Сервер радиус: Как работает RADIUS? — Cisco
Как работает RADIUS? — Cisco
Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Условные обозначения
Общие сведения
Аутентификация и авторизация
Учет
Дополнительные сведения
Протокол службы дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS) был разработан корпорацией Livingston Enterprises в качестве протокола аутентификации и учета для сервера доступа. Спецификация RADIUS RFC 2865 заменяет RFC 2138. Стандарт учета RADIUS RFC 2866 заменяет RFC 2139.
Требования
Для данного документа отсутствуют предварительные условия.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Условные обозначения
Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.
Соединение между сервером доступа к сети (NAS) и сервером RADIUS основано на протоколе UDP (User Datagram Protocol). В общем виде протокол RADIUS представляет собой службу без установления соединения. Вопросы, связанные с доступностью сервера, повторной передачей и временем ожидания, решаются устройствами с поддержкой RADIUS лучше, чем протоколом передачи.
RADIUS – протокол типа «клиент-сервер». Клиент RADIUS обычно представляет собой сервер NAS, а сервер RADIUS – процесс-демон на компьютере с ОС Windows NT или UNIX. Клиент передает сведения о пользователе указанным серверам RADIUS и выполняет различные действия в зависимости от возвращенного ответа. Серверы RADIUS принимают запросы подключения пользователей, выполняют аутентификацию пользователей и возвращают данные о конфигурации, необходимые для обслуживания пользователя клиентом. Сервер RADIUS может действовать как промежуточный для других серверов RADIUS или серверов аутентификации другого типа.
На этом рисунке показано взаимодействие удаленного пользователя с клиентом или сервером RADIUS.
Пользователь инициализирует аутентификацию PPP с сервером NAS.
NAS запрашивает имя пользователя и пароль (для протокола аутентификации пароля [PAP]) или хэш-строку (для протокола аутентификации с косвенным согласованием [CHAP]).
Пользователь отправляет ответ.
Клиент RADIUS посылает серверу RADIUS имя пользователя и зашифрованный пароль.
Сервер RADIUS выдает один из ответов: Accept (принято), Reject (отклонено) или Challenge (требуется вторичная аутентификация).
Клиент RADIUS выбирает действие в зависимости от служб и их параметров, объединенных с сообщениями Accept или Reject.
Сервер RADIUS может поддерживать множество методов аутентификации пользователя. Для проверки подлинности имени пользователя и пароля, предоставляемых серверу, могут использоваться протоколы PPP, PAP, CHAP, вход UNIX и другие механизмы аутентификации.
Обычно процесс входа пользователя состоит из передачи запроса (Access-Request) с сервера NAS на сервер RADIUS и получения соответствующего ответа с сервера (Access-Accept или Access-Reject). Пакет Access-Request содержит имя пользователя, зашифрованный пароль, IP-адрес сервера NAS и порт. Первоначально серверы RADIUS размещались на UDP-порту 1645, что создавало конфликт со службой datametrics. По причине этого конфликта документ RFC 2865 официально закрепил за протоколом RADIUS порт 1812. Большинство устройств и приложений Cisco поддерживают оба набора номеров портов. Формат запроса также содержит информацию о типе сеанса, который собирается инициировать пользователь. Например, если запрос представлен в символьном режиме, то вывод должен выглядеть как Service-Type = Exec-User, но если запрос представлен в пакетном режиме PPP, то вывод выглядит как Service Type = Framed User и Framed Type = PPP.
По получении от NAS запроса Acceess-Request сервер RADIUS производит поиск указанного имени пользователя в базе данных. Если имя пользователя не найдено в базе данных, это значит, что загружен профиль по умолчанию, или сервер RADIUS немедленно отправляет сообщение Access-Reject. Данное сообщение Access-Reject может сопровождаться текстовым сообщением, в котором указывается причина отказа в доступе.
В RADIUS аутентификация и авторизация объединены. Если имя пользователя найдено и пароль правильный, то сервер RADIUS возвращает подтверждение доступа, включая список пар «атрибут-значение», которые описывают параметры, необходимые для данного сеанса. В числе типичных параметров: тип службы (сеанс интерпретатора или кадрирование), тип протокола, назначенный пользователю IP-адрес (статический или динамический), применяемый список доступа или статический маршрут для установки в таблицу маршрутизации NAS. Данные конфигурации на сервере RADIUS определяют компоненты, которые будут установлены на сервер NAS. Рисунок ниже показывает аутентификацию RADIUS и последовательность авторизации.
Функции учета протокола RADIUS могут использоваться независимо от функций аутентификации или авторизации RADIUS. Учетная функция RADIUS позволяет посылать данные в начале и в конце сеансов, отображая ресурсы (такие как время, пакеты, байты и т. п.), использованные во время сеанса. Для удовлетворения потребностей безопасности и биллинга поставщик услуг Интернета (ISP) может использовать программное обеспечение RADIUS по управлению доступом и учету. В большинстве устройств Cisco в качестве порта учета RADIUS используется порт 1646, но также может быть выбран номер 1813 (по причине изменения номеров портов, закрепленного документом RFC 2139 ).
Подлинность транзакций между клиентом и сервером RADIUS подтверждается с помощью общего секретного ключа, никогда не пересылаемого по сети. Кроме того, обмен паролями пользователей между клиентом и сервером RADIUS выполняется в зашифрованном виде для исключения вероятности перехвата пароля пользователя злоумышленниками через прослушивание незащищенной сети.
Настройка RADIUS-клиентов | Microsoft Docs
-
- Чтение занимает 5 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
С помощью этого раздела можно настроить серверы доступа к сети в качестве RADIUS-клиентов в NPS.You can use this topic to configure network access servers as RADIUS Clients in NPS.
При добавлении нового ( VPN-сервера сетевого доступа, точки беспроводного доступа, коммутатора проверки подлинности или сервера коммутируемого подключения ) к сети необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить клиент RADIUS для взаимодействия с сервером политики сети.When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS, and then configure the RADIUS client to communicate with the NPS.
Важно!
Клиентские компьютеры и устройства, такие как переносные компьютеры, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS.Client computers and devices, such as laptop computers, tablets, phones, and other computers running client operating systems, are not RADIUS clients. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1 X, серверы виртуальной частной сети (VPN) и серверы удаленного доступа, так как они используют протокол RADIUS для связи с серверами RADIUS, например NPS- ( серверы политики сети ) .RADIUS clients are network access servers — such as wireless access points, 802.1X-capable switches, virtual private network (VPN) servers, and dial-up servers — because they use the RADIUS protocol to communicate with RADIUS servers, such as Network Policy Server (NPS) servers.
Этот шаг также необходим, если сервер политики сети входит в группу удаленных серверов RADIUS, настроенную на прокси-сервере NPS.This step is also necessary when your NPS is a member of a remote RADIUS server group that is configured on an NPS proxy. В этом случае в дополнение к выполнению действий, описанных в этой задаче на прокси-сервере NPS, необходимо выполнить следующие действия.In this circumstance, in addition to performing the steps in this task on the NPS proxy, you must do the following:
- На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS.On the NPS proxy, configure a remote RADIUS server group that contains the NPS.
- На удаленном сервере политики сети настройте прокси-сервер NPS в качестве RADIUS-клиента.On the remote NPS, configure the NPS proxy as a RADIUS client.
Для выполнения процедур, описанных в этом разделе, необходимо наличие по крайней мере одного ( VPN-сервера сетевого доступа, точки доступа к сети, коммутатора проверки подлинности или сервера удаленного доступа к сети ) или прокси-сервера NPS.To perform the procedures in this topic, you must have at least one network access server (VPN server, wireless access point, authenticating switch, or dial-up server) or NPS proxy physically installed on your network.
Настройка сервера сетевого доступаConfigure the Network Access Server
Используйте эту процедуру, чтобы настроить серверы сетевого доступа для работы с NPS.Use this procedure to configure network access servers for use with NPS. При развертывании серверов сетевого доступа (NAS) в качестве RADIUS-клиентов необходимо настроить взаимодействие клиентов с НПСС, где серверы NAS настроены в качестве клиентов.When you deploy network access servers (NASs) as RADIUS clients, you must configure the clients to communicate with the NPSs where the NASs are configured as clients.
Эта процедура содержит общие рекомендации о параметрах, которые следует использовать для настройки серверов NAS. конкретные инструкции по настройке устройства, которое вы развертываете в сети, см. в документации по продукту NAS.This procedure provides general guidelines about the settings you should use to configure your NASs; for specific instructions on how to configure the device you are deploying on your network, see your NAS product documentation.
Настройка сервера сетевого доступаTo configure the network access server
- На сервере NAS в параметрах RADIUSвыберите Проверка подлинности RADIUS на udp-порте 1812 и учет RADIUS на UDP-порте 1813.On the NAS, in RADIUS settings, select RADIUS authentication on User Datagram Protocol (UDP) port 1812 and RADIUS accounting on UDP port 1813.
- В поле сервер проверки подлинности или сервер RADIUSукажите сервер политики сети по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS.In Authentication server or RADIUS server, specify your NPS by IP address or fully qualified domain name (FQDN), depending on the requirements of the NAS.
- В качестве секрета или общего секретавведите надежный пароль.In Secret or Shared secret, type a strong password. При настройке NAS в качестве RADIUS-клиента в NPS вы будете использовать тот же пароль, поэтому не забывайте его.When you configure the NAS as a RADIUS client in NPS, you will use the same password, so do not forget it.
- Если в качестве метода проверки подлинности используется протокол PEAP или EAP, настройте NAS для использования проверки подлинности EAP.If you are using PEAP or EAP as an authentication method, configure the NAS to use EAP authentication.
- При настройке точки доступа к беспроводной сети в SSIDукажите идентификатор набора служб ( SSID ) , который является буквенно-цифровой строкой, которая служит в качестве сетевого имени.If you are configuring a wireless access point, in SSID, specify a Service Set Identifier (SSID), which is an alphanumeric string that serves as the network name. Это имя транслируется точками доступа для беспроводных клиентов и отображается для пользователей в ( общественных точках Wi-Fi для беспроводной связи ) .This name is broadcast by access points to wireless clients and is visible to users at your wireless fidelity (Wi-Fi) hotspots.
- Если вы настраиваете беспроводную точку доступа, в 802.1 x и WPAвключите проверку подлинности IEEE 802.1 x , если хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS.If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X authentication if you want to deploy PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS.
Добавление сервера доступа к сети в качестве RADIUS-клиента в NPSAdd the Network Access Server as a RADIUS Client in NPS
Эта процедура используется для добавления сервера доступа к сети в качестве RADIUS-клиента в NPS.Use this procedure to add a network access server as a RADIUS client in NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS.You can use this procedure to configure a NAS as a RADIUS client by using the NPS console.
Для выполнения этой процедуры необходимо быть членом группы Администраторы.To complete this procedure, you must be a member of the Administrators group.
Добавление сервера доступа к сети в качестве RADIUS-клиента в NPSTo add a network access server as a RADIUS client in NPS
- На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети.On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS.The NPS console opens.
- В консоли NPS дважды щелкните RADIUS-клиенты и серверы.In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент.Right-click RADIUS Clients, and then click New RADIUS Client.
- Убедитесь, что в поле новый клиент RADIUSустановлен флажок включить клиент RADIUS .In New RADIUS Client, verify that the Enable this RADIUS client check box is selected.
- В поле » новый клиент RADIUS» в поле понятное имявведите отображаемое имя NAS.In New RADIUS Client, in Friendly name, type a display name for the NAS. В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN).In Address (IP or DNS), type the NAS IP address or fully qualified domain name (FQDN). При вводе полного доменного имени нажмите кнопку проверить , чтобы убедиться, что имя указано правильно и сопоставляется с ДОПУСТИМЫМ IP-адресом.If you enter the FQDN, click Verify if you want to verify that the name is correct and maps to a valid IP address.
- В поле поставщик нового RADIUS-клиентаукажите имя производителя NAS.In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS.If you are not sure of the NAS manufacturer name, select RADIUS standard.
- В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий.In New RADIUS Client, in Shared secret, do one of the following:
- Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS.Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета.Retype the shared secret in Confirm shared secret.
- Выберите создать, а затем — создать , чтобы автоматически создать общий секрет.Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети.Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
- В новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщения, выберите сообщения запроса доступа должны содержать атрибут проверки подлинности сообщения.In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if your NAS supports use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
- Нажмите кнопку ОК.Click OK. NAS появится в списке клиентов RADIUS, настроенных на сервере политики сети.Your NAS appears in the list of RADIUS clients configured on the NPS.
Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 DatacenterConfigure RADIUS Clients by IP Address Range in Windows Server 2016 Datacenter
Если вы используете Windows Server 2016 Datacenter, можно настроить клиенты RADIUS в NPS по диапазону IP-адресов.If you are running Windows Server 2016 Datacenter, you can configure RADIUS clients in NPS by IP address range. Это позволяет добавлять большое количество RADIUS-клиентов (например, точек доступа к беспроводной сети) в консоль NPS за один раз, а не добавлять каждый клиент RADIUS по отдельности.This allows you to add a large number of RADIUS clients (such as wireless access points) to the NPS console at one time, rather than adding each RADIUS client individually.
Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard.You cannot configure RADIUS clients by IP address range if you are running NPS on Windows Server 2016 Standard.
Эта процедура используется для добавления группы серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с использованием IP-адресов из одного и того же диапазона IP-адресов.Use this procedure to add a group of network access servers (NASs) as RADIUS clients that are all configured with IP addresses from the same IP address range.
Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет.All of the RADIUS clients in the range must use the same configuration and shared secret.
Для выполнения этой процедуры необходимо быть членом группы Администраторы.To complete this procedure, you must be a member of the Administrators group.
Настройка клиентов RADIUS по диапазону IP-адресовTo set up RADIUS clients by IP address range
- На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети.On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS.The NPS console opens.
- В консоли NPS дважды щелкните RADIUS-клиенты и серверы.In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент.Right-click RADIUS Clients, and then click New RADIUS Client.
- В поле » новый клиент RADIUS» в поле понятное имявведите отображаемое имя для коллекции серверов NAS.In New RADIUS Client, in Friendly name, type a display name for the collection of NASs.
- В поле адрес ( IP или ) DNSвведите диапазон IP-адресов для клиентов RADIUS с помощью ( нотации CIDR междоменной маршрутизации ) .In Address (IP or DNS), type the IP address range for the RADIUS clients by using Classless Inter-Domain Routing (CIDR) notation. Например, если диапазон IP-адресов для серверов NAS — 10.10.0.0, введите 10.10.0.0/16.For example, if the IP address range for the NASs is 10.10.0.0, type 10.10.0.0/16.
- В поле поставщик нового RADIUS-клиентаукажите имя производителя NAS.In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS.If you are not sure of the NAS manufacturer name, select RADIUS standard.
- В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий.In New RADIUS Client, in Shared secret, do one of the following:
- Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS.Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета.Retype the shared secret in Confirm shared secret.
- Выберите создать, а затем — создать , чтобы автоматически создать общий секрет.Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети.Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
- В новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, а также если все серверы NAS поддерживают использование атрибута проверки подлинности сообщений, выберите пункт сообщения запроса доступа должен содержать атрибут проверки подлинности сообщения.In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if all of your NASs support use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
- Нажмите кнопку ОК.Click OK. Серверы NAS отображаются в списке клиентов RADIUS, настроенных на сервере политики сети.Your NASs appear in the list of RADIUS clients configured on the NPS.
Дополнительные сведения см. в разделе RADIUS-клиенты.For more information, see RADIUS Clients.
Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).For more information about NPS, see Network Policy Server (NPS).
Шаг 2. Настройка сервера RADIUS
-
- Чтение занимает 2 мин
В этой статье
Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016
Перед настройкой сервера удаленного доступа для поддержки DirectAccess с поддержкой OTP необходимо настроить сервер RADIUS.Before you configure the Remote Access server to support DirectAccess with OTP support, you configure the RADIUS server.
2,1. Настройка токенов распространения программного обеспечения RADIUS2.1 Configure the RADIUS software distribution tokens
Сервер RADIUS должен быть настроен с использованием необходимых лицензий и программного обеспечения и/или маркеров распространения оборудования, которые будут использоваться DirectAccess с OTP.The RADIUS server must be configured with the necessary license and software and/or hardware distribution tokens to be used by DirectAccess with OTP. Этот процесс будет специфичен для каждой реализации поставщика RADIUS.This process will be specific to each RADIUS vendor implementation.
2,2. Настройка сведений о безопасности RADIUS2.2 Configure the RADIUS security information
Сервер RADIUS использует UDP-порты для связи, и каждый поставщик RADIUS имеет собственные UDP-порты по умолчанию для входящего и исходящего трафика.The RADIUS server uses UDP ports for communication purposes, and each RADIUS vendor has its own default UDP ports for incoming and outgoing communication. Чтобы сервер RADIUS работал с сервером удаленного доступа, убедитесь, что все брандмауэры в окружении настроены таким образом, чтобы разрешить трафик UDP между серверами DirectAccess и OTP через нужные порты.For the RADIUS server to work with the Remote Access server, make sure that all firewalls in the environment are configured to allow UDP traffic between the DirectAccess and OTP servers over the required ports as needed.
Сервер RADIUS использует общий секрет для проверки подлинности.The RADIUS server uses a shared secret for authentication purposes. Настройте сервер RADIUS с помощью надежного пароля для общего секрета и обратите внимание, что это будет использоваться при настройке конфигурации клиентского компьютера сервера DirectAccess для использования с DirectAccess с OTP.Configure the RADIUS server with a strong password for the shared secret, and note that this will be used when configuring the DirectAccess server’s client computer configuration for use with DirectAccess with OTP.
2,3. Добавление учетной записи пользователя для проверки OTP2.3 Adding user account for OTP probing
На сервере RADIUS создайте новую учетную запись пользователя с именем дапробеусер и присвойте ей пароль дапробепасс.On the RADIUS server create a new user account called DAProbeUser and give it the password DAProbePass.
2,4 Синхронизация с Active Directory2.4 Synchronize with Active Directory
Сервер RADIUS должен иметь учетные записи пользователей, соответствующие пользователям в Active Directory, которые будут использовать DirectAccess с OTP.The RADIUS server must have user accounts that correspond to the users in Active Directory that will be using DirectAccess with OTP.
Синхронизация RADIUS-и Active Directory пользователейTo synchronize the RADIUS and Active Directory users
Запишите сведения о пользователе из Active Directory для всех пользователей DirectAccess с OTP.Record the user information from Active Directory for all DirectAccess with OTP users.
Используйте процедуру, определенную поставщиком, для создания идентичных учетных записей пользователей в формате » домен \ имя_пользователя » на сервере RADIUS, который был записан.Use the vendor specific procedure to create identical user domain\username accounts in the RADIUS server that were recorded.
2,5. Настройка агента проверки подлинности RADIUS2.5 Configure the RADIUS authentication agent
Сервер удаленного доступа должен быть настроен в качестве агента аутентификации RADIUS для реализации DirectAccess с OTP.The Remote Access server must be configured as a RADIUS authentication agent for the DirectAccess with OTP implementation. Следуйте инструкциям поставщика RADIUS, чтобы настроить сервер удаленного доступа в качестве агента проверки подлинности RADIUS.Follow the RADIUS vendor instructions to configure the Remote Access server as a RADIUS authentication agent.
О Radius подробно | Журнал сетевых решений/LAN
Для аутентификации и авторизации пользователей или организации их учета можно порекомендовать использовать RADIUS. Тем более, когда речь идет об обширных сетях, доступ к которым разрешен немалому числу людей.
Oсновные составные части службы идентификации удаленных пользователей (Remote Authentication Dial-In User Service, RADIUS) описываются двумя RFC от IETF: RFC 2865 под названием Remote Authentication Dial-In User Service (RADIUS) в форме проекта стандарта и RFC 2866 под названием RADIUS Accounting в виде «информационного RFC». Изначально концепция RADIUS состояла в обеспечении удаленного доступа через коммутируемое телефонное соединение. Со временем выкристаллизовались и другие области применения этой технологии. К ним относятся серверы виртуальных частных сетей (Virtual Private Network, VPN) — они в большинстве своем поддерживают Rаdius, — а также точки доступа беспроводных локальных сетей (Wireless LAN, WLAN), и это далеко не все.
Концепция службы идентификации удаленных пользователей подразумевает, что клиент RADIUS — обычно сервер доступа, сервер VPN или точка доступа беспроводной локальной сети — отсылает серверу RADIUS параметры доступа пользователя (в англоязычной документации они часто называются Credentials, т. е. мандат, куда, к примеру, входят его настройки безопасности и права доступа), а также параметры соответствующего соединения. Для этого клиент использует специальный формат, так называемый RADIUS-Message (сообщение RADIUS). В ответ сервер начинает проверку, в ходе которой он аутентифицирует и авторизует запрос клиента RADIUS, а затем пересылает ему ответ — RADIUS-Message-response. После этого клиент передает на сервер RADIUS учетную информацию.
Еще одна особенность — поддержка агентов RADIUS. Эти системы предназначены исключительно для обеспечения обмена сообщениями RADIUS между клиентами, серверами и другими агентами. Отсюда можно сделать вывод, что сообщения никогда не передаются непосредственно от клиента к серверу.
Сами по себе сообщения RADIUS передаются в форме пакетов UDP. Причем информация об аутентификации направляется на порт UDP с номером 1812. Некоторые серверы доступа используют, однако, порты 1645 (для сообщений об аутентификации) или, соответственно, 1646 (для учета) — выбор должен определять своим решением администратор. В поле данных пакета UDP (так называемая полезная нагрузка) всегда помещается только одно сообщение RADIUS. В соответствии с RFC 2865 и RFC 2866 определены следующие типы сообщений:
- Access-Request — «запрос доступа». Запрос клиента RADIUS, с которого начинается собственно аутентификация и авторизация попытки доступа в сеть;
- Access-Accept — «доступ разрешен». С помощью этого ответа на запрос доступа клиенту RADIUS сообщается, что попытка соединения была успешно аутентифицирована и авторизована;
- Access-Reject — «доступ не разрешен». Этот ответ сервера RADIUS означает, что попытка доступа к сети не удалась. Такое возможно в том случае, если пользовательских данных недостаточно для успешной аутентификации или доступ для пользователя не авторизован;
- Access-Challenge — «вызов запроса». Сервер RADIUS передает его в ответ на запрос доступа;
- Accounting-Request — «запрос учета», который клиент RADIUS отсылает для ввода учетной информации после получения разрешения на доступ;
- Accounting-Response — «ответ учета». Таким образом сервер RADIUS реагирует на запрос учета и подтверждает факт обработки запроса учета.
Сообщение RADIUS всегда состоит из заголовка и атрибутов, каждый из которых содержит ту или иную информацию о попытке доступа: например, имя и пароль пользователя, запрашиваемые услуги и IP-адрес сервера доступа. Таким образом, главной задачей атрибутов RADIUS является транспортировка информации между клиентами, серверами и прочими агентами RADIUS. Атрибуты RADIUS определены в нескольких RFC, а именно: RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 и RFC 3162.
RADIUS может совместно работать с различными протоколами аутентификации. Наиболее часто используются протокол аутентификации пароля (Password Authentication Protocol, РАР), протокол аутентификации с предварительным согласованием (Challenge Handshake Authentication Protocol, CHAP), а также MS-CHAP (CHAP от Microsoft в первой версии или MS-CHAPv2 — во второй). Кроме того, возможно применение RADIUS вместе с PPP, протоколом передачи «точка-точка» (Point-to-Point Protocol). Результаты сеанса аутентификации между сервером доступа и действующим клиентом передаются на сервер RADIUS, который их потом удостоверяет.
Для защиты сообщений клиент и сервер RADIUS обладают «общим секретом» или, проще говоря, ключом. При этом речь, как правило, идет о цепочке символов, имеющейся как на серверах, так и на клиенте RADIUS.
РАСШИРЕННЫЙ ПРОТОКОЛ АУТЕНТИФИКАЦИИ
Расширенный протокол аутентификации (Extensible Authentication Protocol, EAP) изначально задумывался как дополнение к РРР для поддержки различных механизмов аутентификации доступа к сети. Протоколы аутентификации для РРР, например CHAP, MS-CHAP и MS-CHAPv2, определяют механизм аутентификации во время фазы установления соединения. На этом этапе необходимо применять согласованный протокол аутентификации, с целью «верификации» соединения. В данном случае речь идет о заранее определенной последовательности сообщений, причем они должны отсылаться в соответствии с заданной схемой, а точнее, в указанной очередности.
При использовании EAP в процессе установления соединения в рамках РРР специальный механизм аутентификации не определяется. Лишь на этапе аутентификации участники взаимодействуют по специальной схеме аутентификации EAP, обозначаемой также как «схема типа EAP».
ЕАР позволяет осуществлять обмен сообщениями между клиентом, запрашивающим доступ, и аутентифицирующим сервером (в его роли часто выступает сервер RADIUS). При этом обмен сообщениями может варьироваться с учетом особенностей различных соединений; он состоит собственно из запросов, в которых требуется предоставление информации об аутентификации, а также из соответствующих ответов. Длительность и конкретные детали сеанса аутентификации зависят от заданной схемы EAP.
В архитектурном плане ЕАР задумывался таким образом, чтобы аутентификацию можно было выполнять с помощью подключенных модулей с обеих сторон соединения: от клиента и от сервера. Если библиотечный файл ЕАР установить на обоих концах, то в любой момент можно применить новую схему аутентификации. Тем самым ЕАР предоставляет гибкую среду для внедрения безопасных методов аутентификации.
ЕАР удобен при таких видах аутентификации, как токены (Generic Token Card), однократные пароли (One Time Password), запрос/ответ (MD5-Challenge) или защита на транспортном уровне (Transport Level Security). Кроме того, эта концепция открыта для применения лучших технологий аутентификации в будущем. Однако ЕАР используется не только вместе с РРР. Он, помимо всего, поддерживается на канальном уровне стандарта IEEE 802.
К примеру, службу RRAS операционной системы Windows 2000 можно настроить таким образом, что система с каждым сообщением запроса доступа станет отправлять атрибут удостоверение сообщения (Message-Authenticator). При этом в соответствующем диалоговом окне необходимо выбрать в свойствах опцию always use digital signatures («всегда использовать цифровую подпись»). Служба аутентификации в Internet (Internet Authentication Service, IAS) настраивается со стороны Windows 2000 так, чтобы при получении любого сообщения запроса доступа проверялось наличие атрибута Message-Authenticator. Администратор должен установить соответствующий флажок в свойствах клиента RADIUS, чтобы клиент постоянно пересылал в запросе атрибут подписи.
Если по каким-либо причинам такой вариант невозможен, в этом случае остается один выход: Windows 2000 обладает механизмом «учета и блокировки аутентификации». Благодаря ему клиент не может превысить заданное количество попыток аутентификации за установленное время. Если же это происходит, система сразу прервет с ним связь.
НЕПРАВИЛЬНО СКОНФИГУРИРОВАННЫЙ ОБЩИЙ СЕКРЕТ
Еще одна потенциально слабая точка реализации RADIUS касается «общего секрета» (Shared Secret). Это связано с тем, что очень часто один и тот же «общий секрет» служит для поддержки максимального количества пар «клиент-сервер» в службе RADIUS. К тому же в большинстве случаев криптологически он недостаточно устойчив против атаки с перебором слов по словарю в автономном режиме. Значение поля Response Authenticator и содержимое атрибута Message Authenticator легко вычисляются. Потом эти данные сравниваются с перехваченным сообщением Access-Accept, Access-Reject или Access-Challenge. Таким образом, легко разгадываемый «общий секрет» может быть быстро скомпрометирован.
Сложившаяся ситуация усугубляется также некоторыми вариантами реализации RADIUS — довольно часто длина «общего секрета» не может превышать определенной величины, или же набор символов, из которых образуется ключевое слово, ограничен. В качестве примера приведем распространенную установку на использование только тех символов из набора ASCII, которые находятся непосредственно на клавиатуре — то есть лишь 94 из доступных 256 символов ASCII.
Важно знать, что в случае, если выбор ограничен только возможностями клавиатуры, последовательность символов должна состоять как минимум из 22 знаков и при этом содержать примерно в одинаковой пропорции строчные и прописные буквы, цифры и специальные символы. Если же «общий секрет» может быть задан в виде строки из шестнадцатеричных чисел, следует задавать не менее 32 цифр.
RFC 2865 предписывает использование 16 символов в «общем ключе». Однако для достижения энтропии (в теории информации энтропия отражает количество информации в последовательности символов) равной 128 бит каждый отдельный символ должен иметь энтропию 8 бит. В случае же, когда выбор символов ограничен имеющимися на клавиатуре, энтропия 8-битного символа уменьшается до 5,8 бит. Поэтому, чтобы добиться уровня энтропии в 128 бит, необходимо 22 символа. В среде Windows 2000 максимально возможная длина «общего секрета» может быть равна 64 символам (из имеющихся на клавиатуре).
Качественно улучшить результаты позволяет использование программ для генерирования «общего секрета», поскольку при этом обычно получаются лучшие, по сравнению с ручным вводом, значения энтропии. Кроме того, пара «клиент-сервер», использующая RADIUS, всегда должна быть защищена одним и тем же «общим секретом».
МЕХАНИЗМ СОКРЫТИЯ
Для шифрования пароля пользователя и прочих атрибутов применяются «общий секрет», аутентификатор запросов и алгоритм хэширования MD5. Эту комбинацию нельзя назвать верхом совершенства с точки зрения надежности шифрования, что отражено и в RFC 2865 — в документе рекомендуется как можно лучше позаботиться о надежности передачи.
Примером лучшей защиты атрибутов является применение IPSec. В комплекте с протоколом инкапсуляции защищаемой полезной нагрузки (Encapsulated Security Payloаd, EPS) и мощным шифровальным механизмом, наподобие Triple DES, можно добиться очень высокой надежности передачи данных и конфиденциальности сообщения RADIUS.
Если же совместная работа IPSec, ESP и алгоритма шифрования невозможна, у администратора сети остается еще один способ уменьшения вероятности взлома выполненной реализации RADIUS:
- применение атрибутов аутентификации должно быть обязательным для всех сообщений с запросом доступа;
- в качестве удостоверений запросов необходимо использовать криптологически сильные величины;
- к использованию должны допускаться только трудно угадываемые пользовательские пароли;
- для предотвращения атак с перебором по словарю предпочтителен механизм «учета и блокировки аутентификации»;
- «общий секрет» должен иметь энтропию, равную по меньшей мере 128 бит.
ПРИМЕНЕНИЕ RADIUS
Соблюдение некоторых принципов при вводе RADIUS в эксплуатацию поможет свести различные риски к минимуму. Для повышения достоверности передаваемых сообщений RADIUS рекомендуется применение IPSec и EPS. При этом следует использовать алгоритм шифрования Triple DES. Такой метод описан также в документе RFC 3162. Путем шифрования всего сообщения RADIUS при помощи IPSec защищаются особо чувствительные его части — такие, как поле удостоверения запроса в сообщении запроса доступа — и атрибуты RADIUS (к примеру, пароль пользователя или атрибуты ключа МРРЕ). Тому, кто предпримет попытку проникновения в систему, понадобится сначала расшифровать защищенное с помощью ESP сообщение RADIUS, и лишь после этого он сможет анализировать его содержимое. Чтобы предотвратить атаки на сервер RADIUS извне, рекомендуется установить программное обеспечение для аутентификации IPSec с использованием сертификатов. Помимо этого, возможны и другие варианты защиты, которые могут использоваться как в совокупности с IPSec, так и отдельно.
- Используемый «общий секрет» должен иметь длину не менее 32 шестнадцатеричных символов или, соответственно, 22 символов клавиатуры.
- Для всех сообщений с запросом доступа обязательны атрибуты удостоверения сообщения. Для клиента RADIUS это означает, что атрибут удостоверения сообщения нужен и для всех сообщений запроса доступа. Это правило требуется соблюдать также в случае сервера RADIUS.
- С криптографической точки зрения непременным условием является качественное удостоверение запроса.
Нижеперечисленные советы помогут в реализации дополнительной защиты аутентификации.
- Следует пользоваться ЕАР или схемами типа ЕАР с поддержкой сильных методов аутентификации. Хороший пример подобного метода — ЕАР-TLS. Он требует обмена сертификатами между клиентом, пытающимся получить доступ, и сервером RADIUS. Все сообщения ЕАР должны иметь атрибуты удостоверения сообщения для защиты тех сообщений запроса доступа, к которым IPSec не применяется.
- Желательно выбирать методы аутентификации, рассчитанные на двустороннюю аутентификацию. При таком подходе противоположные конечные точки соединения аутентифицируют свои системы. Если с какой-либо стороны аутентификация пройдет неудачно, то в установлении соединения будет отказано. Примерами подобных методов служат ЕАР-TLS и MS-CHAPv2. Так, в случае ЕАР-TLS сервер RADIUS проводит проверку пользовательского сертификата клиента, пытающегося получить доступ, а клиент в свою очередь — сертификата сервера RADIUS.
- Если аутентификация производится посредством РАР, то эту опцию следует отключить. При аутентификации с помощью однократных паролей или токенов происходит откат к PAP. Но поскольку IEEE 802.1x не поддерживает РАР, в подобных случаях чаще всего пользуются соединениями РРР.
ИСПОЛЬЗОВАНИЕ RADIUS ДЛЯ УДАЛЕННОГО ДОСТУПА И VPN
Рисунок 2. Пункт «Конфигурация RAS» в Windows 2000 предлагает несколько опций. |
Рисунок 3. Сервер RAS должен понимать протоколы, посредством которых отдельные клиенты пытаются получить к нему доступ. |
Подключение работающего сервера RADIUS к виртуальной частной сети (Virtual Private Network, VPN) или службе удаленного доступа (Remote Access Service, RAS) выполняется сравнительно просто. В операционной системе Windows 2000 для этого предусмотрены опции Remote Access Service (RAS) и VPN Server. Начать следует с пункта «Конфигурация сервера». Затем пользователю будут помогать различные программные эксперты. Для конфигурации RAS посредством «Ассистента настройки для сервера маршрутизации и RAS» в меню «Пуск — Программы — Управление» нужно выбрать пункт «Маршрутизация и удаленный доступ». Затем указать желаемое имя сервера, щелкнуть мышью на пункте «Конфигурация и активизация маршрутизации и RAS» в исходном меню и нажать кнопку «Далее». Администратору предоставится возможность выбора нескольких опций (см. Рисунок 2). Он должен выбрать пункт «cервер RAS», перейти к окну выбора протокола поддержки удаленного клиента (см. Рисунок 3) и отметить в нем тип соединения, через которое происходит связь с Intranet.
Рисунок 4. Соединение сервера RAS с сервером Radius. |
Далее необходимо указать способ распределения IP-адресов в диалоговом окне «Распределение IP-адресов». Если администратор выберет пункт «Автоматически», тогда сервер удаленного доступа для распределения IP-адресов между удаленными клиентами будет использовать протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP). С другой стороны, одну или даже несколько специальных областей IP-адресов можно распределить статично. По завершении этого этапа появляется окно «Управление несколькими серверами RAS». После чего в игру вступает соединение с RADIUS (см. Рисунок 4). Если администратор остановит выбор на пункте «Да, должен использоваться сервер RADIUS», то он обязан сразу же специфицировать первый сервер RADIUS, а при необходимости и второй (но это необязательно). После чего выполняются завершающие действия, и службу RAS можно запускать. Если применяется сервер VPN, то конфигурацию осуществляют соответствующим образом.
Роберт Шотт — независимый автор. С ним можно связаться по адресу: [email protected].
? AWi Verlag
Поделитесь материалом с коллегами и друзьями
Группы удаленных RADIUS-серверов | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
При настройке сервера политики сети (NPS) в качестве протокол RADIUS (RADIUS) вы используете NPS для пересылки запросов на подключение к серверам RADIUS, которые способны обрабатывать запросы на подключение, так как они могут выполнять проверку подлинности и авторизацию в домене, в котором находится учетная запись пользователя или компьютера.When you configure Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) proxy, you use NPS to forward connection requests to RADIUS servers that are capable of processing the connection requests because they can perform authentication and authorization in the domain where the user or computer account is located. Например, если требуется перенаправить запросы на подключение к одному или нескольким серверам RADIUS в недоверенных доменах, можно настроить NPS в качестве прокси-сервера RADIUS, чтобы перенаправить запросы на удаленные серверы RADIUS в домене, не являющемся доверенным.For example, if you want to forward connection requests to one or more RADIUS servers in untrusted domains, you can configure NPS as a RADIUS proxy to forward the requests to the remote RADIUS servers in the untrusted domain.
Примечание
Группы удаленных серверов RADIUS не связаны с группами Windows и отделены от них.Remote RADIUS server groups are unrelated to and separate from Windows groups.
Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо создать политику запросов на подключение, которая будет содержать все сведения, необходимые для NPS, чтобы определить, какие сообщения следует пересылать и куда отправлять сообщения.To configure NPS as a RADIUS proxy, you must create a connection request policy that contains all of the information required for NPS to evaluate which messages to forward and where to send the messages.
При настройке удаленной группы серверов RADIUS на сервере политики сети и настройке политики запросов на подключение к группе вы определяете расположение, в котором NPS перенаправляет запросы на подключение.When you configure a remote RADIUS server group in NPS and you configure a connection request policy with the group, you are designating the location where NPS is to forward connection requests.
Настройка серверов RADIUS для группыConfiguring RADIUS servers for a group
Группа удаленных серверов RADIUS — это именованная группа, содержащая один или несколько серверов RADIUS.A remote RADIUS server group is a named group that contains one or more RADIUS servers. При настройке нескольких серверов можно указать параметры балансировки нагрузки, чтобы определить порядок, в котором серверы используются прокси-сервером, или распределить поток сообщений RADIUS по всем серверам в группе, чтобы предотвратить перегрузку одного или нескольких серверов с слишком большим количеством запросов на подключение.If you configure more than one server, you can specify load balancing settings to either determine the order in which the servers are used by the proxy or to distribute the flow of RADIUS messages across all servers in the group to prevent overloading one or more servers with too many connection requests.
Каждый сервер в группе имеет следующие параметры.Each server in the group has the following settings.
Имя или адрес.Name or address. Каждый член группы должен иметь уникальное имя в пределах группы.Each group member must have a unique name within the group. Имя может быть IP-адресом или именем, которое можно разрешить в IP-адрес.The name can be an IP address or a name that can be resolved to its IP address.
Проверка подлинности и учет.Authentication and accounting. Можно перенаправлять запросы на проверку подлинности, запросы учета или и то, и другое в каждый член группы удаленных RADIUS-серверов.You can forward authentication requests, accounting requests, or both to each remote RADIUS server group member.
Балансировка нагрузки.Load balancing. Параметр Priority используется для указания того, какой член группы является основным сервером (приоритет равен 1).A priority setting is used to indicate which member of the group is the primary server (the priority is set to 1). Для членов группы, имеющих одинаковый приоритет, параметр веса используется для расчета частоты отправки сообщений RADIUS на каждый сервер.For group members that have the same priority, a weight setting is used to calculate how often RADIUS messages are sent to each server. Можно использовать дополнительные параметры для настройки способа, которым NPS обнаруживает, когда член группы становится недоступным и когда он становится доступным после того, как он был определен как недоступный.You can use additional settings to configure the way in which the NPS detects when a group member first becomes unavailable and when it becomes available after it has been determined to be unavailable.
После настройки группы удаленных серверов RADIUS можно указать группу в параметрах проверки подлинности и учета политики запросов на подключение.After you have configured a Remote RADIUS Server Group, you can specify the group in the authentication and accounting settings of a connection request policy. Поэтому сначала можно настроить группу удаленных серверов RADIUS.Because of this, you can configure a remote RADIUS server group first. Затем можно настроить политику запросов на подключение для использования только что настроенной группы удаленных серверов RADIUS.Next, you can configure the connection request policy to use the newly configured remote RADIUS server group. Кроме того, с помощью мастера создания политики запросов на подключение можно создать новую группу удаленных RADIUS-серверов во время создания политики запросов на подключение.Alternatively, you can use the New Connection Request Policy Wizard to create a new remote RADIUS server group while you are creating the connection request policy.
Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).For more information about NPS, see Network Policy Server (NPS).
Планирование сервера политики сети в качестве прокси-сервера RADIUS
-
- Чтение занимает 9 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
При развертывании сервера политики сети (NPS) в качестве протокол RADIUS ( ) прокси-сервера RADIUS, NPS получает запросы на подключение от клиентов RADIUS, таких как серверы доступа к сети или другие прокси-серверы RADIUS, а затем перенаправляет эти запросы на серверы, на которых выполняются службы NPS или другие серверы RADIUS.When you deploy Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) proxy, NPS receives connection requests from RADIUS clients, such as network access servers or other RADIUS proxies, and then forwards these connection requests to servers running NPS or other RADIUS servers. Эти рекомендации по планированию можно использовать для упрощения развертывания RADIUS.You can use these planning guidelines to simplify your RADIUS deployment.
Эти рекомендации по планированию не включают обстоятельства, в которых требуется развернуть NPS в качестве сервера RADIUS.These planning guidelines do not include circumstances in which you want to deploy NPS as a RADIUS server. При развертывании NPS в качестве сервера RADIUS сервер политики сети выполняет проверку подлинности, авторизацию и учет для запросов на подключение к локальному домену и доменам, которые доверяют локальному домену.When you deploy NPS as a RADIUS server, NPS performs authentication, authorization, and accounting for connection requests for the local domain and for domains that trust the local domain.
Перед развертыванием сервера политики сети в качестве прокси-сервера RADIUS в сети используйте следующие рекомендации по планированию развертывания.Before you deploy NPS as a RADIUS proxy on your network, use the following guidelines to plan your deployment.
Спланируйте конфигурацию NPS.Plan NPS configuration.
Спланируйте клиенты RADIUS.Plan RADIUS clients.
Планирование групп удаленных серверов RADIUS.Plan remote RADIUS server groups.
Планирование правил управления атрибутами для пересылки сообщений.Plan attribute manipulation rules for message forwarding.
Планирование политик запросов на подключение.Plan connection request policies.
Планирование учета NPS.Plan NPS accounting.
Планирование конфигурации NPSPlan NPS configuration
При использовании NPS в качестве прокси-сервера RADIUS сервер политики сети перенаправляет запросы на подключение к серверу политики сети или другим серверам RADIUS для обработки.When you use NPS as a RADIUS proxy, NPS forwards connection requests to an NPS or other RADIUS servers for processing. По этой причине членство в домене прокси-сервера NPS не имеет значения.Because of this, the domain membership of the NPS proxy is irrelevant. Прокси-сервер не должен регистрироваться в службах домен Active Directory Services ( AD DS ) так как ему не требуется доступ к свойствам входящих звонков учетных записей пользователей.The proxy does not need to be registered in Active Directory Domain Services (AD DS) because it does not need access to the dial-in properties of user accounts. Кроме того, не нужно настраивать политики сети на прокси-сервере NPS, так как прокси-сервер не выполняет авторизацию для запросов на подключение.In addition, you do not need to configure network policies on an NPS proxy because the proxy does not perform authorization for connection requests. Прокси-сервер политики сети может быть членом домена или изолированным сервером без членства в домене.The NPS proxy can be a domain member or it can be a stand-alone server with no domain membership.
Сервер политики сети должен быть настроен для взаимодействия с клиентами RADIUS, также называемыми серверами сетевого доступа, с использованием протокола RADIUS.NPS must be configured to communicate with RADIUS clients, also called network access servers, by using the RADIUS protocol. Кроме того, можно настроить типы событий, которые будут записываться в журнал событий, а также ввести описание для сервера.In addition, you can configure the types of events that NPS records in the event log and you can enter a description for the server.
Основные шагиKey steps
Во время планирования конфигурации прокси-сервера NPS можно выполнить следующие действия.During the planning for NPS proxy configuration, you can use the following steps.
Определите порты RADIUS, используемые прокси-сервером NPS для получения сообщений RADIUS от клиентов RADIUS и для отправки сообщений RADIUS членам удаленных групп RADIUS-серверов.Determine the RADIUS ports that the NPS proxy uses to receive RADIUS messages from RADIUS clients and to send RADIUS messages to members of remote RADIUS server groups. UDP-порты по умолчанию — 1812 и 1645 для сообщений проверки подлинности RADIUS и UDP-порты 1813 и 1646 для RADIUS-сообщений учета.The default User Datagram Protocol (UDP) ports are 1812 and 1645 for RADIUS authentication messages and UDP ports 1813 and 1646 for RADIUS accounting messages.
Если прокси-сервер NPS настроен с несколькими сетевыми адаптерами, определите адаптеры, по которым должен быть разрешен трафик RADIUS.If the NPS proxy is configured with multiple network adapters, determine the adapters over which you want RADIUS traffic to be allowed.
Определите типы событий, которые должны записываться NPS в журнал событий.Determine the types of events that you want NPS to record in the Event Log. Можно регистрировать отклоненные запросы на подключение, успешные запросы на подключение или и то, и другое.You can log rejected connection requests, successful connection requests, or both.
Определите, развертывается ли более одного прокси-сервера NPS.Determine whether you are deploying more than one NPS proxy. Чтобы обеспечить отказоустойчивость, используйте по крайней мере два прокси-сервера NPS.To provide fault tolerance, use at least two NPS proxies. Один прокси-сервер NPS используется в качестве основного прокси-сервера RADIUS, а другой используется в качестве резервной копии.One NPS proxy is used as the primary RADIUS proxy and the other is used as a backup. Затем каждый клиент RADIUS настраивается как на прокси-серверах NPS.Each RADIUS client is then configured on both NPS proxies. Если основной прокси-сервер NPS становится недоступным, клиенты RADIUS отправляют сообщения запроса доступа на альтернативный прокси-сервер NPS.If the primary NPS proxy becomes unavailable, RADIUS clients then send Access-Request messages to the alternate NPS proxy.
Спланируйте сценарий, используемый для копирования одной конфигурации прокси-сервера NPS в другие прокси NPS для экономии административных издержек и предотвращения неверной настройки сервера.Plan the script used to copy one NPS proxy configuration to other NPS proxies to save on administrative overhead and to prevent the incorrect configuration of a server. NPS предоставляет команды Netsh, позволяющие копировать конфигурацию прокси-сервера NPS или его часть для импорта на другой прокси-сервер NPS.NPS provides the Netsh commands that allow you to copy all or part of an NPS proxy configuration for import onto another NPS proxy. Команды можно выполнять вручную в командной строке Netsh.You can run the commands manually at the Netsh prompt. Однако если вы сохраните последовательность команд в качестве скрипта, вы можете запустить сценарий позже, если вы решите изменить конфигурацию прокси-сервера.However, if you save your command sequence as a script, you can run the script at a later date if you decide to change your proxy configurations.
Планирование клиентов RADIUSPlan RADIUS clients
RADIUS-клиенты — это серверы сетевого доступа, такие как точки беспроводного доступа, ( VPN-серверы виртуальной частной сети ) , коммутаторы с поддержкой 802.1 x и серверы удаленного доступа.RADIUS clients are network access servers, such as wireless access points, virtual private network (VPN) servers, 802.1X-capable switches, and dial-up servers. Прокси-серверы RADIUS, которые перенаправляют сообщения запроса на подключение на серверы RADIUS, также являются RADIUS-клиентами.RADIUS proxies, which forward connection request messages to RADIUS servers, are also RADIUS clients. Сервер политики сети поддерживает все серверы доступа к сети и прокси-серверы RADIUS, которые соответствуют протоколу RADIUS, как описано в RFC 2865, «RADIUS-сервер удаленной проверки подлинности» ( ) и RFC 2866, «RADIUS Accounting».NPS supports all network access servers and RADIUS proxies that comply with the RADIUS protocol, as described in RFC 2865, «Remote Authentication Dial-in User Service (RADIUS),» and RFC 2866, «RADIUS Accounting.»
Кроме того, точки беспроводного доступа и коммутаторы должны поддерживать проверку подлинности 802.1 X.In addition, both wireless access points and switches must be capable of 802.1X authentication. Если требуется развернуть протокол EAP или протокол PEAP, точки доступа и коммутаторы должны поддерживать использование протокола EAP.If you want to deploy Extensible Authentication Protocol (EAP) or Protected Extensible Authentication Protocol (PEAP), access points and switches must support the use of EAP.
Чтобы проверить базовое взаимодействие подключений PPP для точек беспроводного доступа, настройте точку доступа и клиент доступа для использования протокола проверки пароля (PAP).To test basic interoperability for PPP connections for wireless access points, configure the access point and the access client to use Password Authentication Protocol (PAP). Используйте дополнительные протоколы проверки подлинности на основе PPP, такие как PEAP, до тех пор, пока не протестировали те, которые планируется использовать для сетевого доступа.Use additional PPP-based authentication protocols, such as PEAP, until you have tested the ones that you intend to use for network access.
Основные шагиKey steps
При планировании клиентов RADIUS можно выполнить следующие действия.During the planning for RADIUS clients, you can use the following steps.
Задокументируйте зависящие от поставщика атрибуты (VSA), которые необходимо настроить в NPS.Document the vendor-specific attributes (VSAs) you must configure in NPS. Если NAS требует VSA, заполните данные VSA для последующего использования при настройке политик сети в NPS.If your NASs require VSAs, log the VSA information for later use when you configure your network policies in NPS.
Задокументируйте IP-адреса клиентов RADIUS и прокси-сервера NPS, чтобы упростить настройку всех устройств.Document the IP addresses of RADIUS clients and your NPS proxy to simplify the configuration of all devices. При развертывании клиентов RADIUS необходимо настроить для них использование протокола RADIUS с IP-адресом прокси-сервера NPS, введенным в качестве сервера проверки подлинности.When you deploy your RADIUS clients, you must configure them to use the RADIUS protocol, with the NPS proxy IP address entered as the authenticating server. При настройке NPS для взаимодействия с клиентами RADIUS необходимо ввести IP-адреса клиентов RADIUS в оснастку NPS.And when you configure NPS to communicate with your RADIUS clients, you must enter the RADIUS client IP addresses into the NPS snap-in.
Создайте общие секреты для конфигурации на клиентах RADIUS и в оснастке NPS.Create shared secrets for configuration on the RADIUS clients and in the NPS snap-in. Необходимо настроить RADIUS-клиенты с помощью общего секрета или пароля, которые также будут входить в оснастку NPS при настройке клиентов RADIUS в NPS.You must configure RADIUS clients with a shared secret, or password, that you will also enter into the NPS snap-in while configuring RADIUS clients in NPS.
Планирование групп удаленных серверов RADIUSPlan remote RADIUS server groups
При настройке удаленной группы серверов RADIUS на прокси-сервере NPS вы указываете прокси-сервер NPS, куда будут отправлены некоторые или все сообщения запросов на подключение, получаемые от серверов доступа к сети и прокси-серверов NPS или других прокси RADIUS.When you configure a remote RADIUS server group on an NPS proxy, you are telling the NPS proxy where to send some or all connection request messages that it receives from network access servers and NPS proxies or other RADIUS proxies.
NPS можно использовать в качестве прокси-сервера RADIUS для пересылки запросов на подключение к одной или нескольким группам удаленных серверов RADIUS, и каждая группа может содержать один или несколько серверов RADIUS.You can use NPS as a RADIUS proxy to forward connection requests to one or more remote RADIUS server groups, and each group can contain one or more RADIUS servers. Если требуется, чтобы прокси-сервер NPS перенаправлял сообщения нескольким группам, настройте одну политику запросов на подключение для каждой группы.When you want the NPS proxy to forward messages to multiple groups, configure one connection request policy per group. Политика запросов на подключение содержит дополнительные сведения, такие как правила управления атрибутами, которые указывают прокси-серверу NPS, какие сообщения должны быть отправлены в группу удаленных серверов RADIUS, указанную в политике.The connection request policy contains additional information, such as attribute manipulation rules, that tell the NPS proxy which messages to send to the remote RADIUS server group specified in the policy.
Вы можете настроить удаленные группы серверов RADIUS с помощью команд Netsh для NPS, настроив группы непосредственно в оснастке NPS в разделе удаленные группы серверов RADIUS или запустив мастер создания политики запроса на подключение.You can configure remote RADIUS server groups by using the Netsh commands for NPS, by configuring groups directly in the NPS snap-in under Remote RADIUS Server Groups, or by running the New Connection Request Policy wizard.
Основные шагиKey steps
Во время планирования групп удаленных серверов RADIUS можно выполнить следующие действия.During the planning for remote RADIUS server groups, you can use the following steps.
Определите домены, содержащие серверы RADIUS, на которых прокси-сервер NPS должен пересылать запросы на подключение.Determine the domains that contain the RADIUS servers to which you want the NPS proxy to forward connection requests. Эти домены содержат учетные записи пользователей, подключающихся к сети через развертываемые клиенты RADIUS.These domains contain the user accounts for users that connect to the network through the RADIUS clients you deploy.
Определите, нужно ли добавлять новые серверы RADIUS в домены, где RADIUS еще не развернут.Determine whether you need to add new RADIUS servers in domains where RADIUS is not already deployed.
Задокументируйте IP-адреса серверов RADIUS, которые необходимо добавить в удаленные группы RADIUS-серверов.Document the IP addresses of RADIUS servers that you want to add to remote RADIUS server groups.
Определите, сколько групп удаленных серверов RADIUS необходимо создать.Determine how many remote RADIUS server groups you need to create. В некоторых случаях лучше создать одну группу удаленных серверов RADIUS для каждого домена, а затем добавить в нее серверы RADIUS для домена.In some cases, it is best to create one remote RADIUS server group per domain, and then add the RADIUS servers for the domain to the group. Однако могут возникнуть ситуации, в которых имеется большой объем ресурсов в одном домене, включая большое количество пользователей с учетными записями пользователей в домене, большое количество контроллеров домена и большое количество серверов RADIUS.However, there might be cases in which you have a large amount of resources in one domain, including a large number of users with user accounts in the domain, a large number of domain controllers, and a large number of RADIUS servers. Или домен может охватывать большую географическую область, что приведет к тому, что серверы сетевого доступа и серверы RADIUS будут находиться в расположениях, расположенных далеко друг от друга.Or your domain might cover a large geographical area, causing you to have network access servers and RADIUS servers in locations that are distant from each other. В этих и, возможно, в других случаях можно создать несколько удаленных групп серверов RADIUS для каждого домена.In these and possibly other cases, you can create multiple remote RADIUS server groups per domain.
Создайте общие секреты для конфигурации на прокси-сервере NPS и на удаленных RADIUS-серверах.Create shared secrets for configuration on the NPS proxy and on the remote RADIUS servers.
Планирование правил управления атрибутами для пересылки сообщенийPlan attribute manipulation rules for message forwarding
Правила управления атрибутами, настроенные в политиках запросов на подключение, позволяют выдать сообщения запроса доступа, которые необходимо перенаправить в конкретную группу удаленных серверов RADIUS.Attribute manipulation rules, which are configured in connection request policies, allow you to identify the Access-Request messages that you want to forward to a specific remote RADIUS server group.
Вы можете настроить NPS для пересылки всех запросов на подключение к одной группе удаленных серверов RADIUS без использования правил обработки атрибутов.You can configure NPS to forward all connection requests to one remote RADIUS server group without using attribute manipulation rules.
Однако при наличии нескольких расположений, для которых необходимо перенаправить запросы на подключение, необходимо создать политику запросов на подключение для каждого расположения, а затем настроить политику с помощью группы удаленных серверов RADIUS, в которую будут пересылаться сообщения, а также с помощью правил обработки атрибутов, указывающих серверу политики сети, какие сообщения пересылать.If you have more than one location to which you want to forward connection requests, however, you must create a connection request policy for each location, then configure the policy with the remote RADIUS server group to which you want to forward messages as well as with the attribute manipulation rules that tell NPS which messages to forward.
Можно создать правила для следующих атрибутов.You can create rules for the following attributes.
Называется-Station-ID.Called-Station-ID. Номер телефона сервера сетевого доступа (NAS).The phone number of the network access server (NAS). Значением этого атрибута является символьная строка.The value of this attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes.
Вызывающий-Station-ID.Calling-Station-ID. Номер телефона, используемый вызывающим объектом.The phone number used by the caller. Значением этого атрибута является символьная строка.The value of this attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes.
Имя пользователя.User-Name. Имя пользователя, предоставленное клиентом доступа и включенное NAS в сообщении запроса доступа RADIUS.The user name that is provided by the access client and that is included by the NAS in the RADIUS Access-Request message. Значением этого атрибута является символьная строка, которая обычно содержит имя области и имя учетной записи пользователя.The value of this attribute is a character string that typically contains a realm name and a user account name.
Чтобы правильно заменить или преобразовать имена областей в имени пользователя запроса на соединение, необходимо настроить правила обработки атрибутов для атрибута User-Name в соответствующей политике запросов на подключение.To correctly replace or convert realm names in the user name of a connection request, you must configure attribute manipulation rules for the User-Name attribute on the appropriate connection request policy.
Основные шагиKey steps
Во время планирования правил обработки атрибутов можно выполнить следующие действия.During the planning for attribute manipulation rules, you can use the following steps.
Спланируйте маршрутизацию сообщений от NAS через прокси-сервер к удаленным серверам RADIUS, чтобы убедиться в наличии логического пути, с помощью которого перенаправлять сообщения на серверы RADIUS.Plan message routing from the NAS through the proxy to the remote RADIUS servers to verify that you have a logical path with which to forward messages to the RADIUS servers.
Определите один или несколько атрибутов, которые необходимо использовать для каждой политики запросов на подключение.Determine one or more attributes that you want to use for each connection request policy.
Задокументируйте правила обработки атрибутов, которые планируется использовать для каждой политики запросов на подключение, и сопоставьте правила с группой удаленных серверов RADIUS, в которую перенаправляются сообщения.Document the attribute manipulation rules that you plan to use for each connection request policy, and match the rules to the remote RADIUS server group to which messages are forwarded.
Планирование политик запросов на подключениеPlan connection request policies
Политика запросов на подключение по умолчанию настраивается для NPS, если она используется в качестве сервера RADIUS.The default connection request policy is configured for NPS when it is used as a RADIUS server. Дополнительные политики запросов на подключение можно использовать для определения более конкретных условий, создания правил обработки атрибутов, указывающих серверу политики сети, какие сообщения следует пересылать в удаленные группы RADIUS-серверов, а также для указания дополнительных атрибутов.Additional connection request policies can be used to define more specific conditions, create attribute manipulation rules that tell NPS which messages to forward to remote RADIUS server groups, and to specify advanced attributes. Используйте мастер создания новой политики запросов на подключение для создания общих или настраиваемых политик запросов на подключение.Use the New Connection Request Policy Wizard to create either common or custom connection request policies.
Основные шагиKey steps
В ходе планирования политик запросов на подключение можно выполнить следующие действия.During the planning for connection request policies, you can use the following steps.
Удалите политику запросов на подключение по умолчанию на каждом сервере политики сети, который работает исключительно в качестве прокси-сервера RADIUS.Delete the default connection request policy on each server running NPS that functions solely as a RADIUS proxy.
Планируйте дополнительные условия и параметры, необходимые для каждой политики, объединяя эти сведения с группой удаленных серверов RADIUS и правилами управления атрибутами, запланированными для политики.Plan additional conditions and settings that are required for each policy, combining this information with the remote RADIUS server group and the attribute manipulation rules planned for the policy.
Разработайте план для распространения общих политик запросов на подключение ко всем прокси-серверам NPS.Design the plan to distribute common connection request policies to all NPS proxies. Создайте политики, общие для нескольких прокси-серверов NPS в одном NPS, а затем используйте команды Netsh для NPS, чтобы импортировать политики запросов на подключение и конфигурацию сервера для всех других учетных записей-посредников.Create policies common to multiple NPS proxies on one NPS, and then use the Netsh commands for NPS to import the connection request policies and server configuration on all other proxies.
Планирование учета NPSPlan NPS accounting
При настройке сервера политики сети в качестве прокси-сервера RADIUS его можно настроить для выполнения учета RADIUS с помощью файлов журнала формата NPS, файлов журнала формата, совместимых с базой данных, или журнала SQL Server.When you configure NPS as a RADIUS proxy, you can configure it to perform RADIUS accounting by using NPS format log files, database-compatible format log files, or NPS SQL Server logging.
Кроме того, можно пересылать сообщения учета в группу удаленных серверов RADIUS, которая выполняет учет с помощью одного из этих форматов ведения журнала.You can also forward accounting messages to a remote RADIUS server group that performs accounting by using one of these logging formats.
Основные шагиKey steps
При планировании учета NPS можно выполнить следующие действия.During the planning for NPS accounting, you can use the following steps.
Определите, должен ли прокси-сервер NPS выполнять службы учета или перенаправлять сообщения учета в группу удаленных серверов RADIUS для учета.Determine whether you want the NPS proxy to perform accounting services or to forward accounting messages to a remote RADIUS server group for accounting.
Запланируйте отключение учета локального прокси-сервера NPS, если планируется перенаправлять сообщения учета на другие серверы.Plan to disable local NPS proxy accounting if you plan to forward accounting messages to other servers.
Спланируйте шаги по настройке политики запросов на подключение, если вы планируете перенаправлять сообщения учета на другие серверы.Plan connection request policy configuration steps if you plan to forward accounting messages to other servers. При отключении локального учета для прокси-сервера NPS для каждой политики запросов на подключение, настроенной на этом прокси-сервере, необходимо включить и правильно настроить перенаправление сообщений учета.If you disable local accounting for the NPS proxy, each connection request policy that you configure on that proxy must have accounting message forwarding enabled and configured properly.
Определите формат ведения журнала, который вы хотите использовать: файлы журнала формата IAS, файлы журнала формата, совместимые с базой данных, или журнал SQL Server NPS.Determine the logging format that you want to use: IAS format log files, database-compatible format log files, or NPS SQL Server logging.
Сведения о настройке балансировки нагрузки для сервера политики сети в качестве прокси-сервера RADIUS см. в статье Балансировка нагрузки прокси-серверов NPS.To configure load balancing for NPS as a RADIUS proxy, see NPS Proxy Server Load Balancing.
Настройка групп внешних RADIUS-серверов | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
Этот раздел можно использовать для настройки групп удаленных серверов RADIUS, когда необходимо настроить NPS для работы в качестве прокси-сервера и пересылать запросы на подключение другим НПСС для обработки.You can use this topic to configure remote RADIUS server groups when you want to configure NPS to act as a proxy server and forward connection requests to other NPSs for processing.
Добавление группы удаленных серверов RADIUSAdd a Remote RADIUS Server Group
Эту процедуру можно использовать для добавления новой группы удаленных серверов RADIUS в оснастке сервера политики сети (NPS).You can use this procedure to add a new remote RADIUS server group in the Network Policy Server (NPS) snap-in.
При настройке NPS в качестве прокси-сервера RADIUS создается новая политика запросов на подключение, которую NPS использует для определения запросов на подключение к другим серверам RADIUS.When you configure NPS as a RADIUS proxy, you create a new connection request policy that NPS uses to determine which connection requests to forward to other RADIUS servers. Кроме того, политика запросов на подключение настраивается путем указания группы удаленных серверов RADIUS, содержащей один или несколько серверов RADIUS, которые сообщают серверу политики сети, куда отправляются запросы на подключение, соответствующие политике запросов на подключение.In addition, the connection request policy is configured by specifying a remote RADIUS server group that contains one or more RADIUS servers, which tells NPS where to send the connection requests that match the connection request policy.
Примечание
Вы также можете настроить новую группу удаленных серверов RADIUS в процессе создания новой политики запросов на подключение.You can also configure a new remote RADIUS server group during the process of creating a new connection request policy.
Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры.Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.
Добавление группы удаленных серверов RADIUSTo add a remote RADIUS server group
- В диспетчер сервера выберите Сервис, а затем — сервер политики сети , чтобы открыть консоль NPS.In Server Manager, click Tools, and then click Network Policy Server to open the NPS console.
- В дереве консоли дважды щелкните RADIUS-клиенты и серверы, щелкните правой кнопкой мыши элемент удаленные группы RADIUS-серверови выберите команду создать.In the console tree, double-click RADIUS Clients and Servers, right-click Remote RADIUS Server Groups, and then click New.
- Откроется диалоговое окно Новая группа удаленных серверов RADIUS .The New Remote RADIUS Server Group dialog box opens. В поле имя группывведите имя группы удаленных серверов RADIUS.In Group name, type a name for the remote RADIUS server group.
- В списке серверы RADIUSнажмите кнопку Добавить.In RADIUS Servers, click Add. Откроется диалоговое окно Добавление серверов RADIUS .The Add RADIUS Servers dialog box opens. Введите IP-адрес сервера RADIUS, который требуется добавить в группу, или введите полное ( доменное имя ) сервера RADIUS, а затем нажмите кнопку проверить.Type the IP address of the RADIUS server that you want to add to the group, or type the Fully Qualified Domain Name (FQDN) of the RADIUS server, and then click Verify.
- На странице Добавление серверов RADIUSперейдите на вкладку Проверка подлинности и учет . В поле общий секрет и Подтвердите общий секретвведите общий секрет.In Add RADIUS Servers, click the Authentication/Accounting tab. In Shared secret and Confirm shared secret, type the shared secret. При настройке локального компьютера в качестве RADIUS-клиента на удаленном RADIUS-сервере необходимо использовать один и тот же общий секрет.You must use the same shared secret when you configure the local computer as a RADIUS client on the remote RADIUS server.
- Если для проверки подлинности не используется протокол EAP, щелкните запрос должен содержать атрибут Message Authenticator.If you are not using Extensible Authentication Protocol (EAP) for authentication, click Request must contain the message authenticator attribute. По умолчанию протокол EAP использует атрибут Message-Authenticator.EAP uses the Message-Authenticator attribute by default.
- Проверьте правильность номеров портов проверки подлинности и учета для развертывания.Verify that the authentication and accounting port numbers are correct for your deployment.
- Если для учета используется другой общий секрет, в поле Бухгалтерияснимите флажок использовать один и тот же общий секрет для проверки подлинности и учета , а затем введите общий секрет учетной записи в параметре общий секрет и Подтвердите общий секрет.If you use a different shared secret for accounting, in Accounting, clear the Use the same shared secret for authentication and accounting check box, and then type the accounting shared secret in Shared secret and Confirm shared secret.
- Если вы не хотите пересылать сообщения для запуска и отключения сервера доступа к сети на удаленном RADIUS-сервере, снимите флажок пересылать на этот сервер уведомления о запуске и отмене уведомлений с сервера сетевого доступа .If you do not want to forward network access server start and stop messages to the remote RADIUS server, clear the Forward network access server start and stop notifications to this server check box.
Дополнительные сведения об управлении NPS см. в разделе Управление сервером политики сети.For more information about managing NPS, see Manage Network Policy Server.
Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).For more information about NPS, see Network Policy Server (NPS).
удаленных групп серверов RADIUS | Документы Microsoft
- 2 минуты на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016
Когда вы настраиваете сервер политики сети (NPS) в качестве прокси-сервера службы удаленной аутентификации пользователей с телефонным подключением (RADIUS), вы используете NPS для пересылки запросов на подключение на серверы RADIUS, которые способны обрабатывать запросы на подключение, поскольку они могут выполнять проверку подлинности и авторизацию в домен, в котором находится учетная запись пользователя или компьютера.Например, если вы хотите перенаправить запросы на подключение к одному или нескольким серверам RADIUS в недоверенных доменах, вы можете настроить NPS в качестве прокси-сервера RADIUS для пересылки запросов на удаленные серверы RADIUS в ненадежном домене.
Примечание
Удаленные группы серверов RADIUS не связаны с группами Windows и не связаны с ними.
Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо создать политику запросов на подключение, содержащую всю информацию, необходимую для NPS, чтобы оценить, какие сообщения пересылать и куда отправлять сообщения.
Когда вы настраиваете группу удаленных серверов RADIUS в NPS и настраиваете политику запросов на подключение с группой, вы указываете место, куда NPS должен пересылать запросы на подключение.
Настройка серверов RADIUS для группы
Удаленная группа серверов RADIUS — это именованная группа, содержащая один или несколько серверов RADIUS. Если вы настраиваете более одного сервера, вы можете указать параметры балансировки нагрузки, чтобы либо определить порядок, в котором серверы используются прокси, либо распределить поток сообщений RADIUS по всем серверам в группе, чтобы предотвратить перегрузку одного или нескольких серверов с помощью слишком много запросов на подключение.
Каждый сервер в группе имеет следующие настройки.
Имя или адрес . Каждый член группы должен иметь уникальное имя внутри группы. Имя может быть IP-адресом или именем, которое может быть преобразовано в его IP-адрес.
Аутентификация и учет . Вы можете пересылать запросы аутентификации, запросы на учет или и то, и другое каждому члену группы удаленных серверов RADIUS.
Балансировка нагрузки .Параметр приоритета используется, чтобы указать, какой член группы является основным сервером (приоритет установлен на 1). Для членов группы, которые имеют одинаковый приоритет, настройка веса используется для расчета того, как часто сообщения RADIUS отправляются на каждый сервер. Вы можете использовать дополнительные параметры, чтобы настроить способ, которым NPS определяет, когда член группы впервые становится недоступным, и когда он становится доступным после того, как он был определен как недоступный.
После того, как вы настроили группу удаленных серверов RADIUS, вы можете указать группу в параметрах аутентификации и учета политики запросов на подключение.По этой причине вы можете сначала настроить группу удаленных серверов RADIUS. Затем вы можете настроить политику запросов на подключение для использования вновь настроенной группы удаленных серверов RADIUS. В качестве альтернативы вы можете использовать мастер новой политики запросов на подключение для создания новой группы удаленных серверов RADIUS во время создания политики запросов на подключение.
Дополнительные сведения о NPS см. В разделе Сервер политики сети (NPS).
.
Настройка удаленных групп серверов RADIUS
- 2 минуты на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016
Этот раздел можно использовать для настройки групп удаленных серверов RADIUS, если нужно настроить NPS для работы в качестве прокси-сервера и пересылки запросов на соединение другим NPS для обработки.
Добавить группу удаленных серверов RADIUS
Эту процедуру можно использовать для добавления новой группы удаленных серверов RADIUS в оснастку сервера политики сети (NPS).
При настройке NPS в качестве прокси-сервера RADIUS вы создаете новую политику запросов на подключение, которую NPS использует для определения, какие запросы на подключение перенаправлять на другие серверы RADIUS. Кроме того, политика запросов на подключение настраивается путем указания группы удаленных серверов RADIUS, содержащей один или несколько серверов RADIUS, которая сообщает NPS, куда отправлять запросы на подключение, соответствующие политике запросов на подключение.
Примечание
Вы также можете настроить новую группу удаленных серверов RADIUS в процессе создания новой политики запросов на соединение.
Членство в группе администраторов домена или эквивалент — это минимум, необходимый для выполнения этой процедуры.
Для добавления группы удаленных серверов RADIUS
- В диспетчере сервера щелкните Tools , а затем щелкните Network Policy Server , чтобы открыть консоль NPS.
- В дереве консоли дважды щелкните RADIUS Clients and Servers , щелкните правой кнопкой мыши Remote RADIUS Server Groups , а затем щелкните New .
- Откроется диалоговое окно Новая группа удаленных серверов RADIUS . В поле Имя группы введите имя удаленной группы серверов RADIUS.
- В RADIUS Servers щелкните Добавить . Откроется диалоговое окно Добавить серверы RADIUS . Введите IP-адрес сервера RADIUS, который вы хотите добавить в группу, или введите полное доменное имя (FQDN) сервера RADIUS, а затем нажмите Проверить .
- В Добавить серверы RADIUS щелкните вкладку Аутентификация / учет .В Общий секрет и Подтвердите общий секрет , введите общий секрет. Вы должны использовать тот же общий секрет при настройке локального компьютера в качестве клиента RADIUS на удаленном сервере RADIUS.
- Если вы не используете Extensible Authentication Protocol (EAP) для аутентификации, щелкните Запрос должен содержать атрибут аутентификатора сообщения . EAP по умолчанию использует атрибут Message-Authenticator.
- Убедитесь, что номера портов аутентификации и учета верны для вашего развертывания.
- Если вы используете другой общий секрет для учета, в Бухгалтерия снимите флажок Использовать тот же общий секрет для аутентификации и учета , а затем введите общий секрет учета в Общий секрет и Подтвердите общий секрет .
- Если вы не хотите пересылать сообщения о запуске и остановке сервера доступа к сети на удаленный сервер RADIUS, снимите флажок Пересылать уведомления о запуске и остановке сервера доступа к сети на этот сервер .
Дополнительные сведения об управлении NPS см. В разделе Управление сервером сетевой политики.
Дополнительные сведения о NPS см. В разделе Сервер политики сети (NPS).
.
Как работает аутентификация сервера RADIUS
RADIUS — это протокол, который изначально был разработан для аутентификации удаленных пользователей на сервере доступа удаленного доступа. RADIUS теперь используется в широком спектре сценариев аутентификации. RADIUS — это протокол клиент-сервер, с Firebox в качестве клиента и сервера RADIUS в качестве сервера. (Клиент RADIUS иногда называют сервером доступа к сети или NAS.) Когда пользователь пытается пройти аутентификацию, устройство отправляет сообщение на сервер RADIUS.Если сервер RADIUS правильно настроен для использования устройства в качестве клиента, RADIUS отправляет сообщение accept или reject обратно на устройство (сервер доступа к сети).
Когда Firebox использует RADIUS для попытки аутентификации:
- Пользователь пытается пройти аутентификацию либо через HTTPS-соединение браузера с устройством через порт 4100, либо через соединение с использованием Mobile VPN с IPSec.Устройство считывает имя пользователя и пароль.
- Устройство создает сообщение, называемое сообщением запроса доступа, и отправляет его на сервер RADIUS. Устройство использует в сообщении общий секрет RADIUS. Пароль всегда зашифрован в сообщении запроса доступа.
- Сервер RADIUS проверяет, что сообщение Access-Request исходит от известного клиента (Firebox). Если сервер RADIUS не настроен на прием устройства в качестве клиента, сервер отклоняет сообщение запроса доступа и не отправляет сообщение обратно.
- Если устройство является клиентом, известным серверу RADIUS, и общий секрет правильный, сервер проверяет метод аутентификации, запрошенный в сообщении запроса доступа.
- Если сообщение Access-Request использует разрешенный метод аутентификации, сервер RADIUS получает учетные данные пользователя из сообщения и ищет совпадения в базе данных пользователей. Если имя пользователя и пароль совпадают с записью в базе данных, сервер RADIUS может получить дополнительную информацию о пользователе из базы данных пользователей (например, утверждение удаленного доступа, членство в группе, часы входа в систему и т. Д.).
- Сервер RADIUS проверяет, есть ли в его конфигурации политика доступа или профиль, который соответствует всей имеющейся у него информации о пользователе. Если такая политика существует, сервер отправляет ответ.
- Если какое-либо из предыдущих условий не выполняется или сервер RADIUS не имеет соответствующей политики, он отправляет сообщение Access-Reject, в котором отображается ошибка аутентификации. Транзакция RADIUS завершается, и пользователю отказывают в доступе.
- Если сообщение Access-Request удовлетворяет всем предыдущим условиям, RADIUS отправляет на устройство сообщение Access-Accept.
- Сервер RADIUS использует общий секрет для любого отправляемого ответа. Если общий секрет не совпадает, устройство отклоняет ответ RADIUS.
Чтобы просмотреть сообщения журнала диагностики для аутентификации, установите уровень журнала диагностики и измените уровень журнала для категории Аутентификация .
- Устройство считывает значение
.
Как настроить Radius Server на Windows Server 2016? — TheITBros
RADIUS (Remote Authentication in Dial-In User Service) — сетевой протокол для реализации аутентификации, авторизации и сбора информации об используемых ресурсах, предназначенный для передачи информации между центральной платформой и сетевыми клиентами / устройствами. Ваш сервер удаленного доступа (RADUIS) может взаимодействовать с центральным сервером / службой (например, Active Directory) для аутентификации удаленных клиентов с телефонным подключением и авторизации их на использование некоторых сетевых служб или ресурсов.Благодаря этому вы можете использовать единую централизованную систему аутентификации в своем домене.
В этой статье мы покажем вам, как настроить централизованный сервер RADIUS на базе ОС Windows Server 2016, а также как настроить аутентификацию RADIUS на устройствах Cisco с помощью службы Network Policy Server. В этом примере RADIUS будет использовать AD для аутентификации удаленных пользователей и авторизации их для доступа к интерфейсу командной строки сетевого оборудования (клиент Radius).
Установка роли Radius Server (NPS) в Windows Server 2016
Сначала создайте новую группу безопасности в домене Active Directory (например, RemoteCiscoUsers), в которую вам нужно будет добавить всех пользователей (Как добавить пользователя в Active Directory). Directory Group), которому будет разрешена аутентификация на маршрутизаторах и коммутаторах Cisco.
Начиная с Windows Server 2008 R2, функциональность сервера RADUIS реализована с ролью служб политики сети (NPS). С ролью NPS вы можете аутентифицировать удаленных клиентов в Active Directory с помощью протокола Radius.
Итак, вам необходимо установить роль сервера RADIUS на вашем Windows Server 2016. Откройте консоль Server Manager и запустите мастер добавления ролей и функций . Протокол удаленной аутентификации с коммутируемым доступом пользователей (RADIUS) в Windows Server 2016 является частью роли сервера сетевой политики.В появившемся мастере выберите роль Network Policy and Access Services на этапе выбора роли.
Примечание. Кроме того, вы можете установить роль NPS и инструменты управления из консоли PowerShell с повышенными привилегиями:
Install-WindowsFeature NPAS -IncludeManagementTools
После завершения установки роли откройте сервер сетевой политики (nps.msc) в меню «Инструменты».
Чтобы использовать сервер NPS в домене, необходимо зарегистрировать его в Active Directory.В оснастке NPS щелкните правой кнопкой мыши корень и выберите Зарегистрировать сервер в Active Directory .
Подтвердите регистрацию сервера в Active Directory.
В этом случае серверу будут предоставлены полномочия на чтение свойств учетных записей пользователей, связанных с удаленным доступом. Сервер будет добавлен во встроенную группу домена RAS и IAS Servers .
Теперь вы можете добавить клиента Radius. Radius client — это устройство, с которого ваш сервер будет получать запросы аутентификации.В этом примере это может быть маршрутизатор Cisco, коммутатор, точка доступа Wi-Fi и т. Д.
Чтобы добавить новый клиент Radius, разверните раздел RADIUS-клиенты и серверы в дереве консоли NPS и выберите Новый в элемент RADIUS Clients .
На вкладке «Настройки» заполните поля Дружественное имя , клиентский Адрес (вы можете указать IP-адрес или DNS-имя) и Общий секрет + Подтвердите общий пароль (вы будете использовать этот пароль в конфигурация коммутатора / маршрутизатора Cisco).
Примечание . Общий секретный пароль редко используется в огромных корпоративных сетях из-за проблем с распространением общих ключей. Вместо общих паролей рекомендуется использовать сертификаты. Если у вас есть корпоративный центр сертификации, развернутый для реализации инфраструктуры PKI, вы можете запросить и импортировать сертификат * .p12 для сервера Radius / NPS. Просто добавьте сертификат в хранилище личных сертификатов на локальном компьютере
На вкладке «Дополнительно» выберите «Имя поставщика — Cisco».
Настройка политик NPS на сервере RADUIS
Политики NPS позволяют аутентифицировать удаленных пользователей и предоставлять им настроенные в роли NPS разрешения на доступ. Используя политики доступа NPS, вы можете создать ссылку на записи клиента RADUIS и группу безопасности домена, которые определяют уровень доступа к устройствам CISCO.
Существует два типа политик на сервере RADIUS:
- Политики запросов на подключение — эти политики определяют набор условий, которые определяют, какие серверы RADIUS должны аутентифицировать и авторизовывать запросы на подключение, полученные от клиентов RADIUS;
- Сетевые политики — набор условий и настроек, позволяющих указать, кто авторизован для подключения к вашей сети, и список назначенных прав доступа.Эти политики обрабатываются последовательно сверху вниз;
В нашем случае мы будем использовать только политики NPS Network. Разверните Политики > Сетевые политики и выберите Новый :
Укажите имя политики, тип сервера доступа к сети должен оставаться неизменным (Не указано).
На следующем шаге Укажите условия , вам необходимо добавить условия, при которых будет применяться эта политика RADIUS.Добавим два условия: пользователь, прошедший авторизацию, принадлежит к определенной группе безопасности домена, а устройство, к которому вы хотите получить доступ, имело определенное имя. Используйте кнопку «Добавить», чтобы создать новое условие, выбрав тип Windows Group (добавьте группу RemoteCiscoUsers) и укажите удобное для клиента имя (Cisco_ *).
Примечание. Поле Client Friendly Name может отличаться от DNS-имени вашего устройства. Он понадобится нам в будущем для идентификации конкретного сетевого устройства при создании политик доступа — Remote Access Policy.Используя это имя, вы можете указать, например, маску, по которой несколько разных клиентов RADIUS будут обрабатываться политиками доступа.
На следующем экране выберите Доступ разрешен.
Поскольку наш коммутатор Cisco поддерживает только метод проверки подлинности без шифрования (PAP, SPAP), снимите все флажки со всех остальных параметров.
Пропустить следующий шаг настройки ограничений.
В разделе «Настройка параметров» перейдите в раздел «Атрибуты RADIUS> Стандарт».Удалите там существующие атрибуты и нажмите кнопку «Добавить».
Выберите Тип доступа> Все, затем Тип службы> Добавить. Укажите Others = Login.
Теперь добавьте новый атрибут в раздел RADIUS Attributes> Vendor Specific. В разделе «Поставщик» выберите Cisco и нажмите «Добавить». Здесь нужно добавить информацию об атрибуте. Щелкните Добавить и укажите следующее значение атрибута:
shell: priv-lvl = 15
Это значение означает, что пользователю, авторизованному этой политикой, будет предоставлено максимальное (15) разрешение на административный доступ к устройству Cisco.
На последнем экране отображаются все выбранные параметры политики NPS. Щелкните Готово.
При создании и планировании политик RADUIS обращайте внимание на то, что имеет значение в их порядке. Политики обрабатываются сверху вниз, и когда выясняется, что все условия следующей политики соблюдены, их дальнейшая обработка прекращается.
Настройка параметров RADUIS на устройствах Cisco
После создания политики можно перейти к настройке маршрутизаторов или коммутаторов Cisco для аутентификации на недавно установленном сервере Radius NPS.
Поскольку мы используем учетные записи домена для авторизации, необходимо, чтобы учетные данные пользователя передавались по сети в зашифрованном виде. Для этого отключите протокол telnet на коммутаторе и включите SSHv2, используя следующие команды в режиме конфигурации:
configure terminal криптоключ генерирует модуль rsa 1024 ip ssh version 2
AAA работает таким образом, что если ответ от сервера не получен, клиент предполагает неудачную аутентификацию.Обязательно создайте локального пользователя на случай, если RADIUS-сервер недоступен по какой-либо причине.
Вы можете создать локального пользователя с помощью следующей команды:
имя пользователя cisco_local пароль $ UPerrP @ ssw0rd
Чтобы сделать использование SSH обязательным и отключить удаленный доступ с помощью Telnet, выполните следующие команды:
line vty 5 15 транспортный вход ssh
Ниже приведен пример конфигурации для авторизации сервера Radius для коммутатора Cisco Catalyst:
aaa new-model aaa аутентификация логин группа по умолчанию радиус локальный aaa авторизация exec радиус группы по умолчанию при аутентификации хост-сервер радиуса 192.168.1.16 ключ Sfs34e # sf # Укажите IP-адрес вашего RADIUS-сервера и ключ для шифрования (общий секрет, который мы указали на RADUIS-сервере) сервисное шифрование паролей # Включить шифрование пароля
Если у вас несколько серверов Radius, добавьте их в группу:
aaa group server radius radius_srv_group сервер 192.168.1.16 server 192.168.101.16
На этом минимальная конфигурация коммутатора завершена, и вы можете попробовать проверить аутентификацию Radius на своем устройстве Cisco.
Мне нравятся технологии и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению сайтов.
Последние сообщения Кирилла Кардашевского (посмотреть все).