Condividi tramite

Criteri di richiesta di connessione

È possibile usare questo argomento per informazioni su come usare i criteri di richiesta di connessione NPS per configurare NPS come server RADIUS, un proxy RADIUS o entrambi.

Nota

Oltre a questo argomento, è disponibile la seguente documentazione relativa ai criteri di richiesta di connessione.

I criteri di richiesta di connessione sono set di condizioni e impostazioni che consentono agli amministratori di rete di designare quali server RADIUS (Remote Authentication Dial-In User Service) eseguono l'autenticazione e l'autorizzazione delle richieste di connessione ricevute dal server dei criteri di rete dai client RADIUS. I criteri di richiesta di connessione possono essere configurati per designare quali server RADIUS vengono usati per la contabilità RADIUS.

È possibile creare criteri di richiesta di connessione in modo che alcuni messaggi di richiesta RADIUS inviati dai client RADIUS vengano elaborati localmente (NPS viene usato come server RADIUS) e altri tipi di messaggi vengono inoltrati a un altro server RADIUS (NPS viene usato come proxy RADIUS).

Con i criteri di richiesta di connessione, è possibile usare NPS come server RADIUS o come proxy RADIUS, in base a fattori come i seguenti:

  • L'ora del giorno e del giorno della settimana
  • Nome dell'area di autenticazione nella richiesta di connessione
  • Il tipo di connessione richiesto
  • Indirizzo IP del client RADIUS

I messaggi di richiesta di accesso RADIUS vengono elaborati o inoltrati da NPS solo se le impostazioni del messaggio in ingresso corrispondono almeno a uno dei criteri di richiesta di connessione configurati in NPS.

Se le impostazioni dei criteri corrispondono e il criterio richiede che NPS esegua il processo del messaggio, NPS funge da server RADIUS, autenticando e autorizzando la richiesta di connessione. Se le impostazioni dei criteri corrispondono e il criterio richiede che NPS inoltra il messaggio, NPS funge da proxy RADIUS e inoltra la richiesta di connessione a un server RADIUS remoto per l'elaborazione.

Se le impostazioni di un messaggio di richiesta di accesso RADIUS in ingresso non corrispondono almeno a uno dei criteri di richiesta di connessione, viene inviato un messaggio di rifiuto accesso al client RADIUS e all'utente o al computer che tenta di connettersi alla rete viene negato l'accesso.

Esempi di configurazione

Gli esempi di configurazione seguenti illustrano come usare i criteri di richiesta di connessione.

NPS come server RADIUS

I criteri di richiesta di connessione predefiniti sono gli unici criteri configurati. In questo esempio, NPS viene configurato come server RADIUS e tutte le richieste di connessione vengono elaborate da NPS. NPS può autenticare e autorizzare gli utenti i cui account si trovano nel dominio di NPS e nei domini attendibili.

Server dei criteri di rete come proxy RADIUS

I criteri di richiesta di connessione predefiniti vengono eliminati e vengono creati due nuovi criteri di richiesta di connessione per inoltrare le richieste a due domini diversi. In questo esempio, NPS è configurato come proxy RADIUS. NPS non elabora richieste di connessione nel server locale. Inoltra invece le richieste di connessione a NPS o ad altri server RADIUS configurati come membri di gruppi di server RADIUS remoti.

NPS sia come server RADIUS che come proxy RADIUS

Oltre ai criteri di richiesta di connessione predefiniti, viene creato un nuovo criterio di richiesta di connessione che inoltra le richieste di connessione a un NPS o a un altro server RADIUS in un dominio non attendibile. In questo esempio, i criteri proxy vengono visualizzati per primi nell'elenco ordinato di criteri. Se la richiesta di connessione corrisponde ai criteri proxy, la richiesta di connessione viene inoltrata al server RADIUS nel gruppo di server RADIUS remoto. Se la richiesta di connessione non corrisponde ai criteri proxy ma corrisponde ai criteri di richiesta di connessione predefiniti, NPS elabora la richiesta di connessione nel server locale. Se la richiesta di connessione non corrisponde a nessuno dei criteri, viene rimossa.

NPS come server RADIUS con server di contabilità remota

In questo esempio, NPS locale non è configurato per eseguire l'accounting e i criteri di richiesta di connessione predefiniti vengono modificati in modo che i messaggi di accounting RADIUS vengano inoltrati a un server NPS o a un altro server RADIUS in un gruppo di server RADIUS remoto. Anche se i messaggi contabili vengono inoltrati, i messaggi di autenticazione e autorizzazione non vengono inoltrati e NPS locale esegue queste funzioni per il dominio locale e tutti i domini attendibili.

NPS con mapping degli utenti RADIUS da remoto a Windows

In questo esempio, NPS funge sia da server RADIUS che come proxy RADIUS per ogni singola richiesta di connessione inoltrando la richiesta di autenticazione a un server RADIUS remoto mentre si usa un account utente di Windows locale per l'autorizzazione. Questa configurazione viene implementata configurando l'attributo Remote RADIUS to Windows User Mapping come condizione dei criteri di richiesta di connessione. Inoltre, è necessario creare un account utente in locale con lo stesso nome dell'account utente remoto in cui viene eseguita l'autenticazione dal server RADIUS remoto.

Condizioni dei criteri di richiesta di connessione

Le condizioni dei criteri di richiesta di connessione sono uno o più attributi RADIUS confrontati con gli attributi del messaggio di richiesta di accesso RADIUS in ingresso. Se sono presenti più condizioni, tutte le condizioni nel messaggio di richiesta di connessione e nei criteri di richiesta di connessione devono corrispondere affinché i criteri vengano applicati da NPS.

Di seguito sono riportati gli attributi di condizione disponibili che è possibile configurare nei criteri di richiesta di connessione.

Gruppo di attributi proprietà connessione

Il gruppo di attributi proprietà connessione contiene gli attributi seguenti.

  • Protocollo con frame. Utilizzato per designare il tipo di frame per i pacchetti in ingresso. Esempi sono il Protocollo Pont-to-Point (PPP), Serial Line Internet Protocol (SLIP), Frame Relay e X.25.
  • Tipo di servizio. Utilizzato per designare il tipo di servizio richiesto. Gli esempi includono con frame (ad esempio, connessioni PPP) e accesso (ad esempio, connessioni Telnet). Per maggiori informazioni sui tipi di servizio RADIUS, vedere RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)."
  • Tipo di tunnel. Utilizzato per designare il tipo di tunnel creato dal client richiedente. I tipi di tunnel includono PPTP (Point-to-Point Tunneling Protocol) e L2TP (Layer Two Tunneling Protocol).

Gruppo di attributi Restrizioni giorno e ora

Il gruppo di attributi Restrizioni Giorno e Ora contiene l'attributo Restrizioni Giorno e Ora. Con questo attributo, è possibile designare il giorno della settimana e l'ora del giorno del tentativo di connessione. Il giorno e l'ora sono relativi al giorno e all'ora del server dei criteri di rete.

Gruppo di attributi del gateway

Il gruppo di attributi gateway contiene gli attributi seguenti.

  • ID stazione chiamata. Utilizzato per designare il numero di telefono del server di accesso alla rete. Questo attributo è una stringa di caratteri. È possibile usare la sintassi dei criteri di ricerca per specificare i codici di area.
  • Identificatore NAS. Utilizzato per designare il nome del server di accesso alla rete. Questo attributo è una stringa di caratteri. È possibile usare la sintassi dei criteri di ricerca per specificare gli identificatori NAS.
  • Indirizzo NAS IPv4. Usato per designare l'indirizzo Internet Protocol versione 4 (IPv4) del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. È possibile usare la sintassi di criteri di ricerca per specificare le reti IP.
  • Indirizzo NAS IPv6 Usato per designare l'indirizzo Internet Protocol versione 6 (IPv6) del server di accesso alla rete (client RADIUS). Questo attributo è una stringa di caratteri. È possibile usare la sintassi di criteri di ricerca per specificare le reti IP.
  • Tipo di porta NAS. Utilizzato per designare il tipo di supporto utilizzato dal client di accesso. Gli esempi sono linee telefoniche analogiche (note come asincrone), Integrated Services Digital Network (ISDN), tunnel o reti private virtuali (VPN), IEEE 802.11 wireless e commutatori Ethernet.

Gruppo di attributi Identità computer

Il gruppo di attributi Machine Identity contiene l'attributo Machine Identity. Usando questo attributo, è possibile specificare il metodo con cui i client vengono identificati nei criteri.

Gruppo di attributi Proprietà client RADIUS

Il gruppo di attributi Proprietà client RADIUS contiene gli attributi seguenti.

  • ID stazione chiamata. Utilizzato per designare il numero di telefono utilizzato dal chiamante (il client di accesso). Questo attributo è una stringa di caratteri. È possibile usare la sintassi dei criteri di ricerca per specificare i codici di area. Nelle autenticazioni 802.1x l'indirizzo MAC viene in genere popolato e può essere confrontato dal client. Questo campo viene in genere usato per gli scenari di bypass degli indirizzi Mac quando i criteri di richiesta di connessione sono configurati per "Accettare gli utenti senza convalidare le credenziali".
  • Nome descrittivo client. Utilizzato per designare il nome del computer client RADIUS che richiede l'autenticazione. Questo attributo è una stringa di caratteri. È possibile usare la sintassi di criteri di ricerca per specificare i nomi client.
  • Indirizzo IPv4 client. Usato per designare l'indirizzo IPv4 del server di accesso alla rete (il client RADIUS). Questo attributo è una stringa di caratteri. È possibile usare la sintassi di criteri di ricerca per specificare le reti IP.
  • Indirizzo IPv6 client. Usato per designare l'indirizzo IPv6 del server di accesso alla rete (il client RADIUS). Questo attributo è una stringa di caratteri. È possibile usare la sintassi di criteri di ricerca per specificare le reti IP.
  • Fornitore client. Usato per designare il fornitore del server di accesso alla rete che richiede l'autenticazione. Un computer che esegue il servizio Routing e Accesso remoto è il produttore di Microsoft NAS. È possibile usare questo attributo per configurare criteri separati per produttori NAS diversi. Questo attributo è una stringa di caratteri. È possibile utilizzare la sintassi dei criteri di ricerca.

Gruppo di attributi nome utente

Il gruppo di attributi Nome utente contiene l'attributo Nome utente. Usando questo attributo, è possibile designare il nome utente o una parte del nome utente, che deve corrispondere al nome utente fornito dal client di accesso nel messaggio RADIUS. Questo attributo è una stringa di caratteri che in genere contiene un nome dell'area di autenticazione e un nome account utente. È possibile usare la sintassi di criteri di ricerca per specificare i nomi utente.

Impostazioni criteri di richiesta di connessione

Impostazioni criteri di richiesta connessione sono un set di proprietà applicate a un messaggio RADIUS in ingresso. Impostazioni sono costituiti dai gruppi di proprietà seguenti.

  • Autenticazione
  • Contabilità
  • Manipolazione degli attributi
  • Inoltrare la richiesta
  • Avanzato

Le seguenti sezioni offrono maggiori dettagli su queste impostazioni.

Autenticazione

Usando questa impostazione, è possibile eseguire l'override delle impostazioni di autenticazione configurate in tutti i criteri di rete ed è possibile designare i metodi di autenticazione e i tipi necessari per connettersi alla rete.

Importante

Se si configura un metodo di autenticazione nei criteri di richiesta di connessione meno sicuri rispetto al metodo di autenticazione configurato nei criteri di rete, viene eseguito l'override del metodo di autenticazione più sicuro configurato nei criteri di rete. Ad esempio, se si dispone di un criterio di rete che richiede l'uso di Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol versione 2 (PEAP-MS-CHAP v2), che è un metodo di autenticazione basato su password per la connessione wireless sicura e si configura anche un criterio di richiesta di connessione per consentire l'accesso non autenticato, il risultato è che non sono necessari client per l'autenticazione tramite PEAP-MS-CHAP v2. In questo esempio, a tutti i client che si connettono alla rete viene concesso l'accesso non autenticato.

Contabilità

Usando questa impostazione, è possibile configurare i criteri di richiesta di connessione per inoltrare le informazioni contabili a un server NPS o a un altro server RADIUS in un gruppo di server RADIUS remoto in modo che il gruppo di server RADIUS remoto esegua la contabilità.

Nota

Se si dispone di più server RADIUS e si desiderano informazioni di contabilità per tutti i server archiviati in un database di accounting RADIUS centrale, è possibile utilizzare l'impostazione di accounting dei criteri di richiesta di connessione in un criterio in ogni server RADIUS per inoltrare i dati contabili da tutti i server a un server NPS o un altro server RADIUS designato come server di contabilità.

Le impostazioni contabilità criteri di richiesta connessione funzionano indipendentemente dalla configurazione contabile del server dei criteri di rete locale. In altre parole, se si configura NPS locale per registrare le informazioni contabili RADIUS in un file locale o in un database di Microsoft SQL Server, questa operazione verrà eseguita indipendentemente dal fatto che si configuri un criterio di richiesta di connessione per inoltrare i messaggi contabili a un gruppo di server RADIUS remoto.

Se si desidera che le informazioni contabili vengano registrate in remoto ma non in locale, è necessario configurare NPS locale per non eseguire la contabilità, configurando anche l'accounting in un criterio di richiesta di connessione per inoltrare i dati contabili a un gruppo di server RADIUS remoto.

Manipolazione degli attributi

È possibile configurare un set di regole di ricerca e sostituzione che modificano le stringhe di testo di uno degli attributi seguenti.

  • Nome utente
  • ID stazione chiamata
  • ID stazione chiamante

L'elaborazione delle regole di ricerca e sostituzione avviene per uno degli attributi precedenti prima che il messaggio RADIUS sia soggetto alle impostazioni di autenticazione e accounting. Le regole di manipolazione degli attributi si applicano solo a un singolo attributo. Non è possibile configurare regole di manipolazione degli attributi per ogni attributo. Inoltre, l'elenco di attributi che è possibile modificare è un elenco statico; non è possibile aggiungere all'elenco degli attributi disponibili per la manipolazione.

Nota

Se si usa il protocollo di autenticazione MS-CHAP v2, non è possibile modificare l'attributo User Name se i criteri di richiesta di connessione vengono usati per inoltrare il messaggio RADIUS. L'unica eccezione si verifica quando viene utilizzato un carattere barra rovesciata () e la manipolazione influisce solo sulle informazioni a sinistra. Un carattere barra rovesciata viene in genere usato per indicare un nome di dominio (le informazioni a sinistra del carattere barra rovesciata) e un nome account utente all'interno del dominio (le informazioni a destra del carattere barra rovesciata). In questo caso, sono consentite solo regole di manipolazione degli attributi che modificano o sostituiscono il nome di dominio.

Per esempi su come modificare il nome dell'area di autenticazione nell'attributo User Name, vedere la sezione "Esempi di manipolazione del nome dell'area di autenticazione nell'attributo Nome utente" nell'argomento Usare espressioni regolari in NPS.

Inoltrare la richiesta

È possibile impostare le opzioni di richiesta di inoltro seguenti usate per i messaggi DI richiesta di accesso RADIUS:

  • Autenticare le richieste in questo server. Usando questa impostazione, NPS usa un dominio di Windows NT 4.0, Active Directory o il database degli account utente SAM (Security Accounts Manager) locale per autenticare la richiesta di connessione. Questa impostazione specifica inoltre che i criteri di rete corrispondenti configurati in NPS, insieme alle proprietà di accesso esterno dell'account utente, vengono utilizzati da NPS per autorizzare la richiesta di connessione. In questo caso, NPS è configurato per l'esecuzione come server RADIUS.

  • Inoltrare le richieste al gruppo di server RADIUS remoto seguente. Usando questa impostazione, NPS inoltra le richieste di connessione al gruppo di server RADIUS remoto specificato. Se NPS riceve un messaggio di accesso valido che corrisponde al messaggio di richiesta di accesso, il tentativo di connessione viene considerato autenticato e autorizzato. In questo caso, NPS funge da proxy RADIUS.

  • Accettare gli utenti senza convalidare le credenziali. Utilizzando questa impostazione, NPS non verifica l'identità dell'utente che tenta di connettersi alla rete e NPS non tenta di verificare che l'utente o il computer abbia il diritto di connettersi alla rete. Quando NPS è configurato per consentire l'accesso non autenticato e riceve una richiesta di connessione, NPS invia immediatamente un messaggio Di accettazione di accesso al client RADIUS e all'utente o al computer viene concesso l'accesso alla rete. Questa impostazione viene usata per alcuni tipi di tunneling obbligatorio in cui il client di accesso viene sottoposto a tunneling prima dell'autenticazione delle credenziali utente.

Nota

Questa opzione di autenticazione non può essere usata quando il protocollo di autenticazione del client di accesso è MS-CHAP v2 o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), entrambi i quali forniscono l'autenticazione reciproca. Nell'autenticazione reciproca, il client di accesso dimostra che è un client di accesso valido al server di autenticazione e il server di autenticazione (NPS) dimostra che è un server di autenticazione valido per il client di accesso. Quando si usa questa opzione di autenticazione, viene restituito il messaggio di accettazione accesso. Tuttavia, il server di autenticazione non fornisce la convalida al client di accesso e l'autenticazione reciproca ha esito negativo.

Per esempi su come usare espressioni regolari per creare regole di routing che inoltrano messaggi RADIUS con un nome di area di autenticazione specificato a un gruppo di server RADIUS remoto, vedere la sezione "Esempio per l'inoltro di messaggi RADIUS da un server proxy" nell'argomento Usare espressioni regolari in NPS.

Avanzato

È possibile impostare proprietà avanzate per specificare la serie di attributi RADIUS che sono:

  • Aggiunta al messaggio di risposta RADIUS quando NPS viene usato come autenticazione RADIUS o server di contabilità. Quando sono presenti attributi specificati sia in un criterio di rete che nei criteri di richiesta di connessione, gli attributi inviati nel messaggio di risposta RADIUS sono la combinazione dei due set di attributi.
  • Aggiunta al messaggio RADIUS quando NPS viene usato come autenticazione RADIUS o proxy di contabilità. Se l'attributo esiste già nel messaggio inoltrato, viene sostituito con il valore dell'attributo specificato nei criteri di richiesta di connessione.

Inoltre, alcuni attributi disponibili per la configurazione nella scheda Impostazioni dei criteri di richiesta connessione, nella categoria Avanzate forniscono funzionalità specializzate. Ad esempio, è possibile configurare l'attributo Mapping utente remoto RADIUS a Windows quando si desidera suddividere l'autenticazione e l'autorizzazione di una richiesta di connessione tra due database di account utente.

L'attributo Mapping utente remoto RADIUS a Windows specifica che l'autorizzazione di Windows viene eseguita per gli utenti autenticati da un server RADIUS remoto. In altre parole, un server RADIUS remoto esegue l'autenticazione su un account utente in un database degli account utente remoti, ma il server dei criteri di rete locale autorizza la richiesta di connessione a un account utente in un database degli account utente locali. Questo è utile quando si vuole consentire ai visitatori di accedere alla rete.

Ad esempio, i visitatori delle organizzazioni partner possono essere autenticati dal proprio server RADIUS dell'organizzazione partner e quindi usare un account utente Di Windows all'interno dell'organizzazione per accedere a una rete locale guest (LAN) nella rete.

Altri attributi che forniscono funzionalità specializzate sono:

  • MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout. Questi attributi vengono usati quando si distribuisce NAQC (Network Access Quarantine Control) con la distribuzione di Routing e VPN di Accesso remoto.
  • Passport-User-Mapping-UPN-Suffix. Questo attributo consente di autenticare le richieste di connessione con le credenziali dell'account utente di Windows Live™ ID.
  • Tunnel-Tag. Questo attributo definisce il numero ID VLAN a cui deve essere assegnata la connessione dal NAS quando si distribuiscono reti di aree locali virtuali (VLAN).

Criteri di richiesta connessione predefiniti

Quando si installa NPS, viene creato un criterio di richiesta di connessione predefinito. Questo criterio ha la seguente configurazione.

  • L'autenticazione non è configurata.
  • Contabilità non è configurata per inoltrare le informazioni contabili a un gruppo di server RADIUS remoto.
  • L'attributo non è configurato con regole di manipolazione degli attributi che inoltrano le richieste di connessione a gruppi di server RADIUS remoti.
  • La richiesta di inoltro è configurata in modo che le richieste di connessione vengano autenticate e autorizzate in NPS.
  • Gli attributi avanzati non sono configurati.

I criteri di richiesta di connessione predefiniti usano NPS come server RADIUS. Per configurare un NPS come proxy RADIUS, è necessario configurare anche un gruppo di server RADIUS remoto. È possibile creare un nuovo gruppo di server RADIUS remoto durante la creazione di un nuovo criterio di richiesta di connessione usando la Creazione guidata criteri richiesta di connessione. È possibile eliminare i criteri di richiesta di connessione predefiniti o verificare che il criterio di richiesta di connessione predefinito sia l'ultimo criterio elaborato da NPS inserendolo per ultimo nell'elenco ordinato di criteri.

Nota

Se NPS e il servizio accesso remoto sono installati nello stesso computer e il servizio accesso remoto è configurato per autenticazione di Windows e contabilità, è possibile che le richieste di autenticazione e accounting di Accesso remoto vengano inoltrate a un server RADIUS. Ciò può verificarsi quando l'autenticazione di Accesso remoto e le richieste di accounting corrispondono a un criterio di richiesta di connessione configurato per inoltrarli a un gruppo di server RADIUS remoto.