Autenticação radius, autorização e contabilidade
Observação
O IAS (Serviço de Autenticação da Internet) foi renomeado como NPS (Servidor de Política de Rede) a partir do Windows Server 2008. O conteúdo deste tópico se aplica à IAS e ao NPS. Ao longo do texto, o NPS é usado para se referir a todas as versões do serviço, incluindo as versões originalmente conhecidas como IAS.
O NPS dá suporte total ao protocolo RADIUS (Serviço de Usuário Discado de Autenticação Remota). O protocolo RADIUS é o padrão de fato para autenticação de usuário remoto e está documentado no RFC 2865 e no RFC 2866.
Autenticação e autorização RADIUS
O diagrama a seguir mostra um cliente de autenticação ("Usuário") se conectando a um NAS (Servidor de Acesso à Rede) por meio de uma conexão discada, usando o Protocolo Ponto a Ponto (PPP). Para autenticar o Usuário, o NAS entra em contato com um servidor remoto que executa o NPS. O NAS e o servidor NPS se comunicam usando o protocolo RADIUS.
Um NAS opera como um cliente de um servidor ou servidores que dão suporte ao protocolo RADIUS. Os servidores que dão suporte ao protocolo RADIUS geralmente são chamados de servidores RADIUS. O cliente RADIUS, ou seja, o NAS, passa informações sobre o Usuário para servidores RADIUS designados e, em seguida, atua na resposta que os servidores retornam. A solicitação enviada pelo NAS para o servidor RADIUS para autenticar o Usuário geralmente é chamada de "solicitação de autenticação".
Se um servidor RADIUS autenticar o Usuário com êxito, o servidor RADIUS retornará informações de configuração para o NAS para que ele possa fornecer serviço de rede ao usuário. Essas informações de configuração são compostas por "autorizações" e contêm, entre outros, o tipo de nas de serviço que o NAS pode fornecer ao Usuário (por exemplo, PPP ou telnet).
Enquanto o servidor RADIUS está processando a solicitação de autenticação, ele pode executar funções de autorização, como verificar o número de telefone do usuário e verificar se o usuário já tem uma sessão em andamento. O servidor RADIUS pode determinar se o usuário já tem uma sessão em andamento entrando em contato com um servidor de estado.
Para obter mais informações sobre autenticação e autorização RADIUS, consulte RFC 2865.
Contabilidade RADIUS
O servidor RADIUS também coleta uma variedade de informações enviadas pelo NAS que podem ser usadas para contabilização e para relatórios sobre atividades de rede. O cliente RADIUS envia informações para servidores RADIUS designados quando o Usuário faz logon e faz logoff. O cliente RADIUS pode enviar informações de uso adicionais periodicamente enquanto a sessão está em andamento. As solicitações enviadas pelo cliente ao servidor para registrar logon/logoff e informações de uso geralmente são chamadas de "solicitações de contabilidade".
Para obter mais informações sobre a contabilidade RADIUS, consulte RFC 2866.
Proxy RADIUS
Um servidor RADIUS pode atuar como um cliente proxy para outros servidores RADIUS. Nesses casos, o servidor RADIUS contatado pelo NAS passa a solicitação de autenticação ou contabilidade para outro servidor RADIUS que realmente executa a autenticação ou a tarefa contábil.
Tópicos relacionados