Windows nps что это

Обновлено: 08.07.2024

Так что же такое NPS и как он может помочь мне?

Что такое Windows Server 2008 Network Policy Server?

NPS – это не просто замена для IAS, он делает то же что и IAS, и гораздо больше. Хотя многие из нас будут делать то же, что делали с IAS в Windows 2003, когда установят NPS, но все же с NPS перед нами открываются абсолютно новые функциональные возможности.

Вот те же функции NPS, которыми обладала IAS:

  • Маршрутизация LAN и WAN трафика.
  • Открытие доступа через ВЧС и dial-up соединения.
  • Создание и внедрение доступа к сети через ВЧС или dial-up соединения.

Например, NPS может обеспечить следующие функции:

  • Службы ВЧС (VPN Services)
  • Службы Dial-up
  • 802.11 защищенный доступ
  • Маршрутизация & Удаленный доступ (Remote Access (RRAS))
  • Предлагает аутентификацию через активную директорию (Windows Active Directory)
  • Управление доступом к сети с помощью политик

NPS обладает новыми функциями, связанными с Защитой Доступа к Сети (Network Access Protection (NAP)). Например, System Health Validators, Remediation Server Groups, Health Polices, и т.д.

Как установить NPS?

NPS является компонентом Windows 2008 Server. Это означает, что вы устанавливаете его путем добавления компонента, как показано на рисунке 1:

Затем выбираете политику сети и сервисы доступа (Network Policy and Access Services):

У вас появится окно с полным обзором информации о NPS, как на рисунке 3:

Теперь выбираем сервисы для этой роли, которые мы хотим установить. Обратите внимание, что если вы захотите установить протоколы Health Registration Authority или Host Credential Authorization, вам будет предложено установить больше ролей для вашего сервера (например, IIS веб-сервер). Оба этих сервиса связаны либо с Microsoft NAP, либо с Cisco NAC.

Продвигаясь дальше по этому списку, сервис Network Policy Service представляет собой RADIUS сервер, который встречался в IAS. Сервисы RRAS – это вторая часть, которая традиционно была включена в IAS. Когда эти элементы отсутствуют, вы можете избирательно устанавливать выбранные компоненты.

После того как вы определились с выбором и нажали Далее, у вас появится последнее окно подтверждения, где нужно нажать Установить.

По окончании установки должно появиться окно, как показано на рисунке 6:

Как управлять NPS?

Если вы хотите использовать традиционные функции IAS, самый простой способ управления службами вашего нового сервера NPS заключается в использовании Windows 2008 Server Manager. В Server Manager вы найдете пункт роли (Roles), а в этом пункте вы найдете Network Policy and Access Services, как показано на рисунке 7:

Как вы видите, есть три сервиса, ассоциируемых с NPS, сервер политики сети (network policy server (с названием IAS)), менеджер соединений удаленного доступа (remote access connection manager (RasMan)) и служба маршрутизации и удаленного доступа (routing and remote access service (RemoteAccess)). Тем, кто использует IAS, эти названия покажутся знакомыми.

Для конфигурирования и управления отдельными службами Network Policy Server (NPS) в Windows 2008 Server есть новый административный инструмент под названием Network Policy Server.

Когда он загружен, он выглядит примерно так:

И все же это не просто измененный интерфейс и переименованные элементы IAS, принципиальная разница заключается в функциональных возможностях в области защиты доступа к сети, которыми обладает NPS.

Архитектура сервера Network Policy Server

Как видно на схеме, сервер NPS, который мы установили в этой статье, является лишь частью большой инфраструктуры NPS. Не все эти части являются обязательными. Выбор частей этой инфраструктуры, зависит от той функции, которую вы собираетесь выполнять.

Например во введении я говорил о том, что хочу использовать NPS для аутентификации сетевых устройств Cisco, использующих RADIUS. Для этого мне потребуется лишь сервер NPS RADIUS и Network Policy Server (NPS). Маршрутизатор Cisco (или другое сетевое устройство) будет клиентом NPS RADIUS. Сервер NPS RADIUS – это то, что принимает запросы на аутентификацию сертификатов пользователя из сетевого устройства. Сервер NPS RADIUS обычно связывается с Network Policy Server с тем, чтобы убедится, что последний принимает запросы аутентификации от клиента RADIUS, что политика соответствует, что мандаты отправлены (обычно в активную директорию Windows) на подтверждение. Если они подтверждены, принятый запрос аутентификации отправляется обратно клиенту NPS RADIUS (сетевому устройству, в моем примере, маршрутизатору Cisco).

Заключение

Как быстро и просто настроить авторизацию через RADIUS от Microsoft? Думаю, это поможет тем, кто захочет иметь возможность заходить на устройства MikroTik через дружелюбный WinBox и простой SSH.

Установка роли NPS

Имеем Windows Server 2016 Datacenter с уже установленным доменом.

image

Выбираем сервер, на котором будет разворачиваться роль. Microsoft не рекомендует делать это на контроллере домена, но в некоторых best practices для уменьшения задержек дают совет ставить именно на него. Добавляем роль Network Policy and Access Server вместе с management tools для настройки.


image

image

image

image

Запускаем любым удобным способом админку NPS. Например, через менеджер серверов.

image

Регистрируем сервер NPS в AD.


image

Добавление RADIUS клиента

Для того, чтобы сервер знал с какими устройствами налаживать общение нужно добавить их в RADIUS Clients.

image

Для примера, добавляю свой MikroTik wAP. Friendly name установил как Identity на устройстве и IP заданный на его единственном проводном интерфейсе. Для того, чтобы устройство смогло авторизоваться на сервере нужно ввести ключ. Он создается на сервере либо вручную, либо генерируется автоматически. Я предпочел второй вариант.


image

Vendor name остановим на стандартном RADIUS.

image

Создание политики подключения

image

Подбираем подходящее название для политики.

image

Определяем наше устройство с которым будет работать сервер.

image

Я выбрал только Client Friendly Name со значением Router01. Это четко привязывает данный пункт политики к устройству через созданного клиента. Можно идентифицировать устройство Mikrotik по Identity выбрав NAS Identifier.

image

Без предварительной конфигурации устройства Identity = MikroTik.

image

Дальнейшая настройка политики.

image

На этапе выбора протокола аутентификации достаточно выбрать нешифрованный (о чем получите предупреждение) PAP для SSH или шифрованный CHAP для WinBox. Я выбрал оба. Если есть необходимость использовать web версию, то достаточно включить MS-CHAPv2, в остальном всё аналогично.

image

Собственно, предупреждение о выборе небезопасного способа. Предлагают почитать пошаговый справочный материал.

image

На данном этапе я не стал ничего трогать.

image

Итоговые установки политики.

У меня не получилось воспроизвести это через PowerShell, даже стандартный example с technet'а. Буду признателен, если подскажете почему.


image

Выбираем нужный приоритет двигая выше или ниже пункт политики.

Создание политики сети

image

Назовем её Routers.

image

Как и прежде, нужно определить условия.

image

В AD у меня создан дополнительный пользователь состоящий в группе Domain Admins. Выбираю условие Windows Group исходя из того, чтобы все администраторы домена смогли получать доступ к MikroTik.

image

image

Разрешительное или запретительное правило. Мы будем разрешать всем, кто попал под условие.

image

Способ аутенификации выбираем аналогичный прошлой политике.

image

Исходя из необходимости можно настроить дополнительные настройки. Я оставил без изменений.

image

Далее необходимо выбрать что будет отправляться на сервер.

image

Итоговые настройки политики сети.

image

Выбираем необходимый приоритет среди других политик, если необходимо.

Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in в разделе Network Access Permission должен быть отмечен пункт Control access through NPS Network Policy.

image

Для возможности авторизовываться через WinBox нужно включить обратимое шифрование в профиле пользователя.

image

Добавление сервера авторизации на MikroTik

Первым делом присвоим System/Identity равным router01 и IP с маской для интерфейса.


image

В System/Users и на вкладке Users включаем пункт Use RADIUS. По умолчанию выбран доступ только для чтения.


image

Открываем настройки Radius и добавляем новый сервер. Сервис выбирается исходя из назначения. Лучше, конечно же, делить доступ между ними. Address — адрес сервера на котором установлен NPS.

Secret — ключ, который был сгенерирован на стадии добавления клиента на сервере.


image

Проверка через SSH и WinBox

Проверка подключения через SSH и экспорт конфигурации.

image

И проверяем авторизацию в Winbox.

image

Как видим, в активных пользователях висят системный admin и оба подключения доменного юзера с доступом для чтения через SSH и Winbox.

Если в организации имеется большое количество сетевых устройств, таких как маршрутизаторы, коммутаторы, сетевые принтеры, контроллеры управления ИБП и др., – рано или поздно может встать вопрос о централизации управления этими устройствами. Понятие централизации управления в данном контексте является очень широким и мы в данной заметке рассмотрим одну из его составляющих – централизация функций аутентификации/авторизации/контроля доступа к этим устройствам. Реализацию этих функций можно найти в программных и программно-аппаратных вариантах у разных производителей оборудования, но если речь идёт об унификации этих функций в парке устройств разных производителей, - на помощь нам приходит протокол RADIUS . Любой уважающий себя производитель сетевого оборудования имеет на сегодня для своих устройств поддержку этого протокола.

Рассмотрим на практике случай, когда в организации имеется некоторое количество источников бесперебойного питания (ИБП) фирмы APC с установленными в них контроллерами управления APC Web/SNMP Management card.

Для сетевого доступа на каждый из таких контроллеров, как правило, используются встроенные в эти контроллеры учетные записи пользователей трёх категорий доступа:

  • Полный административный доступ
  • Доступ на чтение с функциями управления клиентами ИБП
  • Доступ “только на чтение”

image

Встроенная в эти контроллеры поддержка протокола RADIUS позволит нам использовать вместо встроенной аутентификации аутентификацию на основе учетных записей Active Directory. Чтобы реализовать этот механизм поэтапно рассмотрим процесс установки/настройки сервера RADIUS на базе Windows Server 2008 R2 и последующей настройки ИБП. В качестве аппаратных исходных данных будут выступать ИБП APC с установленными контроллерами управления:

APC AP9619 Web/SNMP Management card
Hardware Revision: A10
Application Module - sumx - v3.7.2 - 02/02/2010
APC OS (AOS) - aos - v3.7.3 - 02/02/2010

Итак, поднимаем виртуальный сервер с Windows Server 2008 R2 SP1 на борту, устанавливаем на него все текущие обновления с WSUS. В нашем случае имя сервера будет KOM-AD01-NPS01.

На этом сервере о ткрываем оснастку Server Manager, переходим в раздел Roles и в секции Role Summary вызываем мастер добавления ролей - Add Roles

image


В открывшемся мастере на шаге выбора ролей отмечаем роль Network Policy and Access Services.

image


На шаге выбора служб роли в нашей ситуации достаточно будет выбрать только службу Network Policy Server.

image


После того как установка роли успешно завершена, открываем оснастку Network Policy Server (nps.msc) через Панель управления > Administrative Tools

Для начала использования нужных нам функций сервера в доменной инфраструктуре необходимо провести его регистрацию в AD. Для этого в корне консоли правой кнопкой мыши откроем контекстное меню и выберем пункт меню Register server in Active Directory

image

При этом мы должны подтвердить наше намерение дать серверу полномочия в домене на чтение свойств учётных записей пользователей, касающихся удалённого доступа.

image

Теперь нам нужно внести на наш NPS сервер информацию о всех наших клиентах RADIUS. Для этого в дереве консоли NPS развернём раздел RADIUS Clients and Servers и на элементе RADIUS Clients откроем контекстное меню и выберем пункт New

image

В открывшемся диалоговом окне заполним поля Friendly name и Client address (IP or DNS) указав имя которое мы зарегистрировали предварительно в DNS для контроллера управления одного конкретно взятого ИБП.

Значение поля “Friendly name” может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа - Remote Access Policy. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.

В поля Shared Secret и Confirm shared secret введём пароль, который будет прописан в настройках UPS контроллера для подключения к серверу RADIUS.

image

Переключимся на закладку Advanced и выберем в списке вендоров оборудования RADIUS Standard, так как APC не представлен в этом списке.

image

Для того чтобы в дальнейшем настроить политики доступа, которые будут опираться на доменную аутентификацию, нам нужно создать в домене соответствующие локальные группы безопасности, в которые буду включены пользователи, которым можно будет получать доступ к контроллерам управления ИБП.

image

Так как контроллеры APC, как отмечалось ранее ранее, поддерживают три основные роли доступа, возможно будет удобно создать три соответствующие группы безопасности. При этом, стоит обратить внимание на то, что для пользователей, которые будут включаться в эти группы должно быть установлено разрешение в домене, дающее право удалённого доступа.

image

С помощью политик доступа мы произведём связку созданных ранее записей о клиентах RADIUS и доменных групп безопасности, определяющих уровень доступа к контроллерам ИБП. То есть в нашем случае будет создано три политики доступа.

Итак, создадим первую политику, определяющую полный административный доступ к контроллеру ИБП. В дереве консоли NPS в разделе Policies > Network Policies откроем контекстное меню и выберем пункт New.

image

В открывшемся мастере создания политики введём название создаваемой политики (пусть например оно будет созвучно с группой доступа) и выберем тип соединения Unspecified

image

На следующем шаге Specify conditions нам нужно добавить условия при которых будет применяться данная политика RADIUS. Добавим два условия, – чтобы пользователь, проходящий авторизацию, входил в определенную доменную группу безопасности, и устройство, к которому осуществляется доступ, имело определённое имя. Через кнопку Add добавим сначала условие выбрав тип Windows Group

image

В открывшемся окне добавления групп добавим сделанную ранее в домене группу безопасности которая будет служить для предоставления административного доступа. Здесь важно понимать, что использование встроенных групп безопасности таких как, например, Domain Admins не является хорошей практикой с точки зрения безопасности.

image

Затем добавим второе условие по свойству Client Friendly Name

image

В качестве значения можно использовать как конкретные “Friendly name” устройств так и их маску, например в нашем случае политика будет применяться ко всем клиентам RADIUS у которых в свойствах атрибута “Friendly name” указано значение начинающееся с “KOM-AD01-UP”

image

В итоге, в нашем случае, список условий будет выглядеть так:

image

На следующем шаге Specify Access Permission укажем, что данная политика является политикой, разрешающей доступ - Access granted

image

На следующем шаге Configure Authentication Methods отключим все методы аутентификации и включим метод Unencrypted authentication (PAP, SPAP), так как контроллеры ИБП APC в нашем случае поддерживают только этот метод.

image

При этом мы получим предупреждение о том, что выбранный метод является не безопасным и для того, чтобы оставить выбор в силе, нужно нажать - No.

clip_image016

На следующем шаге настройки дополнительных ограничений Configure Constraints можно ничего не изменять

image

На шаге конфигурационных настроек Configure Settings в разделе настроек стандартных атрибутов RADIUS удалим имеющиеся по умолчанию там два атрибута и добавим новый по кнопке Add.

image

В открывшемся окне выбора стандартных атрибутов, выберем Service-Type и нажмём Add.

image

Переключатель значения атрибута Attribute value установим в положение Others и из выпадающего списка выберем значение Administrative

image


В итоге список стандартных атрибутов RADIUS в нашем случае будет иметь только одну позицию:

image


После этого перейдём на шаг завершения создания новой политики доступа, получив сводную информацию о заданных нами настройках.

image

По аналогии создаём вторую политику с д оступом на чтение с функциями управления клиентами ИБП и при её создании в качестве стандартного параметра RADIUS выбираем Service-Type равный значению Logi n

image

Затем так же создаём третью политику с доступом “только на чтение” и при её создании в качестве стандартного параметра RADIUS выбираем Service-Type равный значению Authorize only

image

При создании и планировании политик обратите внимание на то что имеет значение их порядок. Политики обрабатываются сверху вниз, и когда получается что все условия в очередной политике соблюдены, их дальнейшая обработка прекращается. То есть с точки зрения безопасности и разруливания конфликтов между политиками правильней будет располагать политики в порядке возрастания административных полномочий.

Подключаемся к контроллеру управления ИБП APC например через Web-интерфейс используя его встроенную учетную запись администратора, переходим на закладку Administration > Security > Remote Users Authentication и включаем опцию RADIUS, then Local Authentication

image

Включение этой опции позволит нам в качестве основного режима аутентификации использовать наш сервер RADIUS, а в случае его недоступности (например в случае остановки службы) будет активироваться режим локальной аутентификации.

В настройках RADIUS указываем имя нашего сервера NPS и пароль, который мы использовали ранее в консоли NPS когда создавали запись об этом клиенте RADIUS.

image

Итак, после сохранения настроек выполняем выход из сеанса администрирования контроллером ИБП и входим заново используя доменную учетную запись (без доменных префиксов)

image

Если мы всё сделали правильно, то успешно пройдём авторизацию на нашем RADUIS сервере и в соответствии с нашими политиками доступа NPS получим определённый набор полномочий на контроллере ИБП. На закладке Logs мы сможем увидеть информацию о наших сессиях входа/выхода.

image

  • 6278 -Network Policy Server granted full access to a user because the host met the defined health policy
  • 6272 - Network Policy Server granted access to a user
  • 6273 - Network Policy Server denied access to a user

date

22.01.2015

directory

Windows Server 2012 R2

comments

комментариев 7

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting), фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server). В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco.

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).

Установка роли Network Policy Server на Windows Server 2012 R2

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

mmc консоль управления Network Policy Server

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New. Укажем:

Новый клиент RADIUS - коммутатор HP ProCurve

Отключим стандартную политику (Use Windows authentication for all users) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable.

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.

Client Friendly Name - правило NPS

В качестве значения укажем sw-?. Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.

Политика аутентификации на коммутаторе для сетевых администраторов

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP).

В окне Configure Settings изменим значение атрибута Service-Type на Administrative.

Административный доступ к сетевому оборудованию с помощью RADIUS

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Приоритет сетевых политик NPS

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

Совет. Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

Не закрывая консольное окно коммутатора (это важно!, иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Читайте также: