Аутентификация RADIUS на базе Microsoft Windows Server на примере межсетевого экрана Dlink DFL


При помощи стандартных компонентов Server 2008 достаточно легко реализуется RADIUS аутентификация пользователей на межсетевом экране DFL-860E. Я думаю, что данный способ будет работать и на других сетевых устройствах. Задача была сделать простую аутентификацию без использования сертификатов ввиду небольшого количества юзеров Для начала необходимо поднять Роль сервера политик сети или NPS Обращаем внимание на то, где стоят галки.

В результате установки нашего NPS (Network Policy Server), в Ролях сервера посвится каталог — Службы политики сети и доступа.

1.png

После чего необходимо создать свои простые правила. Не используйте мастеров по генерации политик. После них ничего не работает, так как они предназначены для сложных конфигураций. Первым шагом создаем наше устройство, которое будет перенаправлять запросы на наш NPS. Идем на «Клиенты и серверы RADIUS», «RADIUS-клиенты». По правой кнопке создаем нового клиента – «новый документ»

2.png

 

Вводим имя, которое вам нравится. IP-адрес вашего устройства. Вводим пароль – ключ для данного устройства. На устройстве данный ключ должен быть прописан.

3

На вкладке «Дополнительно» выбираем RADIUS Standard, так как в нашем случае производитель устройства заложит стандартный алгоритм.

 

3-1

Идем в «Политики» — «Политики запросов на подключение» по правой кнопке создаем новую политику

4

Обзываем ее как нам нравится

4-1

В условиях делаем время доступа, такое, какое нам надо. В данном случае – круглосуточно.

Во вкладке параметры оставляем все по умолчанию

4-2

5

В проверке подлинности должно стоять «Проверять подлинность запросов на этом сервере»

6

Во всех остальных параметрах – пусто.

6-1

Далее идем в сетевые политики и создаем новый документ

7

Новой политике присваиваем имя

8

Во вкладке «Условия» добавляем тип проверки подлинности MS-CHAP v2 и добавляем группу пользователей Active Directory или самих пользователей, которым будет разрешено удаленно подключаться через наше сетевое устройство.

9

Во вкладке «Ограничения» указываем следующие параметры

Типы EAP:

  • Microsoft: Защищенный пароль EAP-MSCHAP v2, Защищенные EAP (PEAP)
  • Методы проверки подлинности ставим также MSCHAP-v2. MS-CHAP

Остальные ограничения — по умолчанию

10

 

Вкладка –«Параметры»

11

Шифрование устанавливаем такое как на рисунке: Простое шифрование, Сильное шифрование , Стойкое ифрование. Автор не проверял какие из этих опций лишние.

12

Будет не лишним установить логи. Они нам помогут, если что пойдет не так как надо

13

14

Изначально файл логов пустой. Нужно выбрать его расположение и сохранить.

 

После этих настроек можно переходить к настройкам RADIUS сетевого устройства

15

Заходим в External Users Databases и создаем запись нашего сервера NPS

 

16

Во вкладке General, Shared Secret в указываем пароль, который должен совпадать на нашем RADIUS – сервере

17

В Accounting Servers создаем запись на наш сервер NPS

18

Также задаем наш сервер NPS предварительно прописанный в адресной книге нашего Dlink. Прописываем пароль, как на NPS сервере в прописанном устройстве.

19

Идем в User Authentication Rules и на первом месте создаем правило аутентификации RADIUS. В данном примере работать будет только оно. Последующее правило работать не будет

20

Во вкладке General выбираем RADID и привязываемся к соответствующим интерфейсам

21

Вкладка Log

22

Во вкладке Authentication Options указываем наш Radius Accounting Database

22-1

Во вкладке Accounting указываем наш Radius Accounting Server

23

В Agent Options указываем защищенные протоколы Chap, MS-Chap, MS-Chap v2

24

В Restrictions указываем опции позволящие входить несколько раз под одной записью.

Проделав данные манипуляции пробуем соединение с удаленной машины.

Настройка клиентского подключения будет описана в следующем документе

Данный документ может свободно публиковаться и распространяться при условии наличии в нем гиперссылки на сайт автора www.globaladmin.ru, либо на данную статью

 

Инженер Компании Глобал-Админ

Ярослав Егоров.