Меню

Как настроить свой radius

Настройка сервера Radius в Windows Server 2016

В этой статье мы покажем, как настроить сервер централизованной аутентификации, авторизации и аккаунтинга (RADIUS) на операционной системе Windows Server 2016, а также как настроить Radius-аутентификацию на Cisco устройствах с помощью службы Политики сети и доступа (Network Policy Server).

RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральным севером и различными сетевым оборудованием и клиентами.

В первую очередь создайте в домене Active Directory группу безопасности AllowRemoteCiscoUsers, в которую нужно добавить пользователей, которым будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.

Далее нужно установить на сервере, с помощью которого будет выполнятся аутентификация клиентов и назначаться права доступа, роль RADIUS сервера. Для этого на сервере Windows Server 2016 откройте оснастку Server Manager и вызовите мастер добавления ролей — Add Roles and features.

В открывшемся мастере на шаге выбора ролей отметьте роль Network Policy and Access Services. На шаге выбора служб роли в нашей ситуации достаточно будет выбрать только службу Network Policy Server.

В консоли Server Manager выберите меню Tools и откройте консоль Network Policy Server (nps.msc).

Для полноценного использования NPS-сервера в домене необходимо зарегистрировать его в домене Active Directory. В оснастке на NPS, щелкните ПКМ по вашему NPS узлу и выберите Register server in Active Directory.

Подтвердите регистрацию сервера в Active Directory:

При этом мы должны предоставите серверу полномочия на чтение свойств учётных записей пользователей, касающихся удалённого доступа. Сервер при этом будет добавлен во встроенную доменную группу RAS and IAS Servers.

Теперь можно добавить клиента Radius. Для этого в дереве консоли NPS разверните раздел RADIUS Clients and Servers и на элементе RADIUS Clients выберите пункт New.

На вкладке Settings заполните поля Friendly name, Client address (можно указать IP адрес или DNS имя подключающегося сетевого устройства) и пароль — Shared Secret + Confirm shared (этот пароль вы будете использовать в настройках коммутатора или маршрутизатора Cisco для установления доверительных отношений с Radius сервером).

Во вкладке Advanced выберите в поле Vendor name — Cisco.

Теперь нужно создать политики доступа на сервере RADIUS. С помощью политик доступа мы свяжем клиента Radius и доменную группу пользователей.

Раскройте ветку Policies —> Network Policies, и выберите пункт меню New:

Укажите Имя политики (Policy name). Тип сервера доступа к сети (Type of network access server) оставьте без изменения (Unspecified):

На следующем шаге Specify conditions нам нужно добавить условия, при которых будет применяться данная политика RADIUS. Добавим два условия: вы хотите, что для успешной авторизации пользователь входил в определенную доменную группу безопасности, и устройство, к которому осуществляется доступ, имело определённое имя. С помощью кнопки Add добавим сначала условие, выбрав тип Windows Group (добавьте группу RemoteCiscoUsers) и укажите Client Friendly Name (Cisco_*).

На следующем выберите значение Доступ разрешен (Access Granted).

Т.к. наш коммутатор Cisco поддерживает только метод аутентификации Unencrypted authentication (PAP, SPAP), снимите все остальные флажки.

Следующий шаг настройки ограничений (Constraints) мы пропустим.

В разделе Configure Settings перейдите секцию RADIUS Attributes -> Standard. Удалите имеющиеся там атрибуты и нажмите кнопку Add.

Выберите Access type -> All, затем Service-Type->Add. Укажите Others=Login.

Теперь в секции RADIUS Attributes -> Vendor Specific добавьте новый атрибут. В пункте Vendor, найдите Cisco и нажмите Add. Здесь нужно добавить сведения об атрибуте. Нажмите Add и укажите следующее значение атрибута:

shell: priv-lvl = 15


На последнем экране будут указаны все созданные вами настройки политики NPS. Нажмите Finish:

При создании и планировании политик обратите внимание на то, что имеет значение их порядок. Политики обрабатываются сверху вниз, и все условия очередной политике соблюдены, эта политика применяется к клиенту, а дальнейшая обработка других политик прекращается. То есть с точки зрения безопасности и разрешения конфликтов между политиками правильнее будет располагать политики в порядке возрастания административных полномочий.

После создания политики, можно переходить к настройке маршрутизаторов и коммутаторов Cisco для аутентификации на сервере Radius NPS.

AAA работает таким образом, что, если не получен ответ от сервера, клиент предполагает, что аутентификация не выполнена. Чтобы не потерять доступ к своим сетевым устройствам, которые вы переключаете на авторизацию на Radius сервера, обязательно создайте локальных пользователей на случай если RADIUS сервер станет недоступен по какой-либо причине.

Ниже пример конфигурации для авторизации на Radius (NPS) сервере для коммутатора Cisco Catalyst:

aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius if-authenticated
radius-server host 192.168.1.16 key R@diu$pa$$
service password-encryption

На этом минимальная настройка коммутатора закончена и можно испытать новый механизм аутентификации и авторизации в действии.

Источник



Настройка WiFi авторизации через RADIUS-сервер NPS на Mikrotik

Использование для WiFi авторизации доменных учетных записей является очень удобным решением для любой организации где есть контроллер домена. Это удобно в случае если у вас несколько офисов т.к. можно подключаться под личным логином и паролем к wifi в любом офисе и безопасно в случае увольнения сотрудника т.к. его доменный профиль удаляется или блокируется.

Для настройки WiFi авторизации через доменный профиль необходимо будет выполнить следующие настройки:

  1. Настройка сервера политики сети NPS в Windows 2012
  2. Настройка RADIUS-клиента на Mikrotik.

Настройка сервера политики сети NPS в Windows 2012.

Открываем «Диспетчер сервера» и приступаем к установке роли «Сервер политики сети» через «Мастер добавления ролей и компонентов». Подробно рассматривать процедуру установки не буду, здесь нет никаких сложностей. У меня на сервере эта роль уже установлена (см. скриншот).

После установки Роли потребуется перезагрузка. Перезагружаем сервер и приступаем к настройке NPS.

Читайте также:  Часы amazfit gts как настроить время

Настраиваем подключение RADIUS-клиента.

В Диспетчере серверов открываем /Средства/Сервер политики сети.

Переходим в /NPS/Radius-клиенты и сервер/Radius-клиенты, щелкаем пр. клавишей мыши и выбираем пункт «Новый документ»

Указываем имя (любое понятное для себя), ip-адрес роутера Mikrotik и придумываем общий секрет посложней (можно воспользоваться генератором).

Создаем политики для WiFi авторизации.

На этом шаге настройки воспользуемся мастером настройки 802.1x.

Кликаем лев. клавишей мыши по пункту «NPS(Локально)», затем в правом окне разворачиваем пункт «Стандартная конфигурация».

В пункте сценария настройки выбираем «RADIUS-сервер для беспроводных или кабельных подключений 802.1x» и переходим по ссылке «Настройка 802.1x».

Выбираем пункт «Безопасные беспроводные подключения»

На следующем шаге добавляем RADIUS-клиенты, которые были подключены к RADIUS-серверу ранее.

В качестве метода проверки подлинности выбираем «Microsoft: защищенные EAP (PEAP)».

Выбираем группы пользователей домена, которым будет доступно подключение к WiFi.

В результате получаем следующие результаты политик.

Политика запросов на подключение:

Сетевая политика:

На этом настройка NPS в качестве RADIUS-сервера для WiFi-авторизации завершена. Приступаем к настройке роутера Mikrotik.

Настройка подключения Mikrotik к RADIUS-серверу.

Чтобы добавить в Mikrotik подключение к RADIUS-серверу открываем меню RADIUS и жмем плюсик.

  • Отмечаем нужную службу «Services» — в случае WiFi авторизации это «wireless».
  • Указываем «Adsress» Radius-сервера — это ip-адрес настроенного ранее сервера сетевой политики NPS.
  • Заполняем Secret, который был указан при добавлении radius-клиента в NPS.

Все остальные настройки оставляем как есть, если только вы не решили изменить на NPS стандартные порты подключения 1812 и 1813.

Добавляем профиль авторизации: /Wireless/Security profiles. Здесь в Authentication types оставляем только WPA2 EAP.

Указываем в нашем действующем WiFi интерфейсе новый Security profile.

На этом настройка Mikrotik в качестве RADIUS-клиента закончена.

Для диагностики неисправности подключений можно включить Logging для RADIUS: /System/Logging/+. В «Topics» выбираем «radius».

Открываем Log и пробуем подключиться к точке доступа.

Количество успешных и сброшенных подключений можно посмотреть во вкладке Status созданного подключения к radius-серверу.

Источник

Настройка RADIUS-клиентов Configure RADIUS Clients

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

С помощью этого раздела можно настроить серверы доступа к сети в качестве RADIUS-клиентов в NPS. You can use this topic to configure network access servers as RADIUS Clients in NPS.

При добавлении нового ( VPN-сервера сетевого доступа, точки беспроводного доступа, коммутатора проверки подлинности или сервера коммутируемого подключения ) к сети необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить клиент RADIUS для взаимодействия с сервером политики сети. When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS, and then configure the RADIUS client to communicate with the NPS.

Клиентские компьютеры и устройства, такие как переносные компьютеры, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Client computers and devices, such as laptop computers, tablets, phones, and other computers running client operating systems, are not RADIUS clients. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1 X, серверы виртуальной частной сети (VPN) и серверы удаленного доступа, так как они используют протокол RADIUS для связи с серверами RADIUS, например NPS- ( серверы политики сети ) . RADIUS clients are network access servers — such as wireless access points, 802.1X-capable switches, virtual private network (VPN) servers, and dial-up servers — because they use the RADIUS protocol to communicate with RADIUS servers, such as Network Policy Server (NPS) servers.

Этот шаг также необходим, если сервер политики сети входит в группу удаленных серверов RADIUS, настроенную на прокси-сервере NPS. This step is also necessary when your NPS is a member of a remote RADIUS server group that is configured on an NPS proxy. В этом случае в дополнение к выполнению действий, описанных в этой задаче на прокси-сервере NPS, необходимо выполнить следующие действия. In this circumstance, in addition to performing the steps in this task on the NPS proxy, you must do the following:

  • На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS. On the NPS proxy, configure a remote RADIUS server group that contains the NPS.
  • На удаленном сервере политики сети настройте прокси-сервер NPS в качестве RADIUS-клиента. On the remote NPS, configure the NPS proxy as a RADIUS client.

Для выполнения процедур, описанных в этом разделе, необходимо наличие по крайней мере одного ( VPN-сервера сетевого доступа, точки доступа к сети, коммутатора проверки подлинности или сервера удаленного доступа к сети ) или прокси-сервера NPS. To perform the procedures in this topic, you must have at least one network access server (VPN server, wireless access point, authenticating switch, or dial-up server) or NPS proxy physically installed on your network.

Настройка сервера сетевого доступа Configure the Network Access Server

Используйте эту процедуру, чтобы настроить серверы сетевого доступа для работы с NPS. Use this procedure to configure network access servers for use with NPS. При развертывании серверов сетевого доступа (NAS) в качестве RADIUS-клиентов необходимо настроить взаимодействие клиентов с НПСС, где серверы NAS настроены в качестве клиентов. When you deploy network access servers (NASs) as RADIUS clients, you must configure the clients to communicate with the NPSs where the NASs are configured as clients.

Эта процедура содержит общие рекомендации о параметрах, которые следует использовать для настройки серверов NAS. конкретные инструкции по настройке устройства, которое вы развертываете в сети, см. в документации по продукту NAS. This procedure provides general guidelines about the settings you should use to configure your NASs; for specific instructions on how to configure the device you are deploying on your network, see your NAS product documentation.

Читайте также:  Ксиаоми как настроить время часы

Настройка сервера сетевого доступа To configure the network access server

  1. На сервере NAS в параметрах RADIUS выберите Проверка подлинности RADIUS на udp-порте 1812 и учет RADIUS на UDP-порте 1813. On the NAS, in RADIUS settings, select RADIUS authentication on User Datagram Protocol (UDP) port 1812 and RADIUS accounting on UDP port 1813.
  2. В поле сервер проверки подлинности или сервер RADIUS укажите сервер политики сети по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS. In Authentication server or RADIUS server, specify your NPS by IP address or fully qualified domain name (FQDN), depending on the requirements of the NAS.
  3. В качестве секрета или общего секрета введите надежный пароль. In Secret or Shared secret, type a strong password. При настройке NAS в качестве RADIUS-клиента в NPS вы будете использовать тот же пароль, поэтому не забывайте его. When you configure the NAS as a RADIUS client in NPS, you will use the same password, so do not forget it.
  4. Если в качестве метода проверки подлинности используется протокол PEAP или EAP, настройте NAS для использования проверки подлинности EAP. If you are using PEAP or EAP as an authentication method, configure the NAS to use EAP authentication.
  5. При настройке точки доступа к беспроводной сети в SSID укажите идентификатор набора служб ( SSID ) , который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. If you are configuring a wireless access point, in SSID, specify a Service Set Identifier (SSID), which is an alphanumeric string that serves as the network name. Это имя транслируется точками доступа для беспроводных клиентов и отображается для пользователей в ( общественных точках Wi-Fi для беспроводной связи ) . This name is broadcast by access points to wireless clients and is visible to users at your wireless fidelity (Wi-Fi) hotspots.
  6. Если вы настраиваете беспроводную точку доступа, в 802.1 x и WPA включите проверку подлинности IEEE 802.1 x , если хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS. If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X authentication if you want to deploy PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS Add the Network Access Server as a RADIUS Client in NPS

Эта процедура используется для добавления сервера доступа к сети в качестве RADIUS-клиента в NPS. Use this procedure to add a network access server as a RADIUS client in NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS. You can use this procedure to configure a NAS as a RADIUS client by using the NPS console.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS To add a network access server as a RADIUS client in NPS

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
  2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUS и выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
  3. Убедитесь, что в поле новый клиент RADIUS установлен флажок включить клиент RADIUS . In New RADIUS Client, verify that the Enable this RADIUS client check box is selected.
  4. В поле » новый клиент RADIUS» в поле понятное имя введите отображаемое имя NAS. In New RADIUS Client, in Friendly name, type a display name for the NAS. В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). In Address (IP or DNS), type the NAS IP address or fully qualified domain name (FQDN). При вводе полного доменного имени нажмите кнопку проверить , чтобы убедиться, что имя указано правильно и сопоставляется с ДОПУСТИМЫМ IP-адресом. If you enter the FQDN, click Verify if you want to verify that the name is correct and maps to a valid IP address.
  5. В поле поставщикнового RADIUS-клиента укажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
  6. В новом RADIUS-клиенте в поле общий секрет выполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
    • Убедитесь, что выбран параметр вручную , а затем в поле общий секрет введите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
    • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
  7. В новом RADIUS-клиенте в дополнительных параметрах при использовании любых методов проверки подлинности, отличных от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщения, выберите сообщения запроса доступа должны содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if your NAS supports use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
  8. Нажмите кнопку ОК. Click OK. NAS появится в списке клиентов RADIUS, настроенных на сервере политики сети. Your NAS appears in the list of RADIUS clients configured on the NPS.
Читайте также:  Как в планшете настроить мобильную сеть

Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter Configure RADIUS Clients by IP Address Range in Windows Server 2016 Datacenter

Если вы используете Windows Server 2016 Datacenter, можно настроить клиенты RADIUS в NPS по диапазону IP-адресов. If you are running Windows Server 2016 Datacenter, you can configure RADIUS clients in NPS by IP address range. Это позволяет добавлять большое количество RADIUS-клиентов (например, точек доступа к беспроводной сети) в консоль NPS за один раз, а не добавлять каждый клиент RADIUS по отдельности. This allows you to add a large number of RADIUS clients (such as wireless access points) to the NPS console at one time, rather than adding each RADIUS client individually.

Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard. You cannot configure RADIUS clients by IP address range if you are running NPS on Windows Server 2016 Standard.

Эта процедура используется для добавления группы серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с использованием IP-адресов из одного и того же диапазона IP-адресов. Use this procedure to add a group of network access servers (NASs) as RADIUS clients that are all configured with IP addresses from the same IP address range.

Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет. All of the RADIUS clients in the range must use the same configuration and shared secret.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Настройка клиентов RADIUS по диапазону IP-адресов To set up RADIUS clients by IP address range

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
  2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUS и выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
  3. В поле » новый клиент RADIUS» в поле понятное имя введите отображаемое имя для коллекции серверов NAS. In New RADIUS Client, in Friendly name, type a display name for the collection of NASs.
  4. В поле адрес ( IP- ) адреса или DNS введите диапазон IP-адресов для клиентов RADIUS с помощью ( нотации Inter-Domain маршрутизации CIDR ) . In Address (IP or DNS), type the IP address range for the RADIUS clients by using Classless Inter-Domain Routing (CIDR) notation. Например, если диапазон IP-адресов для серверов NAS — 10.10.0.0, введите 10.10.0.0/16. For example, if the IP address range for the NASs is 10.10.0.0, type 10.10.0.0/16.
  5. В поле поставщикнового RADIUS-клиента укажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
  6. В новом RADIUS-клиенте в поле общий секрет выполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
    • Убедитесь, что выбран параметр вручную , а затем в поле общий секрет введите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
    • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
  7. В новом RADIUS-клиенте в дополнительных параметрах при использовании любых методов проверки подлинности, отличных от EAP и PEAP, а также если все серверы NAS поддерживают использование атрибута проверки подлинности сообщений, выберите пункт сообщения запроса доступа должен содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if all of your NASs support use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
  8. Нажмите кнопку ОК. Click OK. Серверы NAS отображаются в списке клиентов RADIUS, настроенных на сервере политики сети. Your NASs appear in the list of RADIUS clients configured on the NPS.

Дополнительные сведения см. в разделе RADIUS-клиенты. For more information, see RADIUS Clients.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).

Источник