Налаштування RADIUS аутентифікації між пристроями Cisco і службою Network Policy Server (NPS) в Windows Server 2008 трохи відрізняється від настройки подібної зв’язки в попередніх версіях Windows.

У тому випадку, якщо ви не знайомі зі службою, рекомендую почитати наступну статтю TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

У даній статті я покажу базову настройку, що дозволяє використовувати NPS в якості сервера аутентифікації для різних пристроїв компанії Cisco (комутаторів, маршрутизаторів). Можливо, дана інструкція підійде для роботи з іншими пристроями, що підтримують RADIUS аутентифікацію, однак у мене такого досвіду не було.

1. встановіть службу Мережа Політика Сервер. Цей компонент можна знайти в розділі ‘Network Policy and Access Services’ на Windows 2008 Server.

2. Відкрийте консоль управління Мережа Політика Сервер з меню «Адміністративні засоби».

3. створіть новий radius клієнт для пристроїв Cisco. Цей крок практично нічим не відрізняється від конфігурації подібної зв’язки в Windows Server 2000/2003. Вам потрібно просто вказати IP адресу пристрою, вибрати тип the “radius standard”, і задати секретний ключ (shared secret).

4. Зареєструйте сервер в Активний Каталог, Для чого клацніть правою клавішею миші по вузлу “NPS (local)” і виберіть пункт “RegisterserverinActiveDirectory”. В результаті NPS при отримання запиту на авторизацію, зможе пересилати ці запити до AD.

5. створіть “Підключення Запит Політика “. Цей крок є новим, він з’явився тільки в Windows Server 2008. Раніше ця настройка була включена в політику віддаленого доступу (remote access policy). У налаштуванні “Connection request policy” немає нічого складного. На першому кроці необхідно задати тип сервера network access в “Unspecified”.

Далі потрібно додати хоча б одна умова політики. Я в даному тестовому прикладі використовую обмеження по дню і часу використання ( “day and time restrictions”), для простоти я дозволяю доступ (permitted) 24 × 7. Природно ті правила, які ви тут вказуєте повинні відповідати політиці безпеки вашої компанії, тому потрібно уважно поставитися до налаштувань політики використання NPS.

І, нарешті, на вкладці Settings в розділі Authentication, відзначте опцію “Authenticate requests on this server” (Аутентифікація запитів на цьому сервері).

6. створюємо Мережа Політика, В більш ранніх версіях Windows Server ця настройка називалася політикою віддаленого доступу (remote access policy). На вкладці Overview потрібно налаштувати політику на використання сервера network access типу “Unspecified”. Не забудьте надати або дозволити доступ по цій політиці, я вибрав “Grant Access”.

На вкладці Conditions необхідно додати хоча б одна умова. Як правило, тут вказується група Active Directory, членам якої буде дозволено підключення.

Єдине, що потрібно зробити на вкладці Constraints – включити метод аутентифікації “Unencrypted authentication (PAP, SPAP)”.

І нарешті, на вкладці Settings потрібно переконатися, що в секції шифрування (Encryption) обрана опція “No Encryption» (не шифрувати).

7. На мережевому обладнанні потрібно задати сервер аутентифікації. Дана настройка специфічна для різних марок і моделей мережевого обладнання. В останніх версіях IOS на комутаторах Cisco, команди настройки будуть такими:

ааа нова модель

ааа сеанс-ідентифікатор загальний

ааа автентифікація вхід за замовчуванням радіус групи

радіус-сервер хост 10.24.0.1 auth-port 1812 acct-port 1813 key ваш_секретний_ключ

8. Залишилося тільки протестувати роботу!

Leave a Reply

Your email address will not be published. Required fields are marked *