Настройка сервера радиуса на Windows 2016 для Wi-Fi
Обновлено: 21.11.2024
В этом разделе можно настроить группы удаленных серверов RADIUS, если вы хотите настроить сервер политики сети для работы в качестве прокси-сервера и пересылки запросов на подключение другим серверам политики сети для обработки.
Добавить группу удаленных серверов RADIUS
Эту процедуру можно использовать для добавления новой группы удаленных серверов RADIUS в оснастку Network Policy Server (NPS).
При настройке NPS в качестве прокси-сервера RADIUS вы создаете новую политику запросов на подключение, которую NPS использует для определения того, какие запросы на подключение следует перенаправлять на другие серверы RADIUS. Кроме того, политика запросов на подключение настраивается путем указания группы удаленных серверов RADIUS, которая содержит один или несколько серверов RADIUS, что указывает NPS, куда отправлять запросы на подключение, соответствующие политике запросов на подключение.
Вы также можете настроить новую группу удаленных серверов RADIUS в процессе создания новой политики запросов на подключение.
Членство в группе "Администраторы домена" или равноценное является минимальным требованием для выполнения этой процедуры.
Чтобы добавить группу удаленных серверов RADIUS
- В диспетчере серверов нажмите "Инструменты", а затем нажмите "Сервер политики сети", чтобы открыть консоль NPS.
- В дереве консоли дважды щелкните "Клиенты и серверы RADIUS", щелкните правой кнопкой мыши "Группы удаленных серверов RADIUS" и выберите "Создать".
- Откроется диалоговое окно "Новая группа удаленных серверов RADIUS". В поле Имя группы введите имя группы удаленных серверов RADIUS.
- На серверах RADIUS нажмите Добавить. Откроется диалоговое окно «Добавить серверы RADIUS». Введите IP-адрес сервера RADIUS, который вы хотите добавить в группу, или введите полное доменное имя (FQDN) сервера RADIUS, а затем нажмите "Подтвердить".
- В разделе "Добавить серверы RADIUS" перейдите на вкладку "Аутентификация/учет". В полях Общий секрет и Подтверждение общего секрета введите общий секрет. Вы должны использовать тот же общий секрет при настройке локального компьютера в качестве клиента RADIUS на удаленном сервере RADIUS.
- Если для проверки подлинности не используется расширяемый протокол проверки подлинности (EAP), щелкните Запрос должен содержать атрибут средства проверки подлинности сообщения. EAP по умолчанию использует атрибут Message-Authenticator.
- Убедитесь, что номера портов аутентификации и учета верны для вашего развертывания.
- Если вы используете другой общий секрет для учета, в разделе "Учет" снимите флажок "Использовать тот же общий секрет для проверки подлинности и учета", а затем введите общий секрет учета в полях "Общий секрет" и "Подтвердить общий секрет".
- Если вы не хотите пересылать сообщения о запуске и остановке сервера сетевого доступа на удаленный сервер RADIUS, снимите флажок Перенаправлять уведомления о запуске и остановке сервера сетевого доступа на этот сервер.
Дополнительные сведения об управлении NPS см. в разделе Управление сервером политик сети.
В этом разделе можно настроить серверы доступа к сети в качестве клиентов RADIUS в NPS.
При добавлении в сеть нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора аутентификации или удаленного доступа) необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить RADIUS-клиент. для связи с NPS.
Клиентские компьютеры и устройства, такие как ноутбуки, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS — это серверы доступа к сети, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальной частной сети (VPN) и серверы коммутируемого доступа, поскольку они используют протокол RADIUS для связи с серверами RADIUS, такими как сервер политики сети. (NPS) серверов.
Этот шаг также необходим, если ваш NPS является членом группы удаленных серверов RADIUS, настроенной на прокси-сервере NPS. В этом случае помимо выполнения шагов этой задачи на прокси-сервере NPS необходимо выполнить следующие действия:
- На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS.
- На удаленном NPS настройте прокси-сервер NPS в качестве клиента RADIUS.
Для выполнения процедур, описанных в этом разделе, в вашей сети должен быть физически установлен хотя бы один сервер сетевого доступа (VPN-сервер, точка беспроводного доступа, коммутатор аутентификации или удаленный доступ) или прокси-сервер NPS.
Настройка сервера доступа к сети
Используйте эту процедуру, чтобы настроить серверы доступа к сети для использования с NPS. При развертывании серверов доступа к сети (NAS) в качестве клиентов RADIUS необходимо настроить клиентов для связи с NPS, где NAS настроены как клиенты.
Эта процедура содержит общие рекомендации по параметрам, которые следует использовать для настройки сетевых хранилищ. конкретные инструкции по настройке устройства, которое вы развертываете в своей сети, см. в документации по продукту NAS.
Чтобы настроить сервер доступа к сети
- На NAS в настройках RADIUS выберите аутентификацию RADIUS на порту 1812 протокола пользовательских дейтаграмм (UDP) и учет RADIUS на порту UDP 1813.
- На сервере аутентификации или сервере RADIUS укажите NPS по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS.
- В поле «Секрет» или «Общий секрет» введите надежный пароль. При настройке NAS в качестве клиента RADIUS в NPS вы будете использовать тот же пароль, поэтому не забывайте его.
- Если вы используете PEAP или EAP в качестве метода аутентификации, настройте NAS на использование аутентификации EAP.
- Если вы настраиваете точку беспроводного доступа, в SSID укажите идентификатор набора служб (SSID), который представляет собой буквенно-цифровую строку, служащую именем сети. Это имя передается точками доступа беспроводным клиентам и отображается для пользователей в ваших точках доступа Wi-Fi.
- Если вы настраиваете точку беспроводного доступа в 802.1X и WPA, включите аутентификацию IEEE 802.1X, если вы хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS.
Добавить сервер доступа к сети в качестве клиента RADIUS в NPS
Используйте эту процедуру, чтобы добавить сервер доступа к сети в качестве клиента RADIUS в NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS.
Чтобы выполнить эту процедуру, вы должны быть членом группы администраторов.
Чтобы добавить сервер доступа к сети в качестве клиента RADIUS в NPS
- На NPS в Диспетчере серверов щелкните Инструменты, а затем щелкните Сервер политики сети. Откроется консоль NPS.
- В консоли NPS дважды щелкните Клиенты и серверы RADIUS. Щелкните правой кнопкой мыши Клиенты RADIUS и выберите Новый клиент RADIUS.
- Убедитесь, что в окне "Новый клиент RADIUS" установлен флажок "Включить этот клиент RADIUS".
- В новом клиенте RADIUS в поле Понятное имя введите отображаемое имя для NAS. В поле Адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). Если вы вводите полное доменное имя, нажмите «Подтвердить», если вы хотите убедиться, что имя правильное и сопоставляется с допустимым IP-адресом.
- В Новом клиенте RADIUS в поле Поставщик укажите имя производителя NAS. Если вы не уверены в имени производителя NAS, выберите стандарт RADIUS.
- В Новом клиенте RADIUS в разделе Общий секрет выполните одно из следующих действий:
- Убедитесь, что выбран вариант «Вручную», а затем в поле «Общий секрет» введите надежный пароль, который также введен на NAS. Повторно введите общий секрет в поле Подтвердить общий секрет.
- Выберите «Создать», а затем нажмите «Создать», чтобы автоматически сгенерировать общий секрет. Сохраните созданный общий секрет для настройки на NAS, чтобы он мог обмениваться данными с NPS.
- В новом клиенте RADIUS в дополнительных параметрах, если вы используете какие-либо методы аутентификации, отличные от EAP и PEAP, и если ваш NAS поддерживает использование атрибута проверки подлинности сообщения, выберите Сообщения запроса доступа должны содержать атрибут проверки подлинности сообщения. ли>
- Нажмите "ОК". Ваш NAS появится в списке клиентов RADIUS, настроенных на NPS.
Настройка клиентов RADIUS по диапазону IP-адресов в центре обработки данных Windows Server 2016
Если вы используете Windows Server 2016 Datacenter, вы можете настроить RADIUS-клиенты в NPS по диапазону IP-адресов. Это позволяет одновременно добавлять большое количество клиентов RADIUS (например, точек беспроводного доступа) в консоль NPS, а не добавлять каждого клиента RADIUS по отдельности.
Вы не можете настроить клиентов RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard.
Используйте эту процедуру, чтобы добавить группу серверов доступа к сети (NAS) в качестве клиентов RADIUS, для которых все настроены IP-адреса из одного диапазона IP-адресов.
Все клиенты RADIUS в диапазоне должны использовать одинаковую конфигурацию и общий секрет.
Чтобы выполнить эту процедуру, вы должны быть членом группы администраторов.
Вы можете использовать этот раздел для обзора Network Policy Server в Windows Server 2016 и Windows Server 2019. NPS устанавливается при установке функции Network Policy and Access Services (NPAS) в Windows Server 2016 и Server 2019. р>
В дополнение к этому разделу доступна следующая документация по NPS.
Сервер политики сети (NPS) позволяет создавать и применять политики сетевого доступа в масштабах всей организации для проверки подлинности и авторизации запросов на подключение.
Вы также можете настроить сервер политики сети в качестве прокси-сервера службы удаленной аутентификации пользователей (RADIUS) для перенаправления запросов на подключение на удаленный сервер политики сети или другой сервер RADIUS, чтобы можно было сбалансировать нагрузку запросов на подключение и перенаправить их в правильный домен для проверки подлинности. и авторизация.
NPS позволяет централизованно настраивать и управлять проверкой подлинности, авторизацией и учетом сетевого доступа с помощью следующих функций:
- RADIUS-сервер.Сервер политики сети выполняет централизованную проверку подлинности, авторизацию и учет для беспроводных сетей, коммутаторов с проверкой подлинности, удаленного доступа и подключений к виртуальной частной сети (VPN). При использовании NPS в качестве RADIUS-сервера вы настраиваете серверы сетевого доступа, такие как точки беспроводного доступа и VPN-серверы, в качестве RADIUS-клиентов в NPS. Вы также настраиваете сетевые политики, которые NPS использует для авторизации запросов на подключение, и можете настроить учет RADIUS, чтобы NPS регистрировал учетную информацию в файлах журнала на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. в разделе Сервер RADIUS.
- RADIUS-прокси. Когда вы используете NPS в качестве прокси-сервера RADIUS, вы настраиваете политики запросов на подключение, которые сообщают NPS, какие запросы на подключение следует пересылать на другие серверы RADIUS и на какие серверы RADIUS вы хотите перенаправлять запросы на подключение. Вы также можете настроить NPS для пересылки данных учета для регистрации одним или несколькими компьютерами в группе удаленных серверов RADIUS. Чтобы настроить NPS в качестве прокси-сервера RADIUS, см. следующие разделы. Дополнительные сведения см. в разделе прокси-сервер RADIUS.
Защита доступа к сети (NAP), центр регистрации работоспособности (HRA) и протокол авторизации учетных данных хоста (HCAP) устарели в Windows Server 2012 R2 и недоступны в Windows Server 2016. Если у вас есть развертывание NAP с использованием операционной системах, предшествующих Windows Server 2016, вы не можете перенести развертывание NAP на Windows Server 2016.
Вы можете настроить NPS с любой комбинацией этих функций. Например, вы можете настроить один NPS в качестве сервера RADIUS для VPN-подключений, а также в качестве прокси-сервера RADIUS для пересылки некоторых запросов на подключение членам группы удаленных серверов RADIUS для проверки подлинности и авторизации в другом домене.
Выпуски Windows Server и NPS
NPS предоставляет различные функции в зависимости от установленной версии Windows Server.
Windows Server 2016 или Windows Server 2019 Standard/Datacenter Edition
С помощью NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное количество клиентов RADIUS и групп удаленных серверов RADIUS. Кроме того, вы можете настроить клиентов RADIUS, указав диапазон IP-адресов.
Функция сетевых политик и служб доступа WIndows недоступна в системах, на которых установлена опция установки Server Core.
В следующих разделах представлена более подробная информация о NPS в качестве RADIUS-сервера и прокси-сервера.
RADIUS-сервер и прокси
Вы можете использовать NPS в качестве сервера RADIUS, прокси-сервера RADIUS или того и другого.
RADIUS-сервер
NPS — это реализация Майкрософт стандарта RADIUS, указанная Инженерной группой Интернета (IETF) в документах RFC 2865 и 2866. Будучи сервером RADIUS, NPS выполняет централизованную проверку подлинности, авторизацию и учет при подключении для многих типов доступа к сети, включая беспроводную связь, коммутатор с проверкой подлинности, коммутируемый доступ и удаленный доступ к виртуальной частной сети (VPN), а также соединения маршрутизатор-маршрутизатор.
Информацию о развертывании NPS в качестве сервера RADIUS см. в разделе Развертывание сервера политик сети.
NPS позволяет использовать разнородный набор оборудования для беспроводной связи, коммутаторов, удаленного доступа или VPN. Вы можете использовать NPS со службой удаленного доступа, доступной в Windows Server 2016.
NPS использует домен доменных служб Active Directory (AD DS) или локальную базу данных учетных записей пользователей Security Accounts Manager (SAM) для аутентификации учетных данных пользователя при попытках подключения. Когда сервер, на котором работает NPS, является членом домена AD DS, NPS использует службу каталогов в качестве своей базы данных учетных записей пользователей и является частью решения единого входа. Один и тот же набор учетных данных используется для управления доступом к сети (проверка подлинности и авторизация доступа к сети) и для входа в домен AD DS.
NPS использует свойства коммутируемого доступа учетной записи пользователя и сетевых политик для авторизации подключения.
Провайдеры интернет-услуг (ISP) и организации, обеспечивающие доступ к сети, сталкиваются с повышенной проблемой управления всеми типами доступа к сети из единой точки администрирования, независимо от типа используемого оборудования для доступа к сети. Стандарт RADIUS поддерживает эту функциональность как в гомогенных, так и в гетерогенных средах. RADIUS – это протокол клиент-сервер, который позволяет оборудованию доступа к сети (используемому в качестве клиентов RADIUS) отправлять запросы аутентификации и учета на сервер RADIUS.
Сервер RADIUS имеет доступ к информации об учетной записи пользователя и может проверять учетные данные для аутентификации при доступе к сети. Если учетные данные пользователя аутентифицированы и попытка подключения разрешена, сервер RADIUS разрешает доступ пользователя на основе указанных условий, а затем регистрирует подключение к сети в журнале учета. Использование RADIUS позволяет собирать и хранить данные аутентификации, авторизации и учета пользователей сетевого доступа в центральном расположении, а не на каждом сервере доступа.
Использование NPS в качестве сервера RADIUS
Вы можете использовать NPS в качестве RADIUS-сервера, когда:
- Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетных записей пользователей для клиентов доступа.
- Вы используете удаленный доступ на нескольких серверах удаленного доступа, VPN-серверах или маршрутизаторах вызова по требованию и хотите централизовать как настройку сетевых политик, так и ведение журнала подключений и учет.
- Вы передаете коммутируемый доступ, VPN или беспроводной доступ на аутсорсинг поставщику услуг. Серверы доступа используют RADIUS для проверки подлинности и авторизации соединений, установленных членами вашей организации.
- Вы хотите централизовать аутентификацию, авторизацию и учет для разнородного набора серверов доступа.
На следующем рисунке показан сервер политики сети в качестве RADIUS-сервера для различных клиентов доступа.
RADIUS-прокси
Являясь прокси-сервером RADIUS, сервер политики сети пересылает сообщения проверки подлинности и учета на сервер политики сети и другие серверы RADIUS. Вы можете использовать NPS в качестве прокси-сервера RADIUS, чтобы обеспечить маршрутизацию сообщений RADIUS между клиентами RADIUS (также называемыми серверами доступа к сети) и серверами RADIUS, которые выполняют проверку подлинности пользователей, авторизацию и учет попыток подключения.
При использовании в качестве прокси-сервера RADIUS NPS представляет собой центральную точку коммутации или маршрутизации, через которую проходят сообщения доступа и учета RADIUS. Сервер политики сети записывает в журнал учета информацию о пересылаемых сообщениях.
Использование NPS в качестве прокси-сервера RADIUS
Вы можете использовать NPS в качестве прокси-сервера RADIUS, когда:
- Вы являетесь поставщиком услуг, который предлагает аутсорсинговые услуги коммутируемого доступа, VPN или доступа к беспроводной сети нескольким клиентам. Ваши NAS отправляют запросы на подключение к прокси-серверу NPS RADIUS. На основе области имени пользователя в запросе на подключение прокси-сервер NPS RADIUS перенаправляет запрос на подключение на сервер RADIUS, который обслуживается клиентом, и может аутентифицировать и авторизовать попытку подключения.
- Вы хотите обеспечить проверку подлинности и авторизацию для учетных записей пользователей, которые не являются членами домена, членом которого является NPS, или другого домена, имеющего двустороннее доверие с доменом, членом которого является NPS. Сюда входят учетные записи в недоверенных доменах, односторонних доверенных доменах и других лесах. Вместо того чтобы настраивать серверы доступа для отправки запросов на подключение к серверу NPS RADIUS, вы можете настроить их для отправки запросов на подключение к прокси-серверу NPS RADIUS. Прокси-сервер NPS RADIUS использует часть имени области имени пользователя и перенаправляет запрос серверу политики сети в правильном домене или лесу. Попытки подключения для учетных записей пользователей в одном домене или лесу могут быть аутентифицированы для NAS в другом домене или лесу.
- Вы хотите выполнить аутентификацию и авторизацию с использованием базы данных, отличной от базы данных учетных записей Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данных авторизации. Примеры других пользовательских баз данных включают службы каталогов Novell (NDS) и базы данных Structured Query Language (SQL).
- Вы хотите обработать большое количество запросов на подключение. В этом случае вместо того, чтобы настраивать RADIUS-клиенты так, чтобы они пытались сбалансировать свои запросы на подключение и учетные данные между несколькими серверами RADIUS, вы можете настроить их для отправки своих запросов на подключение и учетные данные на прокси-сервер NPS RADIUS. Прокси-сервер NPS RADIUS динамически распределяет нагрузку запросов на подключение и учетные данные между несколькими серверами RADIUS и увеличивает скорость обработки большого количества клиентов RADIUS и проверок подлинности в секунду.
- Вы хотите обеспечить аутентификацию и авторизацию RADIUS для сторонних поставщиков услуг и свести к минимуму настройку брандмауэра интрасети. Брандмауэр интрасети находится между вашей сетью периметра (сеть между вашей интрасетью и Интернетом) и интрасетью. При размещении сервера политики сети в сети периметра брандмауэр между сетью периметра и интрасетью должен разрешать трафик между сервером политики сети и несколькими контроллерами домена. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешать только трафик RADIUS между прокси-сервером NPS и одним или несколькими NPS в вашей интрасети.
На следующем рисунке показан NPS в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.
С помощью NPS организации также могут передать инфраструктуру удаленного доступа поставщику услуг, сохраняя при этом контроль над аутентификацией, авторизацией и учетом пользователей.
Конфигурации NPS можно создавать для следующих сценариев:
- Беспроводной доступ
- Коммутируемый доступ организации или удаленный доступ к виртуальной частной сети (VPN)
- Аутсорсинг коммутируемого или беспроводного доступа
- Доступ в Интернет
- Аутентифицированный доступ к ресурсам экстрасети для деловых партнеров
Примеры конфигурации сервера RADIUS и прокси-сервера RADIUS
В следующих примерах конфигурации показано, как настроить NPS в качестве сервера RADIUS и прокси-сервера RADIUS.
NPS в качестве RADIUS-сервера. В этом примере сервер политики сети настроен как сервер RADIUS, политика запросов на подключение по умолчанию является единственной настроенной политикой, и все запросы на подключение обрабатываются локальным сервером политики сети. NPS может аутентифицировать и авторизовать пользователей, чьи учетные записи находятся в домене NPS и в доверенных доменах.
NPS в качестве прокси-сервера RADIUS. В этом примере сервер политики сети настроен как прокси-сервер RADIUS, который перенаправляет запросы на подключение к группам удаленных серверов RADIUS в двух ненадежных доменах. Политика запросов на подключение по умолчанию удаляется, и создаются две новые политики запросов на подключение для пересылки запросов в каждый из двух ненадежных доменов. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.
NPS как сервер RADIUS и прокси-сервер RADIUS. В дополнение к политике запросов на подключение по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запросов на подключение, которая перенаправляет запросы на подключение на сервер политики сети или другой сервер RADIUS в недоверенном домене. Эта вторая политика называется политикой прокси. В этом примере политика прокси появляется первой в упорядоченном списке политик. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется на сервер RADIUS в группе удаленных серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запросов на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из политик, он отклоняется.
NPS в качестве RADIUS-сервера с удаленными серверами учета. В этом примере локальный сервер политики сети не настроен для выполнения учета, а политика запросов на подключение по умолчанию изменена таким образом, что сообщения учета RADIUS перенаправляются на сервер политики сети или другой сервер RADIUS в группе удаленных серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.
NPS с удаленным сопоставлением пользователей RADIUS и Windows. В этом примере NPS действует как сервер RADIUS и как прокси-сервер RADIUS для каждого отдельного запроса на подключение, перенаправляя запрос проверки подлинности на удаленный сервер RADIUS, используя для авторизации локальную учетную запись пользователя Windows. Эта конфигурация реализуется путем настройки атрибута Remote RADIUS to Windows User Mapping в качестве условия политики запросов на подключение. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS с тем же именем, что и у учетной записи удаленного пользователя, для которой удаленный сервер RADIUS выполняет аутентификацию.)
Конфигурация
Чтобы настроить NPS в качестве RADIUS-сервера, можно использовать либо стандартную, либо расширенную конфигурацию в консоли NPS или в диспетчере серверов. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную настройку.
Стандартная конфигурация
При стандартной конфигурации предоставляются мастера, помогающие настроить NPS для следующих сценариев:
- RADIUS-сервер для удаленного доступа или VPN-подключений
- RADIUS-сервер для беспроводных и проводных подключений 802.1X
Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев, а затем щелкните ссылку, открывающую мастер.
Расширенная настройка
При использовании расширенной конфигурации вы вручную настраиваете NPS в качестве сервера RADIUS или прокси-сервера RADIUS.
Чтобы настроить сервер политики сети с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с элементом "Дополнительная конфигурация", чтобы развернуть этот раздел.
Предоставляются следующие расширенные элементы конфигурации.
Настроить сервер RADIUS
Чтобы настроить NPS в качестве RADIUS-сервера, необходимо настроить RADIUS-клиенты, сетевую политику и учет RADIUS.
Инструкции по настройке этих параметров см. в следующих разделах.
Настроить прокси-сервер RADIUS
Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, группы удаленных серверов RADIUS и политики запросов на подключение.
Инструкции по настройке этих параметров см. в следующих разделах.
Ведение журнала NPS
Ведение журнала NPS также называется учетом RADIUS. Настройте ведение журнала NPS в соответствии со своими требованиями, используется ли NPS в качестве RADIUS-сервера, прокси-сервера или любой комбинации этих конфигураций.
Чтобы настроить ведение журнала NPS, необходимо указать, какие события вы хотите регистрировать и просматривать с помощью средства просмотра событий, а затем определить, какую другую информацию вы хотите регистрировать. Кроме того, вы должны решить, хотите ли вы регистрировать информацию об аутентификации и учетных данных пользователей в текстовых файлах журнала, хранящихся на локальном компьютере, или в базе данных SQL Server на локальном или удаленном компьютере.
Настройка надежной и безопасной беспроводной сети — ключевая часть современной инфраструктуры. Это всегда было необходимостью, но с массовым распространением BYOD и корпоративных мобильных устройств это стало необходимостью.
Имея это в виду, наличие способа аутентификации пользователей без индивидуального ввода общего беспроводного ключа позволяет значительно сэкономить время и повысить безопасность. Если кто-то узнает, что такое предварительный общий ключ, и поделится им (при условии, что у вас нет других средств безопасности (фильтрация MAC-адресов, VLAN и т. д.)), кто угодно сможет получить доступ к вашей сети.
Именно здесь проявляются преимущества аутентификации RADIUS. RADIUS — не новая технология, она существует уже много лет. Однако это по-прежнему очень эффективный способ контроля доступа к сети. Помимо использования его для аутентификации пользователей в беспроводной сети, он может использоваться и используется для тех же целей в VPN и проводных подключениях.
Для использования в беспроводной сети точки беспроводного доступа должны поддерживать безопасность WPA/WAP2 Enterprise. Они будут действовать как ваши клиенты RADIUS, отправляя любые запросы аутентификации для доступа к беспроводной сети на сервер RADIUS для выполнения AAA (аутентификации, авторизации и учета).
Вам также потребуется сервер для работы в качестве сервера аутентификации RADIUS. Это будет обрабатывать запросы на основе политик и условий, которые вы настраиваете, чтобы решить, может ли клиент подключиться к беспроводной сети или нет. Вы также можете настроить сервер учета RADIUS, который будет вести журнал всех запросов на доступ.
После настройки он будет разрешать или запрещать пользователям доступ к беспроводной сети с использованием их учетных записей Active Directory. Это устраняет необходимость вводить общий ключ на каждом устройстве, что снижает риск его получения неавторизованными сторонами.
Другим важным преимуществом этого является то, что его можно настроить так, чтобы учетные записи компьютеров вашего домена проходили автоматическую аутентификацию. Это означает, что они могут подключаться к вашему Wi-Fi без необходимости вручную подключать каждое устройство. Профиль Wi-Fi также можно передать с помощью групповой политики или SCCM, обеспечивающих централизованное управление (однако это зависит от начального подключения к сети для получения обновления).
Для этой настройки я буду использовать сервер Windows Server 2016 с установленными службами сетевой политики и доступа. Однако, поскольку RADIUS является стандартом, вы можете достичь той же цели с сервером LINUX, используя такой продукт, как «FreeRADIUS».
Прежде чем начать процесс, полезно сначала отсортировать SSL-сертификат. В этом примере я запросил сертификат у нашего внутреннего центра сертификации для использования на сервере RADIUS. Это означает, что ему уже доверяют все машины в домене. Однако вы можете использовать самозаверяющий SSL-сертификат по умолчанию, который сервер генерирует для первоначальной настройки и тестирования.
Первое, что нужно сделать, это установить роль сервера «Службы сетевой политики и доступа», выполнив следующие действия. В диспетчере серверов нажимайте «Добавить роли и функции» и нажимайте «Далее», пока не дойдете до страницы «Роли сервера». Оказавшись здесь, выберите «Сетевая политика и службы доступа»:
После того, как вы выбрали это, вам будет предложено добавить зависимые функции для работы роли, нажмите «Добавить функции»:
Нажимайте «Далее», пока не дойдете до страницы «Подтвердить выбор установки», и нажмите «Установить»:
После завершения установки откройте «Сервер политики сети» в меню «Пуск»:
Первое, что мы хотим сделать, это зарегистрировать этот NPS в нашем активном каталоге. Мы делаем это, щелкнув правой кнопкой мыши верхнюю часть дерева и выбрав «Зарегистрировать сервер в Active Directory»:
(В этом примере он отображается серым цветом, потому что я уже выполнил этот шаг)
Далее мы хотим создать шаблон для ваших общих секретов.Всем клиентам RADIUS, которые будут аутентифицироваться на сервере, потребуется этот общий секрет, чтобы они могли аутентифицироваться. В долгосрочной перспективе проще создать шаблон с этим, чтобы не вводить его на каждом настроенном нами клиенте RADIUS.
Разверните «Управление шаблонами», щелкните правой кнопкой мыши «Общие секреты» и выберите «Создать»:
Дайте шаблону имя и либо введите собственный общий секрет, либо нажмите круговую кнопку «Создать», а затем нажмите «Создать» внизу.
Запишите общий секрет, он понадобится позже.
Это создаст его, как показано ниже. Если вы наведете указатель мыши на желтый предупреждающий знак, вы увидите сообщение о том, что для некоторых клиентов это может быть слишком долго. В этом случае вы можете сократить общий секрет до более подходящего размера или создать свой собственный. Нажмите «ОК», чтобы сохранить:
Далее в разделе «Клиенты и серверы RADIUS» щелкните правой кнопкой мыши «Клиенты RADIUS» и выберите «Создать»:
Заполните это соответствующей информацией, в разделе «Адрес» введите IP-адрес вашего первого клиента RADIUS. Это будет адрес ваших первых беспроводных точек доступа. В разделе «Общий секрет» выберите шаблон, который мы создали ранее, и нажмите «ОК»:
Повторите этот процесс для любой из ваших беспроводных точек доступа, которые вы хотите использовать в качестве клиентов RADIUS. Как только вы это сделаете, все добавленные вами будут перечислены:
Теперь, когда все клиенты RADIUS настроены, нам нужно настроить политику доступа. Выбрав верхнюю часть дерева, справа в разделе «Стандартная конфигурация» вам нужно выбрать «Сервер RADIUS для беспроводных или проводных подключений 802.1X» из раскрывающегося списка, а затем нажать «Настроить 802.1X» ниже: р>
Выберите «Безопасные беспроводные соединения», дайте ему подходящее имя внизу и нажмите «Далее»:
На следующем экране вы должны увидеть список клиентов RADIUS, которые мы настроили ранее, поэтому здесь нам ничего делать не нужно. Нажмите «Далее»:
В раскрывающемся списке выберите «Microsoft: Protected EAP (PEAP)», а затем нажмите «Настроить»:
Здесь вы можете указать сертификат, который хотите использовать для защиты соединения, используя раскрывающееся меню. Я уже запросил сертификат для этой цели, которую я выбрал. Однако пока вы можете использовать самоподписанный по умолчанию. Нажмите «ОК», а затем нажмите «Далее»:
На этом этапе вы можете указать, каким доменным группам будет предоставлен доступ к беспроводной сети. Нажмите «Добавить» и найдите все группы доменов, которые вы хотите добавить, а затем нажмите «Далее»:
На последней странице подтвердите свои настройки и нажмите «Готово»:
Теперь в разделе «Сетевые политики» вы увидите, что была создана новая политика:
Если вы дважды щелкните эту политику, вы увидите действующие настройки:
На вкладке «Условия» вы можете увидеть, какие условия необходимы для подключения к беспроводной сети. В этом примере будет авторизован любой, кто является членом группы DOMAIN\Staff.
На этом этапе вы можете добавлять, редактировать или удалять группы с помощью кнопок ниже. Если бы мы добавили группу ДОМЕН\Компьютеры домена, любая машина в сети могла бы аутентифицироваться и подключаться к беспроводной сети со своей учетной записью машины:
Чтобы сделать еще один шаг, вы можете создать другую политику для запрета доступа к беспроводной сети. Самый простой способ создать еще одну политику — продублировать первую. Для этого щелкните правой кнопкой мыши первую политику и выберите «Дублировать политику»:
В разделе «Обзор» установите флажок «Политика включена» и измените «Разрешение на доступ» на «Запретить доступ»:
На вкладке «Условия» щелкните текущую группу окон и нажмите «Изменить». Удалите группу DOMAIN\Staff и добавьте группу, содержащую пользователей, которым вы не хотите предоставлять доступ к беспроводной сети. Нажмите «ОК», а затем еще раз «ОК»:
На странице «Сетевые политики» щелкните правой кнопкой мыши только что созданную политику отказа и переместите ее наверх, если ее еще нет, чтобы она имела порядок обработки «1».
Политики обрабатываются сверху вниз, поэтому политика отказа будет обработана первой. Отказ любому пользователю, который соответствует условиям политики, даже если он также является членом группы, указанной в политике разрешения:
На этом этапе вы можете щелкнуть раздел «Учет» и включить этот сервер RADIUS в качестве сервера учета, сохраняя журналы любых запросов на подключение. Это либо файл журнала, либо база данных SQL.
Следующим шагом является настройка точек беспроводного доступа для передачи запросов аутентификации на наш недавно настроенный сервер RADIUS. Настройка и процесс будут различаться в зависимости от марки используемой точки доступа.
Я собираюсь использовать систему Ubiquiti UniFi. Все они управляются централизованно, поэтому настройка отдельных точек доступа не требуется, поскольку все изменения передаются в каждую точку доступа центральным контроллером. Однако, если вы используете торговую марку, требующую отдельной настройки каждой точки доступа, вам придется сделать то же самое для каждой из них.
В системе UniFi после входа в контроллер я выбираю «Настройки» > «Профили» и нажимаю «Создать новый профиль RADIUS».
Дайте профилю подходящее имя и введите IP-адрес сервера аутентификации RADIUS, который мы только что настроили, вместе с общим секретом, который мы создали с ним. У меня также есть возможность добавить сервер учета RADIUS (если вы его настроили), который находится по тому же адресу, что и сервер аутентификации, и нажать «Сохранить»:
В разделе «Настройки» > «Беспроводные сети» я могу добавить новую беспроводную сеть, нажав «Создать новую беспроводную сеть». Укажите подходящее имя для вашей беспроводной сети (SSID), установите флажок «Включить», измените «Безопасность» на «WPA Enterprise», выберите «Профиль RADIUS», который мы создали на последнем шаге, и нажмите «Сохранить»: р>
Эти настройки теперь доступны для всех точек беспроводного доступа в этой группе беспроводных сетей, то есть для меня это все точки доступа.
Теперь беспроводная сеть видна, и мы можем попытаться подключиться как обычно:
Теперь введите имя пользователя и пароль для действительной учетной записи домена, которая является членом группы, которую вы указали ранее в разрешающей политике.
В зависимости от модели телефона на этом этапе вы получите больше или меньше деталей. На телефоне Android вам необходимо вручную указать сертификат центра сертификации при подключении к сети, который будет проверять сертификат сервера, который мы выбрали ранее в процессе настройки. Это должно быть установлено вручную в первую очередь. В целях тестирования вы можете использовать раскрывающийся список и выбрать «Не проверять»:
На устройстве iOS вначале вас просто попросят ввести имя пользователя и пароль, а затем спросят, доверяете ли вы сертификату сервера. Если вы предварительно установили сертификат ЦС и включили для него полное доверие, вас не спросят.
Если все данные верны, устройство подключится к беспроводной сети так же, как и к любой другой:
Для любых устройств, присоединенных к домену Windows, таких как планшеты или ноутбуки, у вас будет 2 варианта подключения в зависимости от вашей настройки.
Во-первых, если вы ранее указали ДОМЕН\Компьютеры домена в условиях разрешенной политики, устройства смогут проходить аутентификацию, используя свои учетные записи компьютеров.
Вы можете просто щелкнуть беспроводную сеть, и она без проблем подключится к аутентификации в фоновом режиме со своей учетной записью компьютера. Используя групповую политику или SCCM, вы можете централизованно развернуть профиль беспроводной сети, чтобы каждое устройство Windows подключалось автоматически без вмешательства пользователя. Однако для этого требуется начальное подключение к сети (проводной или беспроводной) для получения обновления GPO или SCCM.
Если вы не указали группу ДОМЕН\Компьютеры домена ранее, для доступа к сети требуется учетная запись пользователя. Второй вариант — когда пользователь пытается подключиться к беспроводной сети, ему будет предложено ввести имя пользователя и пароль. Если они уже вошли в систему как пользователь домена, они могут выбрать вариант подключения с использованием текущего пользователя, вошедшего в систему. При условии, что пользователь является членом правильной группы, устройство будет подключаться к беспроводной сети, аутентифицируясь с использованием учетных данных этого пользователя.
Устранение необходимости в предварительном общем ключе дает вам гораздо больше контроля над тем, кто имеет доступ к вашей беспроводной сети. Другие условия могут быть указаны в политике, а также в группах Windows, таких как время суток, диапазоны IP-адресов и т. д. Если пользователь уходит или скомпрометирован, его учетная запись может быть отключена или его пароль изменен, чтобы запретить ему дальнейший доступ к беспроводной сети. . Политики могут быть адаптированы к вашим конкретным потребностям, что дает вам гораздо больше гибкости.
Читайте также: