Network Policy Server і аутентифікація Cisco RADIUS

Налаштування RADIUS аутентифікації між пристроями Cisco і службою Network Policy Server (NPS) в Windows Server 2008 трохи відрізняється від настройки подібної зв'язки в попередніх версіях Windows.

У тому випадку, якщо ви не знайомі зі службою, рекомендую почитати наступну статтю TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

У даній статті я покажу базову настройку, що дозволяє використовувати NPS в якості сервера аутентифікації для різних пристроїв компанії Cisco (комутаторів, маршрутизаторів). Можливо, дана інструкція підійде для роботи з іншими пристроями, що підтримують RADIUS аутентифікацію, однак у мене такого досвіду не було.

1. встановіть службу Network Policy Server. Цей компонент можна знайти в розділі 'Network Policy and Access Services' на Windows 2008 Server.

2. Відкрийте консоль управління Network Policy Server з меню "Administrative Tools".

3. створіть новий radius клієнт для пристроїв Cisco. Цей крок практично нічим не відрізняється від конфігурації подібної зв'язки в Windows Server 2000/2003. Вам потрібно просто вказати IP адресу пристрою, вибрати тип the "radius standard", і задати секретний ключ (shared secret).

4. Зареєструйте сервер в Active Directory, для чого клацніть правою клавішею миші по вузлу "NPS (local)" і виберіть пункт "RegisterserverinActiveDirectory". В результатіNPS при отримання запиту на авторизацію, зможе пересилати ці запити до AD.

5. створіть "Connection Request Policy ". Цей крок є новим, він з'явився тільки в Windows Server 2008. Раніше ця настройка була включена в політику віддаленого доступу (remote access policy). У налаштуванні "Connection request policy" немає нічого складного. На першому кроці необхідно задати тип сервера network access в "Unspecified".

Далі потрібно додати хоча б одна умова політики. Я в даному тестовому прикладі використовую обмеження по дню і часу використання ( "day and time restrictions"), для простоти я дозволяю доступ (permitted) 24 × 7. Природно ті правила, які ви тут вказуєте повинні відповідати політиці безпеки вашої компанії, тому потрібно уважно поставитися до налаштувань політики використання NPS.

І, нарешті, на вкладці Settings в розділі Authentication, відзначте опцію "Authenticate requests on this server" (Аутентифікація запитів на цьому сервері).

6. створюємо Network Policy, в більш ранніх версіях Windows Server ця настройка називалася політикою віддаленого доступу (remote access policy). На вкладці Overview потрібно налаштувати політику на використання сервера network access типу "Unspecified". Не забудьте надати або дозволити доступ по цій політиці, я вибрав "Grant Access".

На вкладці Conditions необхідно додати хоча б одна умова. Як правило, тут вказується група Active Directory, членам якої буде дозволено підключення.

Єдине, що потрібно зробити на вкладці Constraints - включити метод аутентифікації "Unencrypted authentication (PAP, SPAP)".

І нарешті, на вкладці Settings потрібно переконатися, що в секції шифрування (Encryption) обрана опція "No Encryption» (не шифрувати).

7. На мережевому обладнанні потрібно задати сервер аутентифікації. Дана настройка специфічна для різних марок і моделей мережевого обладнання. В останніх версіях IOS на комутаторах Cisco, команди настройки будуть такими:

aaa new-model

aaa session-id common

aaa authentication login default group radius

radius-server host 10.24.0.1 auth-port 1812 acct-port 1813 key ваш_секретний_ключ

8. Залишилося тільки протестувати роботу!