Muy buenas a todos, comenzamos este post con las siguientes preguntas: ¿Qué es un servidor RADIUS? ¿Qué función desempeña?

Bien, el acrónimo RADIUS proviene de Remote Authentication Dial-In User Service, y es un protocolo de autenticación y autorización de acceso a la red utilizado por ejemplo para controlar el acceso VPN, Web, correo electrónico o WPA2-Enterprise, por ejemplo.

Utiliza el puerto 1812 UDP para establecer sus conexiones y se compone de un Servidor RADIUS y un cliente RADIUS.

En el caso de Microsoft, para poder gestionar de forma centralizada el acceso, tenemos un servidor de autenticación, llamado Servidor NPS (Servidor RADIUS). Las siglas NPS vienen de Network Policy Server, rol necesario en dicho servidor. Este servidor, sirve como servidor AAA:

  • Authentication: Validamos la identidad del usuario. La autenticación puede validarse por diversos métodos: usuario/contraseña o certificados.
  • Authorization: Determinamos los servicios a los que puede acceder y los permisos y privilegios que tiene.
  • AccountingLlevar un control de todas las actividades que lleva a cabo un usuario después de haberse autenticado.

El servidor RADIUS puede usar varias fuentes de autenticación como Usuarios locales de una máquina, directorio Activo, Base de Datos de SQL Server u otros servicios como Oracle IdentityManager, basados en LDAP.

En caso de ser necesario disponer de varios servidores RADIUS ya que se tienen que autenticar muchos usuarios contra diferentes directorios dependiendo del dominio al que pertenezcan, podemos hacer llegar todas las peticiones a un punto central, que derive la petición al servidor correcto y evitar así que todos los servidores reciban todas las peticiones; Esto sería un Proxy RADIUS.

 

En Windows Server 2016, el rol NPS, nos permitirá gestionar estas políticas de conexión, configurando un cliente RADIUS. Podemos configurarlo desde la consola NPS o desde PowerShell, mediando los siguientes comandos en el que será el servidor RADIUS:

Install-WindowsFeature -Name “NPAS” – IncludeManagementTools  –> (Para instalar el rol y las herramientas para el servidor RADIUS)

New-NpsRadiusClient -Name     -Address    -VendorName     -Sharesecret  –> (Para configurar cliente RADIUS)

Muy importante en este paso, añadir bien la contraseña (ShareSecret). Es la misma que usaremos al configurar el servidor NAS.

El cliente RADIUS, también llamado Servidor NAS (Network Access Server), es quien reenvía las peticiones de autenticación al servidor RADIUS. No es el usuario que quiere acceder vía VPN o su equipo o dispositivo. El cliente RADIUS o NAS, realizará de forma transparente para los clientes y el servidor RADIUS, la función de Enrutamiento y Acceso Remoto RRAS (Routing And Remote Access Service) que posibilitará que los diferentes direccionamientos existentes entre ambos puedan ser traducidos.

ESQUEMA:

SERVIDOR RADIUS <———-> CLIENTE RADIUS <————–> CLIENTE EXTERNO

 

Para acabar y haciendo un breve resumen, cuando se realiza la conexión, se manda una información (suele ser user/password) que se transfiere al Servidor NAS (cliente RADIUS) y este la reenvía al Servidor NPS (Servidor RADIUS) y comprueba si es correcta y en función de la configuración que tengamos en NPS, se enviará al servidor NAS una respuesta u otra.

 

Autor/a: Borja Jiménez García

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018