Configurare i client RADIUS

  • 08/07/2020
  • 6 minuti per leggere
    • J
    • e
    • j

Applica a: Windows Server (Canale semestrale), Windows Server 2016

Puoi usare questo argomento per configurare i server di accesso alla rete come client RADIUS in NPS.

Quando aggiungi un nuovo server di accesso alla rete (server VPN, punto di accesso wireless, switch di autenticazione o server dial-up) alla tua rete, devi aggiungere il server come client RADIUS in NPS e poi configurare il client RADIUS per comunicare con l’NPS.

Importante

I computer e i dispositivi client, come computer portatili, tablet, telefoni e altri computer con sistemi operativi client, non sono client RADIUS. I client RADIUS sono server di accesso alla rete – come punti di accesso wireless, switch con capacità 802.1X, server VPN (Virtual Private Network) e server dial-up – perché usano il protocollo RADIUS per comunicare con i server RADIUS, come i server NPS (Network Policy Server).

Questo passaggio è necessario anche quando il tuo NPS è membro di un gruppo di server RADIUS remoto che è configurato su un proxy NPS. In questa circostanza, oltre ad eseguire i passi di questa attività sul proxy NPS, è necessario fare quanto segue:

  • Sul proxy NPS, configurare un gruppo di server RADIUS remoto che contiene l’NPS.
  • Sull’NPS remoto, configurare il proxy NPS come client RADIUS.

Per eseguire le procedure in questo argomento, devi avere almeno un server di accesso alla rete (server VPN, punto di accesso wireless, switch di autenticazione o server dial-up) o un proxy NPS fisicamente installato sulla tua rete.

Configura il server di accesso alla rete

Usa questa procedura per configurare i server di accesso alla rete da usare con NPS. Quando si distribuiscono i server di accesso alla rete (NAS) come client RADIUS, è necessario configurare i client per comunicare con gli NPS in cui i NAS sono configurati come client.

Questa procedura fornisce linee guida generali sulle impostazioni da utilizzare per configurare i NAS; per istruzioni specifiche su come configurare il dispositivo che si sta distribuendo sulla rete, consultare la documentazione del prodotto NAS.

Per configurare il server di accesso alla rete

  1. Sul NAS, nelle impostazioni RADIUS, selezionare l’autenticazione RADIUS sulla porta 1812 di User Datagram Protocol (UDP) e l’accounting RADIUS sulla porta 1813 UDP.
  2. In Server di autenticazione o server RADIUS, specificare l’NPS tramite indirizzo IP o nome di dominio pienamente qualificato (FQDN), a seconda dei requisiti del NAS.
  3. In Secret o Shared secret, digitare una password forte. Quando si configura il NAS come client RADIUS in NPS, si userà la stessa password, quindi non dimenticarla.
  4. Se si usa PEAP o EAP come metodo di autenticazione, configurare il NAS per usare l’autenticazione EAP.
  5. Se si configura un punto di accesso wireless, in SSID, specificare un Service Set Identifier (SSID), che è una stringa alfanumerica che serve come nome della rete. Questo nome viene trasmesso dai punti di accesso ai client wireless ed è visibile agli utenti dei vostri hotspot a fedeltà wireless (Wi-Fi).
  6. Se state configurando un punto di accesso wireless, in 802.1X e WPA, abilitate l’autenticazione IEEE 802.1X se vuoi implementare PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS.

Aggiungi il server di accesso alla rete come client RADIUS in NPS

Usa questa procedura per aggiungere un server di accesso alla rete come client RADIUS in NPS. Puoi usare questa procedura per configurare un NAS come client RADIUS usando la console NPS.

Per completare questa procedura, devi essere un membro del gruppo Administrators.

Per aggiungere un server di accesso alla rete come client RADIUS in NPS

  1. Sul NPS, in Server Manager, clicca su Tools, e poi su Network Policy Server. Si apre la console NPS.
  2. Nella console NPS, fai doppio clic su RADIUS Clients and Servers. Fare clic con il tasto destro su RADIUS Clients, quindi fare clic su New RADIUS Client.
  3. In New RADIUS Client, verificare che la casella di controllo Enable this RADIUS client sia selezionata.
  4. In New RADIUS Client, in Friendly name, digitare un nome visualizzato per il NAS. In Address (IP or DNS), digitare l’indirizzo IP del NAS o il nome di dominio pienamente qualificato (FQDN). Se si immette il FQDN, fare clic su Verifica se si desidera verificare che il nome sia corretto e che corrisponda a un indirizzo IP valido.
  5. In Nuovo client RADIUS, in Fornitore, specificare il nome del produttore del NAS. Se non si è sicuri del nome del produttore del NAS, selezionare RADIUS standard.
  6. In New RADIUS Client, in Shared secret, eseguire una delle seguenti operazioni:
    • Assicurarsi che sia selezionato Manual, e poi in Shared secret, digitare la password forte che è anche inserita sul NAS. Riscrivere il segreto condiviso in Confirm shared secret.
    • Selezionare Generate e poi fare clic su Generate per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con l’NPS.
  7. In New RADIUS Client, in Additional Options, se si stanno usando metodi di autenticazione diversi da EAP e PEAP, e se il NAS supporta l’uso dell’attributo message authenticator, selezionare Access Request messages must contain the Message Authenticator attribute.
  8. Fare clic su OK. Il NAS appare nell’elenco dei client RADIUS configurati sull’NPS.

Configurare i client RADIUS per intervallo di indirizzi IP in Windows Server 2016 Datacenter

Se si sta eseguendo Windows Server 2016 Datacenter, è possibile configurare i client RADIUS in NPS per intervallo di indirizzi IP. Ciò consente di aggiungere un gran numero di client RADIUS (come gli access point wireless) alla console NPS in una sola volta, piuttosto che aggiungere ogni client RADIUS singolarmente.

Non è possibile configurare i client RADIUS per intervallo di indirizzi IP se si esegue NPS su Windows Server 2016 Standard.

Utilizzare questa procedura per aggiungere un gruppo di server di accesso alla rete (NAS) come client RADIUS che sono tutti configurati con indirizzi IP dallo stesso intervallo di indirizzi IP.

Tutti i client RADIUS nell’intervallo devono usare la stessa configurazione e lo stesso segreto condiviso.

Per completare questa procedura, devi essere un membro del gruppo Amministratori.

Per impostare i client RADIUS per intervallo di indirizzi IP

  1. Sul NPS, in Server Manager, fai clic su Strumenti e poi su Network Policy Server. Si apre la console NPS.
  2. Nella console NPS, fai doppio clic su RADIUS Clients and Servers. Fare clic con il tasto destro su RADIUS Clients, quindi fare clic su New RADIUS Client.
  3. In New RADIUS Client, in Friendly name, digitare un nome visualizzato per la raccolta di NAS.
  4. In Address (IP or DNS), digitare l’intervallo di indirizzi IP per i client RADIUS utilizzando la notazione Classless Inter-Domain Routing (CIDR). Per esempio, se l’intervallo di indirizzi IP per i NAS è 10.10.0.0, digitare 10.10.0.0/16.
  5. In New RADIUS Client, in Vendor, specificare il nome del produttore del NAS. Se non si è sicuri del nome del produttore del NAS, selezionare RADIUS standard.
  6. In New RADIUS Client, in Shared secret, fare una delle seguenti operazioni:
    • Assicurarsi che sia selezionato Manual, e poi in Shared secret, digitare la password forte che è anche inserita sul NAS. Riscrivere il segreto condiviso in Confirm shared secret.
    • Selezionare Generate e poi fare clic su Generate per generare automaticamente un segreto condiviso. Salvare il segreto condiviso generato per la configurazione sul NAS in modo che possa comunicare con l’NPS.
  7. In New RADIUS Client, in Additional Options, se si stanno usando metodi di autenticazione diversi da EAP e PEAP, e se tutti i NAS supportano l’uso dell’attributo message authenticator, selezionare Access Request messages must contain the Message Authenticator attribute.
  8. Fare clic su OK. I NAS appaiono nell’elenco dei client RADIUS configurati sul NPS.

Per maggiori informazioni, vedere Client RADIUS.

Per maggiori informazioni su NPS, vedere Network Policy Server (NPS).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.