Network Policy Server и аутентификация Cisco RADIUS | Windows для системных администраторов

Network Policy Server и аутентификация Cisco RADIUS

Настройка RADIUS аутентификации между устройствами Cisco и службой Network Policy Server (NPS) в Windows Server 2008 немного отличается от настройки подобной связки в предыдущих версиях Windows.

В том случае, если вы не знакомы со службой, рекомендую почитать следующую статью TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

В данной статье я покажу базовую настройку, позволяющую использовать NPS в качестве сервера аутентификации для различных устройств компании Cisco (коммутаторов, маршрутизаторов). Возможно, данная инструкция подойдет для работы с другими устройствами, поддерживающими RADIUS  аутентификацию, однако у меня такого опыта не было.

1. Установите службу Network Policy Server. Этот компонент можно найти в разделе ‘Network Policy and Access Services’ на Windows 2008 Server.

2. Откройте консоль управления Network Policy Server из меню «Administrative Tools».

3. Создайте новый radius клиент для устройств Cisco. Этот шаг практически ничем не отличается от конфигурации подобной связки в Windows Server 2000/2003. Вам нужно просто указать IP адрес устройства, выбрать тип the “radius standard”, и задать секретный ключ (shared secret).

4. Зарегистрируйте сервер в Active Directory, для чего щелкните правой клавишей мыши по узлу  “NPS (local)”  и выберите пункт “RegisterserverinActiveDirectory”. В результате NPS при получение запроса на авторизацию,  сможет пересылать эти запросы к AD.

5. Создайте “Connection Request Policy”. Этот шаг является новым, он появился только в Windows Server 2008. Ранее эта настройка была включена в политику удаленного доступа (remote access policy). В настройке “Connection request policy” нет ничего сложного.  На первом шаге необходимо задать тип сервера network access в “Unspecified”.

Далее нужно добавить хотя бы одно условие политики. Я в данном тестовом примере использую ограничение по дню и времени использования (“day and time restrictions”), для простоты я разрешаю доступ (permitted) 24×7. Естественно те правила, которые вы тут указываете должны соответствовать политике безопасности вашей компании, поэтому нужно внимательно отнестись к настройкам политики использования NPS.

И, наконец, на вкладке Settings в разделе Authentication, отметьте опцию “Authenticate requests on this server” (Аутентификация запросов на этом сервере).

6. Создаем Network Policy, в более ранних версиях Windows Server эта настройка называлась политикой удаленного доступа (remote access policy). На вкладке Overview нужно настроить политику на использование сервера network access типа “Unspecified”. Не забудьте предоставить или разрешить доступ по этой политике, я выбрал “Grant Access”.

На вкладке Conditions необходимо добавить хотя бы одно условие. Как правило, здесь указывается группа Active Directory, членам которой будет разрешено подключение.

Единственное, что нужно сделать на вкладке Constraints – включить метод аутентификации “Unencrypted authentication (PAP, SPAP)”.

И наконец, на вкладке Settings нужно убедиться, что в секции шифрования (Encryption) выбрана опция “No Encryption” (не шифровать).

7. На сетевом оборудовании нужно задать сервер аутентификации. Данная настройка специфична для различных марок и моделей сетевого оборудования. В последних версиях IOS на коммутаторах Cisco, команды настройки будут такими:

aaa new-model

aaa session-id common

aaa authentication login default group radius

radius-server host 10.24.0.1 auth-port 1812 acct-port 1813 key ваш_секретный_ключ

8. Осталось только протестировать работу!

Еще записи по теме: Windows Server 2008
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)