Configurar clientes RADIUS
Você pode usar este tópico para configurar servidores de acesso à rede como clientes RADIUS no NPS.
Ao adicionar um novo servidor de acesso à rede (servidor de VPN, ponto de acesso sem fio, comutador de autenticação ou servidor de discagem) à sua rede, você deve adicionar o servidor como um cliente RADIUS no NPS e configurar o cliente RADIUS para se comunicar com o NPS.
Importante
Computadores e dispositivos cliente, como laptops, tablets, celulares e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede (como pontos de acesso sem fio, comutadores 802.1 X, servidores de rede virtual privada (VPN) e servidores de discagem) porque eles usam o protocolo RADIUS para se comunicar com servidores RADIUS, como servidores do Servidor de Políticas de Rede (NPS).
Essa etapa também é necessária quando o NPS é membro de um grupo de servidores RADIUS remoto configurado em um proxy NPS. Nesse caso, além de executar as etapas nessa tarefa no proxy NPS, você precisará fazer o seguinte:
- No proxy NPS, configure um grupo de servidores RADIUS remoto que contém o NPS.
- No NPS remoto, configure o proxy NPS como um cliente RADIUS.
Para executar os procedimentos neste tópico, você precisará ter pelo menos um servidor de acesso à rede (servidor VPN, ponto de acesso sem fio, comutador de autenticação ou servidor de discagem) ou proxy NPS instalado fisicamente em sua rede.
Configurar o servidor de acesso à rede
Use este procedimento para configurar servidores de acesso à rede para uso com o NPS. Ao implantar NASs (servidores de acesso à rede) como clientes RADIUS, você precisará configurar os clientes para se comunicar com os NPSs em que os NASs estão configurados como clientes.
Este procedimento fornece diretrizes gerais sobre as configurações que você deve usar para configurar seus NASs; para obter instruções específicas sobre como configurar o dispositivo que você está implantando na rede, consulte a documentação do produto NAS.
Para configurar o servidor de acesso à rede
- No NAS, nas configurações RADIUS, selecione Autenticação RADIUS na porta UDP (Protocolo de Datagrama do Usuário) 1812 e Contabilização RADIUS na porta UDP 1813.
- Em Servidor de autenticação ou servidor RADIUS, especifique seu NPS por endereço IP ou FQDN (nome de domínio totalmente qualificado), dependendo dos requisitos do NAS.
- Em Segredo ou Segredo compartilhado, digite uma senha forte. Ao configurar o NAS como um cliente RADIUS no NPS, você usará a mesma senha, ou seja, lembre-se dela.
- Se você estiver usando PEAP ou EAP como um método de autenticação, configure o NAS para usar a autenticação EAP.
- Se você estiver configurando um ponto de acesso sem fio, no SSID, especifique um SSID (Identificador de Conjunto de Serviços), que é uma cadeia de caracteres alfanumérica que serve como o nome da rede. Esse nome é transmitido por pontos de acesso a clientes sem fio e fica visível para os usuários em seus hotspots de Wi-Fi.
- Se você estiver configurando um ponto de acesso sem fio, no 802.1X e no WPA, habilite a autenticação IEEE 802.1X se quiser implantar PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS.
Adicione um servidor de acesso à rede como cliente RADIUS no NPS
Use esse procedimento para adicionar um servidor de acesso à rede como cliente RADIUS no NPS. Você pode usar esse procedimento para configurar um NAS como um cliente RADIUS usando o console do NPS.
Para concluir este procedimento, é preciso ser um membro do grupo Administradores.
Para adicionar um servidor de acesso à rede como cliente RADIUS no NPS
- No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
- No console do NPS, clique duas vezes em Clientes e servidores RADIUS. Clique com o botão direito do mouse em Clientes RADIUS e clique em Novo Cliente RADIUS.
- Em Novo Cliente RADIUS, verifique se a caixa de seleção Habilitar este cliente RADIUS está marcada.
- Em Novo Cliente RADIUS, em Nome amigável, digite um nome de exibição para o NAS. Em Endereço (IP ou DNS), digite o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do NAS. Se você inserir o FQDN, clique em Verificar se deseja verificar se o nome está correto e mapeia para um endereço IP válido.
- Em Novo Cliente RADIUS, em Fornecedor, especifique o nome do fabricante do NAS. Se você não tiver certeza do nome do fabricante do NAS, selecione Padrão RADIUS.
- Em Novo Cliente RADIUS, em Segredo compartilhado, siga um destes procedimentos:
- Verifique se Manual está selecionado e, em Segredo compartilhado, digite a senha forte que também é inserida no NAS. Digite novamente o segredo compartilhado em Confirmar segredo compartilhado.
- Selecione Gerar e clique em Gerar para gerar automaticamente um segredo compartilhado. Salve o segredo compartilhado gerado para configuração no NAS para que ele possa se comunicar com o NPS.
- Em Novo Cliente RADIUS, em Opções Adicionais, se você estiver usando métodos de autenticação diferentes de EAP e PEAP e se o NAS for compatível com o uso do atributo autenticador de mensagem, selecione As mensagens de solicitação de acesso devem conter o atributo Message-Authenticator.
- Clique em OK. O NAS será exibido na lista de clientes RADIUS configurados no NPS.
Configurar clientes RADIUS conforme o intervalo de endereços IP no Datacenter do Windows Server 2016
Se você estiver executando o Datacenter do Windows Server 2016, poderá configurar clientes RADIUS no NPS conforme os endereços IP. Isso permite adicionar um grande número de clientes RADIUS (como pontos de acesso sem fio) ao console do NPS ao mesmo tempo, em vez de adicionar cada cliente RADIUS individualmente.
Você não poderá configurar clientes RADIUS conforme cada intervalo de endereços IP se estiver executando o NPS no Windows Server 2016 Standard.
Use este procedimento para adicionar um grupo de NASs (servidores de acesso à rede) como clientes RADIUS configurados com endereços IP do mesmo intervalo de endereços IP.
Todos os clientes RADIUS no intervalo precisam usar a mesma configuração e segredo compartilhado.
Para concluir este procedimento, é preciso ser um membro do grupo Administradores.
Para configurar clientes RADIUS conforme o intervalo de endereços IP
- No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
- No console do NPS, clique duas vezes em Clientes e servidores RADIUS. Clique com o botão direito do mouse em Clientes RADIUS e clique em Novo Cliente RADIUS.
- Em Novo Cliente RADIUS, em Nome amigável, digite um nome de exibição para a coleção de NAS.
- Em Endereço (IP ou DNS), digite o intervalo de endereços IP para os clientes RADIUS usando a notação CIDR (Roteamento entre Domínios sem Classe). Por exemplo, se o intervalo de endereços IP dos NASs for 10.10.0.0, digite 10.10.0.0/16.
- Em Novo Cliente RADIUS, em Fornecedor, especifique o nome do fabricante do NAS. Se você não tiver certeza do nome do fabricante do NAS, selecione Padrão RADIUS.
- Em Novo Cliente RADIUS, em Segredo compartilhado, siga um destes procedimentos:
- Verifique se Manual está selecionado e, em Segredo compartilhado, digite a senha forte que também é inserida no NAS. Digite novamente o segredo compartilhado em Confirmar segredo compartilhado.
- Selecione Gerar e clique em Gerar para gerar automaticamente um segredo compartilhado. Salve o segredo compartilhado gerado para configuração no NAS para que ele possa se comunicar com o NPS.
- Em Novo Cliente RADIUS, em Opções Adicionais, se você estiver usando métodos de autenticação diferentes de EAP e PEAP e se todos os seus NAS forem compatíveis com o uso do atributo autenticador de mensagem, selecione As mensagens de solicitação de acesso devem conter o atributo Message-Authenticator.
- Clique em OK. Os NASs serão exibidos na lista de clientes RADIUS configurados no NPS.
Para obter mais informações, confira Clientes RADIUS.
Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).