Konfigurace ověřování RADIUS mezi zařízeními Cisco a Network Policy Server (NPS) v systému Windows Server 2008 se mírně liší od konfigurace podobného balíčku v předchozích verzích systému Windows.
Pokud tuto službu neznáte, doporučujeme si přečíst další článek TechNet.
http://technet.microsoft.com/en-us/network/bb629414.aspx
V tomto článku ukážu základní konfiguraci, která umožňuje použití NPS jako ověřovacího serveru pro různá zařízení Cisco (přepínače, směrovače). Možná je tato instrukce vhodná pro práci s dalšími zařízeními, která podporují autentizaci RADIUS, ale takové zkušenosti jsem neměl.
1. Nainstalujte službu Síť Zásady Server. Tuto součást najdete v části „Síťové zásady a přístupové služby“ na systému Windows 2008 Server..
2. Otevřete konzolu pro správu Síť Zásady Server z nabídky „Nástroje pro správu“.
3. Vytvořit nový klient poloměru pro zařízení Cisco. Tento krok se prakticky neliší od konfigurace podobného balíčku v Windows Server 2000/2003. Stačí zadat IP adresu zařízení, vybrat typ „standard poloměru“ a nastavit tajný klíč (sdílené tajemství).
4. Zaregistrujte server v Aktivní Adresář, proč klepněte pravým tlačítkem na uzel „NPS (místní)“ a vyberte „RegistrerserverinActiveDirectory“. V důsledku tohoNPS po přijetí žádosti o autorizaci bude moci tyto žádosti předat společnosti AD.
5. Vytvořit „Připojení Žádost Zásady “. Tento krok je nový, objevil se pouze v systému Windows Server 2008. Dříve bylo toto nastavení zahrnuto do zásady vzdáleného přístupu. Při nastavování „zásady žádosti o připojení“ není nic složitého. Prvním krokem je nastavení typu serveru pro přístup k síti na „Nespecifikováno“.
Dále musíte přidat alespoň jednu podmínku zásady. V tomto testovacím případě používám „denní a časová omezení“, pro jednoduchost povolím přístup (povoleno) 24 × 7. Pravidla, která zde uvedete, musí samozřejmě odpovídat zásadám zabezpečení vaší společnosti, takže je třeba pečlivě zvážit nastavení zásady používání protokolu NPS..
Nakonec na kartě Nastavení v části Ověřování zaškrtněte možnost „Ověřovací požadavky na tomto serveru“..
6. Vytvořit Síť Zásady, v dřívějších verzích systému Windows Server bylo toto nastavení nazýváno zásadou vzdáleného přístupu. Na kartě Přehled musíte nakonfigurovat zásadu tak, aby používala server pro přístup k síti typu „Nespecifikováno“. Nezapomeňte udělit nebo povolit přístup na základě těchto zásad, vybral jsem „Udělit přístup“.
Na kartě Podmínky musíte přidat alespoň jednu podmínku. Obvykle to označuje skupinu Active Directory, jejíž členové se budou moci připojit.
Jedinou věcí, kterou lze na kartě Omezení udělat, je povolit metodu ověřování „Nešifrovaná autentizace (PAP, SPAP)“.
Nakonec na kartě Nastavení zkontrolujte, zda je v části Šifrování vybrána možnost „Žádné šifrování“..
7. Ověřovací server musí být nastaven na síťovém zařízení. Toto nastavení je specifické pro různé značky a modely síťových zařízení. V nejnovějších verzích IOS na přepínačích Cisco budou konfigurační příkazy následující:
aaa nový model
aaa ID relace společné
aaa autentizace přihlašovací výchozí poloměr skupiny
radius-server host 10.24.0.1 auth-port 1812 acct-port 1813 key your_ tajemství_key
8. Zbývá pouze otestovat práci!
