Strežnik omrežne politike in avtentikacija Cisco RADIUS

Konfiguriranje pristnosti RADIUS med napravami Cisco in strežnikom omrežnih pravilnikov (NPS) v sistemu Windows Server 2008 se nekoliko razlikuje od konfiguriranja podobnega svežnja v prejšnjih različicah sistema Windows.

V primeru, da s storitvijo niste seznanjeni, priporočam, da preberete naslednji članek TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

V tem članku bom prikazal osnovno konfiguracijo, ki omogoča uporabo NPS kot overjevalnega strežnika za različne Ciscove naprave (stikala, usmerjevalnike). Morda je to navodilo primerno za delo z drugimi napravami, ki podpirajo pristnost RADIUS, vendar nisem imel takšnih izkušenj.

1. Namestite servis Omrežje Politika Strežnik. To komponento najdete v razdelku »Omrežne politike in storitve dostopa« v sistemu Windows 2008 Server..

2. Odprite konzolo za upravljanje Omrežje Politika Strežnik v meniju "Upravna orodja".

3. Ustvari novo radijski odjemalec za naprave Cisco. Ta korak se praktično ne razlikuje od konfiguracije podobnega svežnja v Windows Server 2000/2003. Določiti morate samo naslov IP naprave, izbrati vrsto "radij standard" in nastaviti skrivni ključ (deljena skrivnost).

4. Registrirajte strežnik v Aktivno Imenik, zakaj z desno miškino tipko kliknite vozlišče "NPS (lokalno)" in izberite "RegisterserverinActiveDirectory". Kot rezultatNPS po prejemu zahteve za dovoljenje bo te zahteve lahko posredoval AD-ju.

5. Ustvari »Povezava Zahteva Politika ". Ta korak je nov, pojavil se je samo v sistemu Windows Server 2008. Prej je bila ta nastavitev vključena v pravilnik o oddaljenem dostopu. Pri postavljanju "Pravilnika o povezavi z zahtevami" ni nič zapletenega. Prvi korak je, da vrsto strežnika za dostop do omrežja nastavite na "Nedoločen".

Nato morate dodati vsaj en pogoj pravilnika. V tem primeru uporabim "dnevne in časovne omejitve", zaradi preprostosti dovolim dostop (dovoljen) 24 × 7. Seveda morajo pravila, ki jih tukaj določite, ustrezati varnostni politiki vašega podjetja, zato morate natančno razmisliti o nastavitvah politike uporabe NPS.

Na koncu na kartici Nastavitve v razdelku Preverjanje pristnosti preverite možnost »Zahteve za preverjanje pristnosti na tem strežniku«..

6. Ustvari Omrežje Politika, v starejših različicah sistema Windows Server so to nastavitev imenovali politika oddaljenega dostopa. Na zavihku Pregled morate konfigurirati pravilnik za uporabo strežnika za dostop do omrežja vrste "Nespecificirano". Ne pozabite odobriti ali dovoliti dostopa v skladu s tem pravilnikom, zato sem izbral »Dovoli dostop«.

Na zavihku Pogoji morate dodati vsaj en pogoj. Običajno to pomeni skupino Active Directory, katere člani se lahko povežejo.

Na kartici Omejitve je treba samo omogočiti način preverjanja pristnosti »Nešifrirano preverjanje pristnosti (PAP, SPAP)«.

Na koncu na kartici Nastavitve preverite, ali je v razdelku Šifriranje izbrana možnost »Brez šifriranja«..

7. Strežnik za preverjanje pristnosti mora biti nastavljen na omrežni opremi. Ta nastavitev je specifična za različne znamke in modele omrežne opreme. V najnovejših različicah IOS na stikalih Cisco bodo ukazi konfiguracije naslednji:

aaa novo-model

aaa seja-id skupna

aaa privzeti polmer skupine za prijavo za preverjanje pristnosti

radius-strežnik gostitelj 10.24.0.1 auth-port 1812 acct-port 1813 ključ_ skrivnost_ ključ

8. Ostaja le preizkus dela!