Radius server windows 2012 r2 настройка

Обновлено: 05.07.2024

Хотите узнать, как выполнить установку radius Server на Windows 2012? В этом учебнике мы покажем вам, как установить и настроить службу Radius на сервере Windows.

• Windows 2012 R2
Сетевая политика и служба доступа

В нашем примере сервер Radius использует IP-адрес 192.168.0.50.

В нашем примере сетевой коммутатор использует IP-адрес 192.168.0.10.

В нашем примере на рабочем столе под управлением Windows 10 используется IP-адрес 192.168.0.20.

Как сетевой коммутатор, так и рабочий стол хотят проверить подлинность в базе данных Radius.

Плейлист Windows:

На этой странице мы предлагаем быстрый доступ к списку видео, связанных с установкой Windows.

Не забудьте подписаться на наш канал YouTube под названием FKIT.

Windows Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник - Установка сервера радиуса на Windows

Откройте приложение «Менеджер сервера».

Доступ к меню Управления и нажмите на Добавление ролей и функций.

Windows 2012 add role

Получите доступ к экрану ролей сервера, выберите опцию Сетевой политики и службы доступа.

Нажмите на кнопку «Следующая».

Network Policy and Access Service

На следующем экране нажмите на кнопку Добавить функции.

network policy features

На экране службы ролей нажмите на кнопку Next Button.

network policy server

На следующем экране нажмите на кнопку «Установка».

radius server installation on windows

Вы закончили установку сервера Radius на Windows 2012.

Учебный Радиус Сервер - Активная интеграция каталога

Далее необходимо создать группу авторизованных пользователей для проверки подлинности с помощью Radius.

Группа RADIUS-USERS перечислит учетные записи пользователей, которые могут быть проверены на сервере Radius.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую группу внутри контейнера пользователей.

Radius Active directory group

Создайте новую группу под названием RADIUS-USERS.

Членам этой группы будет разрешено проверить подлинность на сервере Radius.

Active Directory Radius group

Мы также создадим 2 учетные записи пользователей для проверки нашей конфигурации.

Создайте новую учетную запись пользователя в контейнере пользователей.

Zabbix active directory account

Создание новой учетной записи пользователя под названием: VEGETA

Учетная запись пользователя Vegeta будет разрешена для проверки подлинности на сервере Radius.

active directory user account

Установите учетную запись пользователя Vegeta в качестве члена группы RADIUS-USERS.

active directory radius users

Далее создайте новую учетную запись пользователя под названием: GOKU

Учетная запись пользователя Goku не будет членом группы RADIUS-USERS.

Учетная запись пользователя Goku не будет допущена к аутентификации на сервере Radius.

active directory user account

В нашем примере участникам RADIUS-USERS разрешается проверку подлинности на сервере Radius.

В нашем примере учетная запись пользователя Vegeta является членом группы RADIUS-USERS.

В нашем примере учетная запись пользователя Goku не является членом группы RADIUS-USERS.

Вы закончили необходимую конфигурацию Active Directory.

Учебный Радиус Сервер - Добавление клиентских устройств

На сервере Radius откройте приложение под названием: Network Policy Server

Вам необходимо авторизовать сервер Radius в базе данных Active.

Нажмите на NPS (LOCAL) и выберите сервер Регистра в опции Active Directory.

authorize radius server on windows

На экране подтверждения нажмите на кнопку OK.

Далее необходимо настроить клиенты Radius.

Клиенты Radius являются устройствами, которым будет разрешено запрашивать аутентификацию с сервера Radius.

Важно! Не путайте клиентов Radius с пользователями Radius.

Нажмите на папку Radius Clients и выберите новый вариант.

NPS Radius Client - Switch

Вот пример клиента, настроенного для подключения коммутатора Cisco к серверу Radius.

Необходимо установить следующую конфигурацию:

• Дружелюбное название устройства.
• IP-адрес устройства
• Общий секрет устройства.

Общий секрет будет использоваться для разрешения устройства на использование сервера Radius.

Добавьте еще одно клиентское устройство, установите IP-адрес вашего рабочего стола и общий секретный kamisma123.

date

22.01.2015

directory

Windows Server 2012 R2

comments

комментариев 7

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting), фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server). В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco.

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).

Установка роли Network Policy Server на Windows Server 2012 R2

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

mmc консоль управления Network Policy Server

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New. Укажем:

Новый клиент RADIUS - коммутатор HP ProCurve

Отключим стандартную политику (Use Windows authentication for all users) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable.

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.

Client Friendly Name - правило NPS

В качестве значения укажем sw-?. Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.

Политика аутентификации на коммутаторе для сетевых администраторов

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP).

В окне Configure Settings изменим значение атрибута Service-Type на Administrative.

Административный доступ к сетевому оборудованию с помощью RADIUS

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Приоритет сетевых политик NPS

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

Совет. Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

Не закрывая консольное окно коммутатора (это важно!, иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Рассмотрим настройку Radius аутентификации на Cisco устройствах, посредством службы Политики сети и доступа (Network Policy Server) на Windows Server 2012 R2.

Добавление роли, настройка Active Directory

Выбираем роль (Службы политики сети и доступа):

Выбираем службу ролей (Сервер политики сети):

Для завершения установки роли, нажимаем Установить и дожидаемся установки компонента, после чего нажимаем Завершить.

В Active Directory необходимо создать группу безопасности (прим. NPS_Cisco) и включить в нее пользователей кому будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.

Настройка Network Policy Server

Открываем оснастку Сервер политики сети (Network Policy Server).

Для полноценного использования функций NPS-сервера в домене, выполним регистрацию его в Active Directory. В оснастке на NPS (Локально), нажимаем правой кнопкой мыши и выбираем Зарегистрировать сервер в Active Directory (Register server in Active Directory):

Подтверждаем регистрацию сервера в Active Directory:

После регистрации NPS в Active Directory, добавим клиента RADIUS. На строке RADIUS-клиенты и серверы (RADIUS Clients and Servers) щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):


Значение в поле Понятное имя (Friendly name) может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.

Задаем Имя политики (Policy name), Тип сервера доступа к сети (Type of network access server) оставляем без изменения:

Задаем условия, которые должны соответствовать для успешной аутентификации. Создадим два условия:

  • Группы пользователей (указываем ранее созданную в Active Directory группу безопастности)
  • Понятное имя клиента (указываем дружественные имена, начинающиеся с префикса CISCO_)

Результат добавления условий:

Указываем разрешение доступа, оставляем значение Доступ разрешен (Access Granted).

После настройки методов проверки подлинности вам будет предложено настроить Ограничения (Constraints), пропускаем этот раздел и переходим к следующему шагу.

Перед настройкой сервера удаленного доступа для поддержки DirectAccess с поддержкой OTP необходимо настроить сервер RADIUS.

Задача Описание
2.1. Настройка токенов распространения программного обеспечения RADIUS На сервере RADIUS настройте маркеры распространения программного обеспечения.
2.2. Настройка сведений о безопасности RADIUS На сервере RADIUS настройте используемые порты и общий секрет.
2,3. Добавление учетной записи пользователя для проверки OTP На сервере RADIUS создайте новую учетную запись пользователя для проверки OTP.
2,4 Синхронизация с Active Directory На сервере RADIUS создайте учетные записи пользователей, синхронизированные с учетными записями Active Directory.
2,5. Настройка агента проверки подлинности RADIUS Настройте сервер удаленного доступа в качестве агента проверки подлинности RADIUS.

2,1. Настройка токенов распространения программного обеспечения RADIUS

Сервер RADIUS должен быть настроен с использованием необходимых лицензий и программного обеспечения и/или маркеров распространения оборудования, которые будут использоваться DirectAccess с OTP. Этот процесс будет специфичен для каждой реализации поставщика RADIUS.

2,2. Настройка сведений о безопасности RADIUS

Сервер RADIUS использует UDP-порты для связи, и каждый поставщик RADIUS имеет собственные UDP-порты по умолчанию для входящего и исходящего трафика. Чтобы сервер RADIUS работал с сервером удаленного доступа, убедитесь, что все брандмауэры в окружении настроены таким образом, чтобы разрешить трафик UDP между серверами DirectAccess и OTP через нужные порты.

Сервер RADIUS использует общий секрет для проверки подлинности. Настройте сервер RADIUS с помощью надежного пароля для общего секрета и обратите внимание, что это будет использоваться при настройке конфигурации клиентского компьютера сервера DirectAccess для использования с DirectAccess с OTP.

2,3. Добавление учетной записи пользователя для проверки OTP

На сервере RADIUS создайте новую учетную запись пользователя с именем дапробеусер и присвойте ей пароль дапробепасс.

2,4 Синхронизация с Active Directory

Сервер RADIUS должен иметь учетные записи пользователей, соответствующие пользователям в Active Directory, которые будут использовать DirectAccess с OTP.

Синхронизация RADIUS-и Active Directory пользователей

Запишите сведения о пользователе из Active Directory для всех пользователей DirectAccess с OTP.

Используйте процедуру, определенную поставщиком, для создания идентичных учетных записей пользователей в формате " домен \ имя_пользователя " на сервере RADIUS, который был записан.

2,5. Настройка агента проверки подлинности RADIUS

Сервер удаленного доступа должен быть настроен в качестве агента аутентификации RADIUS для реализации DirectAccess с OTP. Следуйте инструкциям поставщика RADIUS, чтобы настроить сервер удаленного доступа в качестве агента проверки подлинности RADIUS.


802.1x является стандартом авторизации и аутентификации пользователей и компьютеров в сети передачи данных. Данный стандарт позволяет очень просто назначать разным клиентам нужные VLAN-ы, а так же предотвратить доступ к сети неизвестным системе устройствам.

Для успешной работы данного стандарта в корпоративной среде под управлением операционной системы Windows требуется настроенные:
1. Домен-контроллер;
2. Сервер центра сертификации;
3. Сервер политики сети.

Выдача сертификата центром сертификации.

Для того чтобы Cisco без проблем работала с клиентами требуется сертификат созданный на основе RAS и IAS серверы.

Данный шаблон необходимо скопировать и дать при этом ему свое уникальное имя.

После копирования шаблона необходимо указать совместимость, а так же в разделе Безопасность добавить группу Серверы RAS и IAS и внести разрешения на Заявку и Автоматическую подачу заявок .

После того как сертификат скопирован нужно перезапустить сервер политики сети. В разделе Выданные сертификаты должен появиться сертификат с именем вашего скопированного шаблона сертификата, выданный вашему NAP серверу.

Настройка NAP.
Добавление клиентов

Для работы коммутатора с NAP сервером в первую очередь надо добавить RADIUS-клиенты в одноимённом пункте настройки NAP введя понятное имя, ip-адрес, секрет , а так же в разделе дополнительно необходимо выбрать в поле имя поставщика поставщика Cisco . Поставить галочку на против пункта RADIUS-клиент поддерживает защиту доступа к сети .

Создание политики запросов на подключение

В разделе Политики, в подразделе политики запросов на подключение необходимо создать политику. В данной политике необходимо указать ее имя, а так же добавить условие Тип порта NAS со значением Ethernet .

Создание сетевой политики

Если нам необходимо переводить пользователя в другой VLAN при входе в ОС то нам необходимо создать специальную группу в домене. Эта группа будет указана в условиях на подключение.

При создании сетевой политики указываем ее имя. Добавляем два условия:

Группа пользователей - указываем группу в которой будут пользователи, которым развешен доступ к данному VLAN;

Типа порта NAS - Ethernet.

На вкладке Ограничения необходимо указать тип проверки пользователей - нам необходимо указать:

Microsoft: защищённый пароль (EAP-MSCHAP v2)

Microsoft: защищённый EAP (PEAP)

Так же в пункте Менее безопасные методы проверки подлинности отмечаем:

Шифрованная проверка подлинности (Microsoft), версия 2, (MS-CHAP-v2)

Разрешить смену пароля по истечении срока действия

Шифрованная проверка подлинности Майкрософт (MS-CHAP)

Разрешить смену пароля по истечении срока действия

На вкладке Параметры , в разделе Атрибуты RADIUS - Стандарт добавим несколько атрибутов:

Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID = номер VLAN в который вы хотите переключать клиента

Tunnel-Type = Virtual LANs (VLAN)

После создания политик перезапустите NAP.

Настройка коммутатора Cisco

Коммутатор должен иметь первоначальную простую настройку, а так же должен знать VLAN-ы, которые будут указываться в настройке.

Настройка RADIUS серверов

Первым делом необходимо применить команду:

aaa new-model
dot1x system-auth-control
dot1x guest-vlan supplicant

Далее создаём группу серверов RADIUS отвечающих за 802.1x

aaa group server radius DOT1X
server-private IP-адрес NAP-Сервера auth-port 1812 acct-port 1813 key секрет созданный RADIUS-Клиенту на NAP сервере
ip radius source-interface Loopback0

Настраиваем авторизацию через созданные группы NAP серверов

aaa authentication dot1x default group DOT1X
aaa authorization network default group DOT1X

802.1X Port-Based Network Authentication

Настройка портов на примере GigabitEthernet1/1:

interface GigabitEthernet1/1
switchport mode access

Указываем VLAN в который помещаются клиенты не прошедшие авторизацию:

authentication event fail action authorize vlan 'номер-vlan'

Указываем VLAN в который помещаются клиенты если NAP сервер не работает:

authentication event server dead action authorize vlan 'номер-vlan'

Указываем VLAN в который помещаются клиенты если не отвечают:

authentication event no-response action authorize vlan 'номер-vlan'

authentication priority dot1x mab

Активируем функцию Mac-address bypass:

Настройка таймеров и переавторизации:


authentication port-control auto
authentication periodic
authentication timer reauthenticate 600
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5

Включим защиту от петель:

Настройка клиентского ПК под управлением Windows 7

Первым делом необходимо запустить службу Проводная автонастройка а так же назначить ей автоматический тип запуска.

После в свойствах сетевого адаптера появится Проверка подлинности.

В вкладке включаем проверку подлинности IEEE 802.1X , в параметрах отключаем проверку сертификата , включаем быстрое переключение .

В пункте Дополнительные параметры необходимо активировать пункт Указать режим проверки подлинности учётными записями пользователей , активируем Включить единую регистрацию для сети , выбрать вариант Выполнять непосредственно перед входом пользователя .

Важно: пользователь, которому разрешено подключаться в VLAN, должен выйти со всех устройств для того чтобы домен-контроллер обновил ему SID. В противном случае может получиться так, что коммутатор не сможет найти указанного пользователя в указанной группе пользователей, а следовательно он не авторизуется и не попадет в нужный VLAN.

Настройка ПК через AD

Чтобы включить необходимые настройки на ПК через групповую политику необходимо создать новую политику сети и применять ее на группу компьютеров в AD.

Включаем службу проводной автонастройки с автоматическим запуском:

Настраиваем проверку подлинности:

Данная политика применяется при включении ПК и если порт коммутатора не настроен на dot1x то не препятствует подключению к сети.

Доброго времени суток.

Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо

Доброго времени суток.

Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо

Читайте также: