Configurando o Servidor Radius 802.1x no Windows Server 2008

 Publicado em:
15/10/2011

Fonte: Fábio Augusto

Configurando o Servidor Radius para conexões – 802.1x 

No Windows Server 2003, para permitir a autenticação Radius Serviço de Autenticação da Internet este serviço precisava ser instalado e configurado. Agora no Windows Server 2008 este serviço foi substituído pelo servidor Diretiva de Rede, conhecido como o NPS (Network Policy Server )

O Network Policy Server (NPS) é o serviço que  habilita a implementação de vários serviços da Microsoft e um deles é o  Remote Authentication Dial-in User Service (RADIUS) e também existe o servidor de proxy Radius no Windows Server 2008. O NPS é o substituto do Internet Authentication Service (IAS) encontrado na versão do Windows Server 2003.
Como um servidor RADIUS, o NPS executa a autenticação de conexão centralizada, autorização e contabilidade para muitos tipos de acesso à rede, incluindo wireless e rede privada virtual (VPN).

 Já o proxy RADIUS,  encaminha mensagens de autenticação para a frente e mensagens de contabilidade para outros servidores RADIUS. O NPS também atua como um servidor de avaliação de saúde para Network Access Protection (NAP), resumindo conforme já mencionei, o NPS centralizou todo o método de autenticação e autorização.

Instalação 

Abra Configuration Tasks, e clique em  Add Roles ( Adicionar função) Selecione Network Policy and Access Services, e clique em Avançar.

 Clique em Avançar depois de ter verificado informações através do help na Introdução da função.

 O Network Policy Server precisa ser selecionado para usar qualquer um dos itens que fazem parte da função. Basta clicar em “‘Add Required Role Services” Algo do tipo (Adicionar Serviços de Função Necessários),

Você será solicitado com uma caixa de diálogo que parece um pouco com isso:

 

A próxima tela você será orientado sobre o Serviço, todos esses itens são necessários para a seção deste papel da função. Selecione o Prtocolo Host Credential Authorization Protocol,(HCAP) Protocolo de Autorização de credenciais,

 Basta clicar e ir avançando até chegar à página de conclusão,  verifique se você tem todas as funções selecionadas, que são necessárias, e clique em Install ( instalar )

 Uma vez que o NPS foi instalado e reiniciado, o servidor Radius já pode começar a ser configurado. 

Clique em Iniciar –> Ferramentas Administrativas –> abra o Network Policy Server

 
A Criação da política Radius é agora mais fácil com o assistente do Network Access Protection (NAP). Basta selecionar servidor RADIUS 802.1X para redes sem fio ou conexões com fio na tela inicial do NPS e clique em Configure NAP.

Selecione a opção Secure Wireless Connections que é o nosso caso de configuração. 

 

 Cada configuração de Access Point (AP)  varia, mas a maioria possui a criptografica WPA2-Enterprise que é a recomendada, Digite o endereço IP do servidor que vai adicionar, e digite o Shared Secret ” segredo ou senha”.  Devemos consultar os  manuais de APs ou fóruns sobre a localização de sua configuração de cada um. 

Isso funciona criando uma ligação segura entre o servidor e o cliente,  no nosso caso o AP, por isso na próxima página você deve criar um cliente Radius com suas configurações. 

 

Digite um nome amigável para o seu cliente, e coloque o IP do servidor para o assistente tentar se comunicar com o destino. 

Escolha um Shared Secret  “segredo de senha” conforme solicitado acima, ele é usado para autenticar no seu ponto de acesso (AP), esta será a forma como o cliente e o servidor vai se comunicar com o AP para poder verificar a conexão.

Agora clique em avançar depois de ter criado o seu Radius Client. 

Agora selecione Microsoft: Smart Card ou outro certificado, caso queira  usar qualquer o certificado existente que foi criado ou se possui uma autoridade certificadora (CA) no servidor.

 
Agora adicione os grupos de usuários que você quer tenha permissão ao acesso de autenticação radius. 

Agora clique em avançar e Finish, Pronto! você criou uma política de autenticação Radius.

Dependendo do tipo de marca do fabricante do seu Access Point (AP) , a configuração será diferente. Mas essencialmente se quiser segurança na autenticação e dispositivos,  você terá que configurar uma autenticação desta finalidade.

Assim, quando você  ligar o seu Access Point , ele tentará autenticar, os usuários que se conectarem a ele serão obrigados a obter um certificado. Será necessário solicitar ao servidor para que confirme a autenticidade e faça parte dos recursos da rede.

Um abraço

[ ]’s

10 respostas em “Configurando o Servidor Radius 802.1x no Windows Server 2008

  1. Fabio, Habilitando o RADIUS eu conseguiria também criar no mesmo dispositivo AP um acesso para visitantes?

    Eu trabalhei em uma multinacional que a estrutura era assim… tinha o PEAP e visitante vindos do mesmo AP.

    • Mauricio, Isso vai depender do dispositivo, se ele permitir, sera possivel, Ja vi em alguns D-link que possuem como configurar Radius1 e Raudius2 , é no mesmo AP , mas aponta em Servidores de autenticação diferentes.😉

  2. Fábio, configurei o servidor RADIUS para conexões 802.1x – Wireless. Consigo logar com meu Smartphone normalmente (Digitando usuário + senha) mas quando tento logar com um PC Windows XP ou 7 ele me informa que o Windows não encontrou um certificado para fazer logon na rede xyz. Como posso gerar este certificado?

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s