para que o usuário só precise especificar o nome da conta de usuário ao digitar credenciais. Nessa circunstância, o usuário não precisa saber nem se lembrar do domínio em que sua conta de usuário está localizada.
Durante o processo de autenticação, depois que os usuários digitam suas credenciais baseadas em senha, o nome de usuário é passado do cliente de acesso para o servidor de acesso à rede. O servidor de acesso à rede constrói uma solicitação de conexão e inclui o nome de realm dentro do atributo RADIUS User-Name na mensagem Access-Request enviada ao proxy ou servidor RADIUS.
Se o servidor RADIUS for um NPS, a mensagem Access-Request será avaliada em relação ao conjunto de políticas de solicitação de conexão configuradas. As condições na política de solicitação de conexão podem incluir a especificação do conteúdo do atributo User-Name.
Você pode configurar um conjunto de políticas de solicitação de conexão específicas para o nome de realm no atributo User-Name das mensagens de entrada. Isso permite que você crie regras de roteamento que encaminham mensagens RADIUS com um nome de realm específico para um conjunto específico de servidores RADIUS quando o NPS é usado como um proxy RADIUS.
Regras de manipulação de atributo
Antes que a mensagem RADIUS seja processada localmente (quando o NPS está sendo usado como um servidor RADIUS) ou encaminhada para outro servidor RADIUS (quando o NPS está sendo usado como um proxy RADIUS), o atributo User-Name na mensagem pode ser modificado por regras de manipulação de atributo. Você pode configurar regras de manipulação de atributo para o atributo User-Name selecionando Nome de usuário na guia Condições nas propriedades de uma política de solicitação de conexão. As regras de manipulação de atributo NPS usam sintaxe de expressão regular.
Observação
O processamento de realm não funciona com o PEAP.
O comportamento desejado pode ser realizado alternando para o EAP-TLS ou o EAP-MSCHAPv2 para autenticação ou adicionando um sufixo UPN ao domínio a cada nome de domínio adicional que você precisa resolver.
Você pode configurar regras de manipulação de atributo para o atributo User-Name para alterar o seguinte:
Remover o nome de realm do nome de usuário (também conhecido como realm stripping). Por exemplo, o nome de usuário user1@example.com é alterado para user1.
Alterar o nome de realm, mas não sua sintaxe. Por exemplo, o nome de usuário user1@example.com é alterado para user1@wcoast.example.com.
Alterar a sintaxe do nome de realm. Por exemplo, o nome de usuário example\user1 é alterado para user1@example.com.
Depois que o atributo User-Name for modificado de acordo com as regras de manipulação de atributo que você definir, configurações adicionais da primeira política de solicitação de conexão correspondente serão usadas para determinar se:
O NPS processa a mensagem Access-Request localmente (quando o NPS está sendo usado como um servidor RADIUS).
O NPS encaminha a mensagem para outro servidor RADIUS (quando o NPS está sendo usado como um proxy RADIUS).
Configurar o nome de domínio fornecido pelo NPS
Quando o nome de usuário não contém um nome de domínio, o NPS fornece um. Por padrão, o nome de domínio fornecido pelo NPS é o domínio do qual o NPS é membro. Você pode especificar o nome de domínio fornecido pelo NPS por meio da seguinte configuração do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Cuidado
A edição incorreta do Registro pode danificar seriamente o sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.
Alguns servidores de acesso à rede que não são da Microsoft excluem ou modificam o nome de domínio conforme especificado pelo usuário. Como resultado, a solicitação de acesso à rede é autenticada no domínio padrão, que pode não ser o domínio da conta do usuário. Para resolver esse problema, configure seus servidores RADIUS para alterar o nome de usuário para o formato correto com o nome de domínio preciso.