Настройка Windows 2012 r2 сервера Radius
Обновлено: 21.11.2024
RADIUS (Remote Authentication in Dial-In User Service) — это сетевой протокол для реализации аутентификации, авторизации и сбора информации об используемых ресурсах. Он предназначен для передачи информации между центральной платформой и сетевыми клиентами/устройствами. Ваш сервер удаленного доступа (RADIUS) может связываться с центральным сервером/службой (например, с контроллером домена Active Directory) для аутентификации удаленных клиентов с телефонным подключением и предоставления им доступа к некоторым сетевым службам или ресурсам. Благодаря этому вы можете использовать единую централизованную систему аутентификации в своем домене.
В этой статье мы покажем, как настроить централизованный сервер RADIUS на базе ОС Windows Server 2016 и как настроить аутентификацию RADIUS на устройствах Cisco с помощью службы Network Policy Server (NPS). В этом примере RADIUS будет использовать AD для аутентификации удаленных пользователей и предоставления им доступа к коммутаторам и маршрутизаторам Cisco (действующим в качестве клиентов RADIUS) через интерфейс командной строки.
Установка роли Radius Server (NPS) в Windows Server 2016
Сначала создайте новую группу безопасности в домене Active Directory (например, RemoteCiscoUsers), в которую нужно будет добавить всех пользователей, которым будет разрешено проходить аутентификацию на маршрутизаторах и коммутаторах Cisco (как добавить пользователя в Active Directory Группа каталогов?).
Начиная с Windows Server 2008 R2, функции сервера RADIUS были реализованы с помощью роли служб политики сети (NPS). С ролью NPS вы можете аутентифицировать удаленных клиентов в Active Directory, используя протокол Radius.
Итак, вам необходимо установить роль сервера RADIUS на Windows Server 2016. Откройте консоль диспетчера серверов и запустите мастер добавления ролей и компонентов. Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2016 является частью роли сервера политики сети. В появившемся мастере выберите роль Network Policy and Access Services на шаге выбора роли.
Примечание. Кроме того, вы можете установить роль NPS и инструменты управления из консоли PowerShell с повышенными привилегиями:
После завершения установки роли откройте Network Policy Server (nps.msc) в меню "Инструменты".
Чтобы использовать сервер NPS в домене, необходимо зарегистрировать его в Active Directory. В оснастке NPS щелкните правой кнопкой мыши корень и выберите Зарегистрировать сервер в Active Directory.
Подтвердите регистрацию сервера в Active Directory.
Кроме того, вы можете зарегистрировать свой сервер NPS в Active Directory с помощью команды:
В этом случае серверу будет предоставлено право считывать свойства учетных записей пользователей Active Directory для аутентификации пользователей. Сервер будет добавлен во встроенную доменную группу Серверы RAS и IAS.
Теперь вы можете добавить клиент Radius. Клиент Radius — это устройство, с которого ваш сервер будет получать запросы аутентификации. В данном примере это может быть маршрутизатор Cisco, коммутатор, точка доступа Wi-Fi и т. д.
Чтобы добавить новый клиент Radius, разверните раздел "Клиенты и серверы RADIUS" в дереве консоли NPS и выберите "Создать" в элементе "Клиенты RADIUS".
На вкладке «Настройки» заполните поля «Дружественное имя», «Адрес клиента» (можно указать IP-адрес или DNS-имя) и «Общий секрет» + «Подтверждение общего пароля» (этот пароль будет использоваться при настройке коммутатора/маршрутизатора Cisco). .
Примечание. Общий секретный пароль редко используется в крупных корпоративных сетях из-за проблем с распространением общих ключей. Вместо общих паролей рекомендуется использовать сертификаты. Если у вас есть корпоративный центр сертификации, развернутый для реализации инфраструктуры PKI, вы можете запросить и импортировать сертификат *.p12 для сервера Radius/NPS. Просто добавьте сертификат в личное хранилище сертификатов на локальном компьютере.
На вкладке «Дополнительно» выберите «Имя поставщика» — Cisco.
Вы можете использовать команду PowerShell вместо графического интерфейса NPS, чтобы добавить новый клиент RADIUS. В этом случае вы можете использовать командлет PowerShell New-NpsRadiusClient.
Настройка политик NPS на сервере RADIUS
Политики NPS позволяют аутентифицировать удаленных пользователей и предоставлять им разрешения на доступ, настроенные в роли NPS. С помощью политик доступа NPS можно сделать привязку к записям клиента RADIUS и группе безопасности домена, определяющей уровень доступа к устройствам CISCO.
На RADIUS-сервере существует два типа политик:
- Политики запросов на подключение — эти политики определяют набор условий, определяющих, какие серверы RADIUS должны аутентифицировать и авторизовать запросы на подключение, полученные от клиентов RADIUS;
- Сетевые политики — набор условий и параметров, позволяющих указать, кто имеет право подключаться к вашей сети, и список назначенных разрешений на доступ. Эти политики обрабатываются последовательно сверху вниз;
В нашем случае мы будем использовать только политики сети NPS. Разверните ветку Policies > Network Policies и выберите New:
Укажите имя политики, тип сервера доступа к сети должен остаться без изменений (не указан).
На следующем шаге Укажите условия вам нужно добавить условия, при которых будет применяться эта политика RADIUS. Добавим два условия — авторизованный пользователь должен быть членом определенной группы безопасности домена, а устройство, к которому вы хотите получить доступ, имеет определенное имя. Используйте кнопку «Добавить», чтобы создать новое условие, выбрав тип группы Windows (добавьте группу RemoteCiscoUsers) и укажите понятное имя клиента (Cisco_*).
Примечание. Поле Client Friendly Name может отличаться от DNS-имени вашего устройства. Он понадобится нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа — Remote Access Policy. С помощью этого имени можно указать, например, маску, по которой несколько разных RADIUS-клиентов будут обрабатываться одной политикой доступа.
На следующем экране выберите Доступ разрешен.
Поскольку наш коммутатор Cisco поддерживает только незашифрованный метод аутентификации (PAP, SPAP), мы уберем все остальные параметры.
Пропустите следующий шаг настройки ограничений.
В разделе «Настройка параметров» перейдите в раздел «Атрибуты RADIUS» > «Стандартный». Удалите существующие атрибуты и нажмите кнопку "Добавить".
Выберите Тип доступа > Все, затем Тип службы > Добавить. Укажите Другие = Логин.
Теперь добавьте новый атрибут в раздел Атрибуты RADIUS > Конкретный поставщик. В разделе «Поставщик» выберите Cisco и нажмите «Добавить». Здесь нужно добавить информацию об атрибуте. Нажмите Добавить и укажите следующее значение:
Это значение означает, что пользователю, авторизованному этой политикой, будет предоставлено максимальное (15) административное разрешение на доступ к устройству Cisco.
На последнем экране отображаются все выбранные параметры политики NPS. Нажмите Готово.
Подсказка. Вы можете сделать резервную копию текущей конфигурации сервера NPS в XML-файл с помощью команды:
Если вам нужно восстановить конфигурацию NPS из ранее созданного файла резервной копии, запустите:
При создании и планировании политик RADIUS обратите внимание на их порядок. Политики обрабатываются сверху вниз, и когда выясняется, что все условия в очередной политике выполнены, их дальнейшая обработка прекращается. Вы можете изменить приоритеты политик в консоли NPS, используя значение порядка обработки.
Чтобы разрешить использование учетной записи пользователя для аутентификации Radius, откройте консоль Active Directory Users and Computers (dsa.msc), найдите пользователя, откройте его свойства, перейдите на вкладку Dial-In и выберите Параметр «Сетевая политика NPS» в разделе «Разрешение на доступ к сети».
Кроме того, вы можете проверить текущее значение параметра с помощью PowerShell:
Если приведенная выше команда не вернула никакого результата (пусто), это означает, что используется значение по умолчанию «Управление доступом через сетевую политику NPS».
Если вы хотите сбросить этот атрибут пользователя до состояния по умолчанию, используйте команду:
Или вы можете сбросить этот атрибут для всех пользователей в определенном организационном подразделении (OU) с помощью фильтра LDAP:
Настройка параметров RADIUS на устройствах Cisco
После создания политики вы можете приступить к настройке маршрутизаторов или коммутаторов Cisco для аутентификации на только что установленном сервере Radius NPS.
Поскольку мы используем учетные записи домена для авторизации, учетные данные пользователя должны передаваться по сети в зашифрованном виде. Для этого отключите протокол telnet на коммутаторе и включите SSHv2 на Cisco с помощью следующих команд в режиме настройки:
ААА работает таким образом: если ответ от сервера не получен, клиент предполагает неудачную аутентификацию. Обязательно создайте локального пользователя на случай, если сервер RADIUS по какой-либо причине недоступен.
Вы можете создать локального пользователя с помощью следующей команды:
Чтобы сделать использование SSH обязательным и отключить удаленный доступ через Telnet, выполните следующие команды:
Ниже приведен пример конфигурации для авторизации сервера Radius для коммутатора Cisco Catalyst:
На этом минимальная настройка коммутатора завершена, и вы можете попробовать проверить аутентификацию Radius на своем устройстве Cisco.
Как проверить журналы NPS/RADIUS в Windows?
Чтобы включить ведение журнала проверки подлинности NPS Server Radius, необходимо включить политику аудита Network Policy Server. Вы можете включить эту политику с помощью локального редактора групповой политики или с помощью следующих команд:
Теперь вы можете открыть консоль просмотра событий (eventvwr.msc), перейти в Журналы Windows > Безопасность и отфильтровать событие по идентификатору события 6272.
Сервер политики сети предоставил пользователю доступ.
Если вам нужно найти все события авторизации NPS для определенного пользователя (Richard.Doe в этом примере), используйте следующий сценарий PowerShell:
Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.
- Устранение ошибки 1722 «Сервер RPC недоступен» — 17 марта 2022 г.
- Как отключить учетную запись Active Directory с помощью PowerShell? – 16 марта 2022 г.
- Как переместить контакты из Exchange в iCloud? – 13 марта 2022 г.
Похожие сообщения
Задание печати зависло в очереди в Windows Server 2016/2012R2/2008R2
Как исправить проблему с языковой панелью в Windows Server 2016/2012R2/2008R2?
Как установить и настроить отказоустойчивый кластер в Windows Server 2016?
Развертывание Windows 10 с помощью MDT 2013 и WDS
5 комментариев
Как мы можем развернуть сервер NPS в Azure, используя ILB для высокой доступности
знак вопроса показывает, что "хост" не подходит
Виртуальная частная сеть (VPN) позволяет подключаться к частной сети через Интернет из любой точки мира.
Это может быть очень полезно для бизнес-пользователей, желающих получить доступ извне к внутренним ресурсам своей компании.
В этом посте мы увидим, как вы можете разрешить пользователям Active Directory выполнять вход в VPN, настроенную на маршрутизаторе Cisco.
Установка включает маршрутизатор Cisco 1801, настроенный с помощью VPN Road Warrior, и сервер с Windows Server 2012 R2, на котором мы установили и активировали роль контроллера домена и сервера Radius.
Чтобы облегчить управление пользователями с разрешением доступа через VPN, мы собираемся создать специальную группу с именем VpnAuthorizedUsers:
Назначьте пользователя, которому требуется доступ к VPN, в группу VpnAuthorizedUsers:
Запустите Диспетчер серверов и выберите Добавить роли и компоненты:
Выберите сервер для установки роли:
Выберите роль Сетевая политика и службы доступа:
Установите необходимые функции:
Выберите Сервер политики сети:
Нажмите Установить, чтобы начать установку роли:
Нажмите Закрыть, чтобы выйти из мастера:
Выполните настройку сервера Radius, выбрав NAP, затем щелкните правой кнопкой мыши имя сервера и выберите Сервер политики сети:
Нажмите правой кнопкой мыши NPS и выберите Зарегистрировать сервер в Active Directory:
Сверните меню Radius и щелкните правой кнопкой мыши Клиенты RADIUS:
Укажите имя и IP-адрес периферийного устройства, которое будет перенаправлять запросы аутентификации на Radius. Также укажите пароль для подключения:
Разверните Политики и щелкните правой кнопкой мыши Политики запросов на подключение:
Укажите имя политики:
Добавить условие Понятное имя клиента:
Укажите то же имя, которое используется для клиентов Radius:
Выберите атрибут Имя пользователя и нажмите Далее:
Щелкните правой кнопкой мыши Сетевые политики:
Укажите имя политики:
Укажите условие UserGroups:
Добавьте ранее созданную группу VpnAuthrizedUsers:
Включите доступ PAP,SPAP:
Нажмите НЕТ в следующем диалоговом окне:
После того как Road Warrior VPN настроен на маршрутизаторе Cisco, необходимо включить аутентификацию пользователей VPN через Radius.
Команда local позволяет локальным пользователям маршрутизатора подключаться, даже если сервер Radius находится в автономном режиме:
conf t
aaa аутентификация логин vpnuser group radius local
Убедитесь, что команда crypto map имеет то же имя, что и аутентификация aaa:
Зайдите в режим конфигурации (Настроить терминал) и укажите параметр radius с IP-адресом и паролем, указанными в начале руководства:
хост Radius-сервера 10.0.0.1 auth-port 1812 acct-port 1813 key password xxxxxxxxx
Автор Scott Pack, 25 апреля 2014 г. Комментировать Постоянная ссылка Нравится Твит +1
Сколь бы старым он ни был, RADIUS по-прежнему остается довольно хорошим инструментом для аутентификации служб, отличных от Windows, в Active Directory. Он изначально поддерживается практически всеми сетевыми устройствами, имеет хорошо протестированные модули PAM и хорошо понимается инфраструктурными системами, такими как балансировщики нагрузки. Черт, это даже предпочтительный тип аутентификации для некоторых двухфакторных систем, таких как Windows Azure Multi-Factor Authentication Server (né PhoneFacter). Эта долгая история и сильная поддержка делают его хорошим посредником, даже если вы не используете некоторые механизмы доступа и учета на основе политик.
Выбор RADIUS-сервера может оказаться интересным занятием. Существует несколько вариантов, наиболее известными из которых являются FreeRADIUS, SteelBelted RADIUS и службы сетевой политики и доступа Windows. Поскольку мой вариант использования в основном связан с магазином Windows, ответ был довольно простым.
Здесь я сделаю несколько предположений. Сервер RADIUS является системой, присоединенной к домену, вы используете учетную запись с (как минимум) разрешениями администратора домена, и вы просто хотите ограничить аутентификацию группой пользователей и не применять какие-либо расширенные политики.
Предположим, вы уже настроили базовую систему Windows, я использую 2012r2, которая присоединена к вашему целевому домену.
- Войдите в целевую систему через RDP, консоль или что-то еще.
- На главной панели диспетчера серверов нажмите "Добавить роли и функции".
- Нажимайте кнопку "Далее" несколько раз, 3 раза для меня, пока не появится экран "Выберите роли сервера".
- Установите флажок "Сетевая политика и службы доступа".
- Во всплывающем окне убедитесь, что установлен флажок "Включить инструменты управления", и нажмите "Добавить функции".
- Нажимайте "Далее", пока не перейдете на страницу подтверждения, 4 раза для меня.
- Нажмите "Установить". ол>р>
- Удаленное подключение к контроллеру домена или системе управления AD.
- Запустите «Пользователи и компьютеры Active Directory».
- Перейдите к подразделению, содержащему ваши группы.
- Выберите «Действие» -> «Создать» -> «Группа».
- В поле "Имя группы:" введите "Пользователи VPN". Нажмите "ОК".
- Найдите в списке «Пользователи VPN», щелкните правой кнопкой мыши и выберите «Свойства».
- Добавьте соответствующее описание.
- Выберите вкладку "Участники" и добавьте пользователей, как обычно.
- Нажмите кнопку "Пуск".
- Введите cmd .
- Щелкните правой кнопкой мыши "Командная строка" и выберите "Запуск от имени администратора". Нажмите "Да" для подтверждения повышения прав UAC.
- Когда запустится оболочка, введите: netsh nps добавить зарегистрированный сервер
- Нажмите кнопку "Пуск".
- Введите nps.msc
- На левой боковой панели разверните «RADIUS-клиенты и серверы».
- Нажмите правой кнопкой мыши на "RADIUS Clients" и выберите "Создать".
- Введите отображаемое имя и IP-адрес устройства, которое будет проходить аутентификацию на вашем сервере RADIUS.
- Выберите общий секрет. 1
- Нажмите "ОК". ол>р>
- На левой боковой панели разверните раздел "Политики".
- Нажмите правой кнопкой мыши "Сетевые политики" и выберите "Создать".
- Введите имя для этой политики подключения и нажмите "Далее".
- В разделе "Условия" нажмите "Добавить". '
- Выберите вариант «Группы пользователей» и нажмите «Добавить». '.
- Во всплывающем окне "Группы пользователей" нажмите "Добавить группу" и войдите в созданную ранее группу "Пользователи VPN".
- Нажмите "ОК", "Далее". Убедитесь, что выбран вариант "Доступ предоставлен", и нажмите "Далее".
- Параметры по умолчанию должны подойти. Убедитесь, что выбраны «MS-CHAPv2» и «MS-CHAP», и нажмите «Далее».
- Ограничения не обязательны. Нажмите "Далее".
- Никаких специальных настроек политики не требуется. Нажмите "Далее".
- Проверьте окончательные варианты и нажмите "Готово". ол>р>
Вы увидите индикатор выполнения, который быстро заполнится. Завершение установки неочевидно, но если вы наведете курсор на полосу, вы увидите процент, и сообщение слегка изменится, когда оно будет завершено. По завершении нажмите "Закрыть".
Настройка пользователя
Позже мы собираемся ограничить аутентификацию членством в группе. Поэтому, прежде чем мы зайдем слишком далеко, я хочу создать группу. Если у вас есть лучший способ создать группы безопасности, сделайте это, я возьму самый низкий
Регистрации разрешений
По умолчанию обычный объект «Компьютер» не имеет достаточных разрешений для просмотра всех атрибутов пользователей. В частности, ему нужен доступ к учетным данным и свойствам удаленного доступа. У Microsoft есть встроенный механизм для включения этого доступа, который они называют «регистрацией». Существует несколько способов регистрации, однако единственный, который сработал для меня, — это использование командной строки.
Настройки клиента
Чтобы принимать подключения RADIUS от конечного устройства, мы должны настроить его на сервере как «Клиент».
Теперь, когда мы определили наш клиент, устройство теперь может фактически взаимодействовать с RADIUS и выполнять аутентификацию. Однако, прежде чем пользователи смогут проходить аутентификацию, нам также необходимо создать политику для связи с пользователями.
Политика пользователя
На этом этапе вы должны иметь возможность редактировать свое клиентское устройство и добавлять систему Windows в качестве RADIUS-сервера для аутентификации. Эта конфигурация будет в значительной степени зависеть от клиентского устройства, может быть, а может и не быть публикацией для другого дня.
Вы хотите, чтобы это было достаточно долго, чтобы быть потрясающим, но будьте осторожны с длиной, потому что у некоторых устройств есть проблемы со слишком длинными секретами. Если вы сомневаетесь, выберите что-то длиной около 30 символов и будьте готовы изменить его, если устройство не подключится. ↩
RADIUS — это форма сетевой безопасности, которая может подключаться к вашему домену Windows. Наиболее распространенное использование (по крайней мере, по моему опыту) — это защита беспроводных сетей. Преимущество использования RADIUS заключается в отсутствии общего ключа, который необходимо вводить на каждом устройстве. Вы можете разрешить всем компьютерам домена подключаться к своей учетной записи компьютера и ограничить пользователей определенным доверенным персоналом, которому для подключения требуется только учетная запись домена.
До того, как я начал, у меня был полностью функционирующий контроллер домена Windows с настройкой AD для обычного использования.
Служба сертификации Active Directory используется для создания сертификата, который ваш сервер RADIUS будет использовать для идентификации себя.
Откройте мастер Добавить роли и компоненты в диспетчере серверов, выберите свой контроллер домена и установите флажок Службы сертификатов Active Directory.
Согласитесь с необходимыми функциями и нажмите «Далее». Нажмите «Далее» еще раз на экране функций и еще раз на экране AD CS.
На экране Службы ролей вам нужно только установить флажок Центр сертификации.
Нажмите "Далее" и подтвердите установку.
После завершения установки нажмите Настроить службы сертификатов Active Directory на целевом сервере.
В появившемся мастере выберите пользователя, от имени которого вы хотите установить службу (в моем случае это был тот же пользователь, который вошёл в систему), и нажмите "Далее".
При появлении запроса Выберите службы ролей для настройки установите флажок Центр сертификации.
Выберите Корпоративный ЦС и нажмите "Далее", затем выберите Корневой ЦС и нажмите "Далее".
Выберите Создать новый закрытый ключ и нажмите "Далее". На экране Криптографический измените алгоритм хеширования с небезопасного sha1 на sha256 и нажмите "Далее".
Оставьте имя ЦС по умолчанию и нажмите "Далее", сделайте то же самое с периодом действия и расположением базы данных.
На экране Подтверждение убедитесь, что все в порядке, а затем нажмите Настроить.
После завершения настройки нажмите "Закрыть".
RADIUS является частью роли Сетевая политика и Службы доступа в Server 2008+ и устанавливается так же, как роль ADSC.
Перейдите к экрану Выберите роли сервера и установите флажок Сетевая политика и службы доступа, согласитесь с необходимыми функциями и нажмите "Далее".
Нажмите "Далее" на экране Features и еще раз на вводной информации о NPAS.
На экране Службы ролей вам нужно выбрать только Сервер политики сети.
На экране Подтверждение нажмите Установить.
После завершения установки вы можете нажать "Закрыть".
Откройте Network Policy Server из меню "Пуск" и перед настройкой сети RADIUS щелкните правой кнопкой мыши Управление шаблонами -> Общие секреты и выберите Создать. .
Дайте ключу имя и либо введите его, либо сгенерируйте секрет.
В этот момент я обычно захожу в свою беспроводную систему и создаю новую сеть RADIUS, пока у меня есть сгенерированный ключ в буфере обмена.
Создав этот шаблон, вернитесь на главный экран NPS, выберите сервер RADIUS для беспроводных или проводных подключений 802.1X и нажмите Настроить 802.1X под ним.
Выберите Безопасные беспроводные подключения и нажмите "Далее" (вы можете изменить имя, если хотите).
Вам нужно добавить каждую точку доступа в список, что может быть довольно утомительно.
При добавлении точки доступа выберите шаблон общего секрета, который мы создали ранее. Когда вы добавите все точки доступа, нажмите «Далее».
На экране Настройка метода аутентификации выберите Microsoft: Protected EAP (PEAP) и нажмите Настроить.
Измените сертификат для вашего контроллера домена, dc.domain.local НЕ domain-dc-ca.
На экране Указать группы пользователей добавьте группы Пользователи домена и Компьютеры домена и нажмите "Далее".
Нажмите «Далее» на экране Настройка управления трафиком.
На последнем экране подтвердите все данные и нажмите "Готово".
Теперь у вас есть RADIUS сеть! Компьютеры, присоединенные к домену, теперь могут подключаться, казалось бы, без пароля, поскольку их учетная запись компьютера позволяет им аутентифицироваться. Ни одно доменное устройство не может пройти аутентификацию с какой-либо учетной записью пользователя.
Читайте также: