Windows server 2012 radius server как настроить

Настраиваем доменную аутентификацию на сетевом оборудовании

При обслуживании больших сетей системные администраторы часто сталкиваются с проблемами аутентификации на сетевом оборудовании. В частности, довольно сложно организовать нормальную работу нескольких сетевых администраторов под индивидуальными учетными записями на большом количестве оборудования (приходится вести и поддерживать в актуальном состоянии базу локальных учетных записей на каждом устройстве). Логичным решение было бы использовать для авторизации уже существующей базы учетных записей — Active Directory. В этой статье мы разберемся, как настроить доменную (Active Directory) аутентификацию на активном сетевом оборудовании (коммутаторы, маршрутизаторы).

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting), фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server). В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco.

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

1. RADIUS Clients — содержит список устройств, которые могут аутентифицироваться на сервере
2. Connection Request Policies – определяет типы устройств, которые могут аутентифицироваться
3. Network Polices – правила аутентификации

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New. Укажем:

• Friendly Name:sw-HP-5400-1
• Address (IP or DNS): 10.10.10.2
• Shared secret (пароль/секретный ключ): пароль можно указать вручную (он должен быть достаточно сложным), либо сгенерировать с помощью специальной кнопки (сгенерированный пароль необходимо скопировать, т.к. в дальнейшем его придется указать на сетевом устройстве).

Отключим стандартную политику (Use Windows authentication for all users) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable.

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.

В качестве значения укажем sw-?. Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP).

В окне Configure Settings изменим значение атрибута Service-Type на Administrative.

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

Совет. Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

Не закрывая консольное окно коммутатора (это важно!, иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Для коммутатора Cisco конфигурация, предполагающая использование доменных учетных записей для аутентификации и авторизации, может выглядеть так:

Для Cisco ASA конфигурация будет выглядеть так:

Совет. Если что то-не работает, проверьте:

• Совпадают ли секретные ключи на сервере NPS и коммутаторе (для теста можно использоваться простой пароль).
• Указан ли правильный адрес NPS сервера в конфигурации. Пингуется ли он?
• Не блокируют ли межсетевые экраны порты 1645 и 1646 между коммутатором и сервером?
• Внимательно изучите логи NPS сервера

Источник

Настройка Radius аутентификации с Windows Server 2012 NPS (Network Policy Server) на Cisco IOS

Рассмотрим настройку Radius аутентификации на Cisco устройствах, посредством службы Политики сети и доступа (Network Policy Server) на Windows Server 2012 R2.

Добавление роли, настройка Active Directory

Добавляем роль , переходим в Диспетчер серверов — Управление — Добавить роли и компоненты.

Выбираем роль (Службы политики сети и доступа):

Выбираем службу ролей (Сервер политики сети):

Для завершения установки роли, нажимаем Установить и дожидаемся установки компонента, после чего нажимаем Завершить.

В Active Directory необходимо создать группу безопасности (прим. NPS_Cisco) и включить в нее пользователей кому будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.

Настройка Network Policy Server

Открываем оснастку Сервер политики сети (Network Policy Server).

Для полноценного использования функций NPS-сервера в домене, выполним регистрацию его в Active Directory. В оснастке на NPS (Локально), нажимаем правой кнопкой мыши и выбираем Зарегистрировать сервер в Active Directory (Register server in Active Directory):

Подтверждаем регистрацию сервера в Active Directory:

После регистрации NPS в Active Directory, добавим клиента RADIUS. На строке RADIUS-клиенты и серверы (RADIUS Clients and Servers) щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):

Во вкладке «Параметры» вводим Понятное имя (Friendly name), IP-адрес (Address) и Общий секрет (Shared Secret). Во вкладке «Дополнительно» указываем Имя поставщика (Vendor name) — Cisco

Раскрываем ветку Политики (Policies) — Сетевые политики (Network Policies) и щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):

Задаем Имя политики (Policy name), Тип сервера доступа к сети (Type of network access server) оставляем без изменения:

Задаем условия, которые должны соответствовать для успешной аутентификации. Создадим два условия:

• Группы пользователей (указываем ранее созданную в Active Directory группу безопастности)
• Понятное имя клиента (указываем дружественные имена, начинающиеся с префикса CISCO_)

Результат добавления условий:

Указываем разрешение доступа, оставляем значение Доступ разрешен (Access Granted).

Cisco поддерживает только методы Проверка открытым текстом (PAP, SPAP) (Unencrypted authentication (PAP, SPAP)). Снимите все флажки и отмечаем только Проверка открытым текстом (PAP, SPAP):

После настройки методов проверки подлинности вам будет предложено настроить Ограничения (Constraints), пропускаем этот раздел и переходим к следующему шагу.

Настройка параметров (Configure Settings), переходим в Атрибуты RADIUS (RADIUS Attributes) — Стандарт (Standard). Удаляем имеющиеся там атрибуты и нажимаем Добавить… (Add…)

Тип доступа выбираем Service-Type, нажимаем Добавить, выставляем значение атрибута Login

переходим в Атрибуты RADIUS (RADIUS Attributes) — Зависящие от поставщика (Vendor Specific), добавляем новый атрибут, и нажимаем Добавить… (Add…)

В пункте Поставщик (Vendor), указываем Cisco и нажимаем Добавить… (Add…). Будет предложено добавить сведения об атрибуте, нажимаем Добавить… (Add…) и устанавливаем значение атрибута:

Источник

Настройка RADIUS-клиентов Configure RADIUS Clients

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

С помощью этого раздела можно настроить серверы доступа к сети в качестве RADIUS-клиентов в NPS. You can use this topic to configure network access servers as RADIUS Clients in NPS.

При добавлении нового ( VPN-сервера сетевого доступа, точки беспроводного доступа, коммутатора проверки подлинности или сервера коммутируемого подключения ) к сети необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить клиент RADIUS для взаимодействия с сервером политики сети. When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS, and then configure the RADIUS client to communicate with the NPS.

Клиентские компьютеры и устройства, такие как переносные компьютеры, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Client computers and devices, such as laptop computers, tablets, phones, and other computers running client operating systems, are not RADIUS clients. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1 X, серверы виртуальной частной сети (VPN) и серверы удаленного доступа, так как они используют протокол RADIUS для связи с серверами RADIUS, например NPS- ( серверы политики сети ) . RADIUS clients are network access servers — such as wireless access points, 802.1X-capable switches, virtual private network (VPN) servers, and dial-up servers — because they use the RADIUS protocol to communicate with RADIUS servers, such as Network Policy Server (NPS) servers.

Этот шаг также необходим, если сервер политики сети входит в группу удаленных серверов RADIUS, настроенную на прокси-сервере NPS. This step is also necessary when your NPS is a member of a remote RADIUS server group that is configured on an NPS proxy. В этом случае в дополнение к выполнению действий, описанных в этой задаче на прокси-сервере NPS, необходимо выполнить следующие действия. In this circumstance, in addition to performing the steps in this task on the NPS proxy, you must do the following:

• На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS. On the NPS proxy, configure a remote RADIUS server group that contains the NPS.
• На удаленном сервере политики сети настройте прокси-сервер NPS в качестве RADIUS-клиента. On the remote NPS, configure the NPS proxy as a RADIUS client.

Для выполнения процедур, описанных в этом разделе, необходимо наличие по крайней мере одного ( VPN-сервера сетевого доступа, точки доступа к сети, коммутатора проверки подлинности или сервера удаленного доступа к сети ) или прокси-сервера NPS. To perform the procedures in this topic, you must have at least one network access server (VPN server, wireless access point, authenticating switch, or dial-up server) or NPS proxy physically installed on your network.

Настройка сервера сетевого доступа Configure the Network Access Server

Используйте эту процедуру, чтобы настроить серверы сетевого доступа для работы с NPS. Use this procedure to configure network access servers for use with NPS. При развертывании серверов сетевого доступа (NAS) в качестве RADIUS-клиентов необходимо настроить взаимодействие клиентов с НПСС, где серверы NAS настроены в качестве клиентов. When you deploy network access servers (NASs) as RADIUS clients, you must configure the clients to communicate with the NPSs where the NASs are configured as clients.

Эта процедура содержит общие рекомендации о параметрах, которые следует использовать для настройки серверов NAS. конкретные инструкции по настройке устройства, которое вы развертываете в сети, см. в документации по продукту NAS. This procedure provides general guidelines about the settings you should use to configure your NASs; for specific instructions on how to configure the device you are deploying on your network, see your NAS product documentation.

Настройка сервера сетевого доступа To configure the network access server

1. На сервере NAS в параметрах RADIUSвыберите Проверка подлинности RADIUS на udp-порте 1812 и учет RADIUS на UDP-порте 1813. On the NAS, in RADIUS settings, select RADIUS authentication on User Datagram Protocol (UDP) port 1812 and RADIUS accounting on UDP port 1813.
2. В поле сервер проверки подлинности или сервер RADIUSукажите сервер политики сети по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS. In Authentication server or RADIUS server, specify your NPS by IP address or fully qualified domain name (FQDN), depending on the requirements of the NAS.
3. В качестве секрета или общего секретавведите надежный пароль. In Secret or Shared secret, type a strong password. При настройке NAS в качестве RADIUS-клиента в NPS вы будете использовать тот же пароль, поэтому не забывайте его. When you configure the NAS as a RADIUS client in NPS, you will use the same password, so do not forget it.
4. Если в качестве метода проверки подлинности используется протокол PEAP или EAP, настройте NAS для использования проверки подлинности EAP. If you are using PEAP or EAP as an authentication method, configure the NAS to use EAP authentication.
5. При настройке точки доступа к беспроводной сети в SSIDукажите идентификатор набора служб ( SSID ) , который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. If you are configuring a wireless access point, in SSID, specify a Service Set Identifier (SSID), which is an alphanumeric string that serves as the network name. Это имя транслируется точками доступа для беспроводных клиентов и отображается для пользователей в ( общественных точках Wi-Fi для беспроводной связи ) . This name is broadcast by access points to wireless clients and is visible to users at your wireless fidelity (Wi-Fi) hotspots.
6. Если вы настраиваете беспроводную точку доступа, в 802.1 x и WPAвключите проверку подлинности IEEE 802.1 x , если хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS. If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X authentication if you want to deploy PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS Add the Network Access Server as a RADIUS Client in NPS

Эта процедура используется для добавления сервера доступа к сети в качестве RADIUS-клиента в NPS. Use this procedure to add a network access server as a RADIUS client in NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS. You can use this procedure to configure a NAS as a RADIUS client by using the NPS console.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS To add a network access server as a RADIUS client in NPS

1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
3. Убедитесь, что в поле новый клиент RADIUSустановлен флажок включить клиент RADIUS . In New RADIUS Client, verify that the Enable this RADIUS client check box is selected.
4. В поле » новый клиент RADIUS» в поле понятное имявведите отображаемое имя NAS. In New RADIUS Client, in Friendly name, type a display name for the NAS. В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). In Address (IP or DNS), type the NAS IP address or fully qualified domain name (FQDN). При вводе полного доменного имени нажмите кнопку проверить , чтобы убедиться, что имя указано правильно и сопоставляется с ДОПУСТИМЫМ IP-адресом. If you enter the FQDN, click Verify if you want to verify that the name is correct and maps to a valid IP address.
5. В поле поставщикнового RADIUS-клиентаукажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
6. В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
   • Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
   • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
7. В новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщения, выберите сообщения запроса доступа должны содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if your NAS supports use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
8. Нажмите кнопку ОК. Click OK. NAS появится в списке клиентов RADIUS, настроенных на сервере политики сети. Your NAS appears in the list of RADIUS clients configured on the NPS.

Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter Configure RADIUS Clients by IP Address Range in Windows Server 2016 Datacenter

Если вы используете Windows Server 2016 Datacenter, можно настроить клиенты RADIUS в NPS по диапазону IP-адресов. If you are running Windows Server 2016 Datacenter, you can configure RADIUS clients in NPS by IP address range. Это позволяет добавлять большое количество RADIUS-клиентов (например, точек доступа к беспроводной сети) в консоль NPS за один раз, а не добавлять каждый клиент RADIUS по отдельности. This allows you to add a large number of RADIUS clients (such as wireless access points) to the NPS console at one time, rather than adding each RADIUS client individually.

Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard. You cannot configure RADIUS clients by IP address range if you are running NPS on Windows Server 2016 Standard.

Эта процедура используется для добавления группы серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с использованием IP-адресов из одного и того же диапазона IP-адресов. Use this procedure to add a group of network access servers (NASs) as RADIUS clients that are all configured with IP addresses from the same IP address range.

Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет. All of the RADIUS clients in the range must use the same configuration and shared secret.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Настройка клиентов RADIUS по диапазону IP-адресов To set up RADIUS clients by IP address range

1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
3. В поле » новый клиент RADIUS» в поле понятное имявведите отображаемое имя для коллекции серверов NAS. In New RADIUS Client, in Friendly name, type a display name for the collection of NASs.
4. В поле адрес ( IP или ) DNSвведите диапазон IP-адресов для клиентов RADIUS с помощью ( нотации CIDR междоменной маршрутизации ) . In Address (IP or DNS), type the IP address range for the RADIUS clients by using Classless Inter-Domain Routing (CIDR) notation. Например, если диапазон IP-адресов для серверов NAS — 10.10.0.0, введите 10.10.0.0/16. For example, if the IP address range for the NASs is 10.10.0.0, type 10.10.0.0/16.
5. В поле поставщикнового RADIUS-клиентаукажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
6. В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
   • Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
   • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
7. В новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, а также если все серверы NAS поддерживают использование атрибута проверки подлинности сообщений, выберите пункт сообщения запроса доступа должен содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if all of your NASs support use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
8. Нажмите кнопку ОК. Click OK. Серверы NAS отображаются в списке клиентов RADIUS, настроенных на сервере политики сети. Your NASs appear in the list of RADIUS clients configured on the NPS.

Дополнительные сведения см. в разделе RADIUS-клиенты. For more information, see RADIUS Clients.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).

Источник