Configurar clientes RADIUS

  • 08/07/2020
  • 6 minutos para leer
    • J
    • e
    • j

Aplica a: Windows Server (Canal Semestral), Windows Server 2016

Puede utilizar este tema para configurar los servidores de acceso a la red como clientes RADIUS en NPS.

Cuando añada un nuevo servidor de acceso a la red (servidor VPN, punto de acceso inalámbrico, conmutador de autenticación o servidor de acceso telefónico) a su red, debe añadir el servidor como cliente RADIUS en NPS y, a continuación, configurar el cliente RADIUS para que se comunique con el NPS.

Importante

Los equipos y dispositivos cliente, como los ordenadores portátiles, las tabletas, los teléfonos y otros equipos que ejecutan sistemas operativos cliente, no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red -como puntos de acceso inalámbricos, conmutadores con capacidad 802.1X, servidores de redes privadas virtuales (VPN) y servidores de acceso telefónico- porque utilizan el protocolo RADIUS para comunicarse con los servidores RADIUS, como los servidores de Network Policy Server (NPS).

Este paso también es necesario cuando su NPS es miembro de un grupo de servidores RADIUS remotos que está configurado en un proxy NPS. En esta circunstancia, además de realizar los pasos de esta tarea en el proxy NPS, debe hacer lo siguiente:

  • En el proxy NPS, configure un grupo de servidores RADIUS remotos que contenga el NPS.
  • En el NPS remoto, configure el proxy NPS como cliente RADIUS.

Para realizar los procedimientos de este tema, debe tener al menos un servidor de acceso a la red (servidor VPN, punto de acceso inalámbrico, conmutador de autenticación o servidor de acceso telefónico) o proxy NPS instalado físicamente en la red.

Configuración del servidor de acceso a la red

Utilice este procedimiento para configurar los servidores de acceso a la red para su uso con NPS. Cuando despliegue servidores de acceso a la red (NAS) como clientes RADIUS, debe configurar los clientes para que se comuniquen con los NPS en los que los NAS están configurados como clientes.

Este procedimiento proporciona directrices generales sobre los ajustes que debe utilizar para configurar sus NAS; para obtener instrucciones específicas sobre cómo configurar el dispositivo que está desplegando en su red, consulte la documentación del producto NAS.

Para configurar el servidor de acceso a la red

  1. En el NAS, en la configuración de RADIUS, seleccione la autenticación RADIUS en el puerto 1812 del Protocolo de Datagramas de Usuario (UDP) y la contabilidad RADIUS en el puerto UDP 1813.
  2. En Servidor de autenticación o servidor RADIUS, especifique su NPS por dirección IP o nombre de dominio completo (FQDN), según los requisitos del NAS.
  3. En Secreto o Secreto compartido, escriba una contraseña fuerte. Cuando configure el NAS como cliente RADIUS en NPS, utilizará la misma contraseña, así que no la olvide.
  4. Si utiliza PEAP o EAP como método de autenticación, configure el NAS para utilizar la autenticación EAP.
  5. Si está configurando un punto de acceso inalámbrico, en SSID, especifique un identificador de conjunto de servicios (SSID), que es una cadena alfanumérica que sirve como nombre de la red. Este nombre es transmitido por los puntos de acceso a los clientes inalámbricos y es visible para los usuarios en sus puntos de fidelidad inalámbrica (Wi-Fi).
  6. Si está configurando un punto de acceso inalámbrico, en 802.1X y WPA, habilite la autenticación IEEE 802.1X si desea implementar PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS.

Agregar el servidor de acceso a la red como cliente RADIUS en NPS

Use este procedimiento para agregar un servidor de acceso a la red como cliente RADIUS en NPS. Puede utilizar este procedimiento para configurar un NAS como cliente RADIUS mediante la consola de NPS.

Para completar este procedimiento, debe ser miembro del grupo Administradores.

Para agregar un servidor de acceso a la red como cliente RADIUS en NPS

  1. En el NPS, en el Administrador de servidores, haga clic en Herramientas y, a continuación, en Servidor de políticas de red. Se abre la consola de NPS.
  2. En la consola de NPS, haga doble clic en Clientes y servidores RADIUS. Haga clic con el botón derecho en Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS.
  3. En Nuevo cliente RADIUS, compruebe que la casilla de verificación Habilitar este cliente RADIUS está seleccionada.
  4. En Nuevo cliente RADIUS, en Nombre amistoso, escriba un nombre para mostrar para el NAS. En Dirección (IP o DNS), escriba la dirección IP del NAS o el nombre de dominio completo (FQDN). Si introduce el FQDN, haga clic en Verify (Verificar) si desea comprobar que el nombre es correcto y se asigna a una dirección IP válida.
  5. En New RADIUS Client (Nuevo cliente RADIUS), en Vendor (Proveedor), especifique el nombre del fabricante del NAS. Si no está seguro del nombre del fabricante del NAS, seleccione Estándar RADIUS.
  6. En Nuevo cliente RADIUS, en Secreto compartido, realice una de las siguientes acciones:
    • Asegúrese de que está seleccionado Manual y, a continuación, en Secreto compartido, escriba la contraseña segura que también se introduce en el NAS. Vuelva a escribir el secreto compartido en Confirmar secreto compartido.
    • Seleccione Generar y, a continuación, haga clic en Generar para generar automáticamente un secreto compartido. Guarde el secreto compartido generado para configurarlo en el NAS de modo que pueda comunicarse con el NPS.
  7. En New RADIUS Client (Nuevo cliente RADIUS), en Additional Options (Opciones adicionales), si utiliza algún método de autenticación distinto de EAP y PEAP, y si su NAS admite el uso del atributo Message Authenticator (Autenticador de mensajes), seleccione Access Request messages must contain the Message Authenticator attribute (Los mensajes de solicitud de acceso deben contener el atributo Message Authenticator).
  8. Haga clic en OK (Aceptar). Su NAS aparece en la lista de clientes RADIUS configurados en el NPS.

Configurar clientes RADIUS por rango de direcciones IP en Windows Server 2016 Datacenter

Si está ejecutando Windows Server 2016 Datacenter, puede configurar clientes RADIUS en NPS por rango de direcciones IP. Esto le permite agregar una gran cantidad de clientes RADIUS (como puntos de acceso inalámbricos) a la consola de NPS de una sola vez, en lugar de agregar cada cliente RADIUS individualmente.

No puede configurar clientes RADIUS por rango de direcciones IP si está ejecutando NPS en Windows Server 2016 Standard.

Use este procedimiento para agregar un grupo de servidores de acceso a la red (NAS) como clientes RADIUS que están todos configurados con direcciones IP del mismo rango de direcciones IP.

Todos los clientes RADIUS del rango deben utilizar la misma configuración y secreto compartido.

Para completar este procedimiento, debe ser miembro del grupo Administradores.

Para configurar clientes RADIUS por rango de direcciones IP

  1. En el NPS, en el Administrador de servidores, haga clic en Herramientas y, a continuación, en Servidor de políticas de red. Se abre la consola de NPS.
  2. En la consola de NPS, haga doble clic en Clientes y servidores RADIUS. Haga clic con el botón derecho en Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS.
  3. En Nuevo cliente RADIUS, en Nombre amistoso, escriba un nombre para mostrar para la colección de NAS.
  4. En Dirección (IP o DNS), escriba el rango de direcciones IP para los clientes RADIUS utilizando la notación Classless Inter-Domain Routing (CIDR). Por ejemplo, si el rango de direcciones IP para los NAS es 10.10.0.0, escriba 10.10.0.0/16.
  5. En Nuevo cliente RADIUS, en Proveedor, especifique el nombre del fabricante del NAS. Si no está seguro del nombre del fabricante del NAS, seleccione Estándar RADIUS.
  6. En Nuevo cliente RADIUS, en Secreto compartido, realice una de las siguientes acciones:
    • Asegúrese de que está seleccionado Manual y, a continuación, en Secreto compartido, escriba la contraseña segura que también se introduce en el NAS. Vuelva a escribir el secreto compartido en Confirmar secreto compartido.
    • Seleccione Generar y, a continuación, haga clic en Generar para generar automáticamente un secreto compartido. Guarde el secreto compartido generado para configurarlo en el NAS de modo que pueda comunicarse con el NPS.
  7. En Nuevo cliente RADIUS, en Opciones adicionales, si utiliza algún método de autenticación distinto de EAP y PEAP, y si todos sus NAS admiten el uso del atributo autenticador de mensajes, seleccione Los mensajes de solicitud de acceso deben contener el atributo autenticador de mensajes.
  8. Haga clic en Aceptar. Sus NAS aparecen en la lista de clientes RADIUS configurados en el NPS.

Para obtener más información, consulte Clientes RADIUS.

Para obtener más información sobre el NPS, consulte Servidor de políticas de red (NPS).

Deja una respuesta

Tu dirección de correo electrónico no será publicada.