Server sieťových politík a autentizácia Cisco RADIUS

Konfigurácia autentifikácie RADIUS medzi zariadeniami Cisco a službou Network Policy Server (NPS) v systéme Windows Server 2008 sa mierne odlišuje od konfigurácie podobného pripojenia v predchádzajúcich verziách systému Windows..

V prípade, že nie ste oboznámení so službou, odporúčame prečítať si nasledujúci článok TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

V tomto článku ukážem základnú konfiguráciu, ktorá umožňuje používanie NPS ako autentifikačného servera pre rôzne zariadenia Cisco (prepínače, smerovače). Možno je táto inštrukcia vhodná pre prácu s inými zariadeniami, ktoré podporujú autentizáciu RADIUS, ale takéto skúsenosti som nemal.

1. Inštalovať službu sieť politika server. Túto súčasť nájdete v časti „Sieťové politiky a prístupové služby“ na systéme Windows 2008 Server..

2. Otvorte riadiacu konzolu sieť politika server z ponuky „Nástroje na správu“.

3. Vytvoriť nový klient polomeru pre zariadenia Cisco. Tento krok sa prakticky nelíši od konfigurácie podobného zväzku v systéme Windows Server 2000/2003. Stačí zadať adresu IP zariadenia, vybrať typ „štandard rádiusu“ a nastaviť tajný kľúč (zdieľané tajomstvo).

4. Zaregistrujte server v aktívny adresár, prečo pravým tlačidlom myši kliknite na uzol „NPS (miestne)“ a vyberte „RegisterserverinActiveDirectory“. V dôsledku tohoNPS po prijatí žiadosti o autorizáciu bude môcť tieto žiadosti postúpiť AD.

5. Vytvoriť „prípojka žiadosť Politika “. Tento krok je nový, objavil sa iba v systéme Windows Server 2008. Toto nastavenie bolo predtým súčasťou politiky vzdialeného prístupu. Pri nastavovaní „zásady žiadosti o pripojenie“ nie je nič zložité. Prvým krokom je nastavenie typu servera so sieťovým prístupom na „Nešpecifikované“.

Ďalej musíte pridať aspoň jednu podmienku politiky. V tomto testovacom prípade používam „denné a časové obmedzenia“, pre jednoduchosť povoľujem (povolený) prístup 24 × 7. Pravidlá, ktoré tu zadáte, musia byť, samozrejme, v súlade s bezpečnostnou politikou vašej spoločnosti, preto musíte starostlivo zvážiť nastavenia politiky používania NPS..

Nakoniec na karte Nastavenia v časti Overenie začiarknite políčko „Overiť požiadavky na tomto serveri“..

6. vytvoriť sieť politika, v starších verziách systému Windows Server sa toto nastavenie nazývalo politikou vzdialeného prístupu. Na karte Prehľad je potrebné nakonfigurovať politiku tak, aby používala server so sieťovým prístupom typu „Nešpecifikovaný“. Nezabudnite udeliť alebo povoliť prístup podľa týchto pravidiel, vybral som možnosť „Poskytnúť prístup“.

Na karte Podmienky musíte pridať aspoň jednu podmienku. Zvyčajne to označuje skupinu Active Directory, ktorej členovia sa budú môcť pripojiť.

Jedinou vecou, ​​ktorú môžete urobiť na karte Obmedzenia, je povoliť metódu autentifikácie „Nešifrované overenie (PAP, SPAP)“..

Nakoniec na karte Nastavenia skontrolujte, či je v časti Šifrovanie vybratá možnosť „Bez šifrovania“..

7. Autentifikačný server musí byť nastavený na sieťovom zariadení. Toto nastavenie je špecifické pre rôzne značky a modely sieťových zariadení. V najnovších verziách IOS na prepínačoch Cisco budú konfiguračné príkazy nasledujúce:

aaa nový model

aaa ID relácie spoločné

aaa polomer autentifikácie prihlásenie predvolená skupina

radius-server host 10.24.0.1 auth-port 1812 acct-port 1813 key your_ tajomstvo_klyuch

8. Zostáva iba otestovať prácu!