Главная » Linux

Как настроить radius сервер windows server 2016

Содержание
  1. Шаг 2. Настройка сервера RADIUS Step 2 Configure the RADIUS Server
  2. 2,1. Настройка токенов распространения программного обеспечения RADIUS 2.1 Configure the RADIUS software distribution tokens
  3. 2,2. Настройка сведений о безопасности RADIUS 2.2 Configure the RADIUS security information
  4. 2,3. Добавление учетной записи пользователя для проверки OTP 2.3 Adding user account for OTP probing
  5. 2,4 Синхронизация с Active Directory 2.4 Synchronize with Active Directory
  6. Синхронизация RADIUS-и Active Directory пользователей To synchronize the RADIUS and Active Directory users
  7. 2,5. Настройка агента проверки подлинности RADIUS 2.5 Configure the RADIUS authentication agent
  8. Настройка RADIUS-клиентов Configure RADIUS Clients
  9. Настройка сервера сетевого доступа Configure the Network Access Server
  10. Настройка сервера сетевого доступа To configure the network access server
  11. Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS Add the Network Access Server as a RADIUS Client in NPS
  12. Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS To add a network access server as a RADIUS client in NPS
  13. Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter Configure RADIUS Clients by IP Address Range in Windows Server 2016 Datacenter
  14. Настройка клиентов RADIUS по диапазону IP-адресов To set up RADIUS clients by IP address range

Шаг 2. Настройка сервера RADIUS Step 2 Configure the RADIUS Server

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Перед настройкой сервера удаленного доступа для поддержки DirectAccess с поддержкой OTP необходимо настроить сервер RADIUS. Before you configure the Remote Access server to support DirectAccess with OTP support, you configure the RADIUS server.

Задача Task Описание Description
2,1. Настройка токенов распространения программного обеспечения RADIUS 2.1. Configure the RADIUS software distribution tokens На сервере RADIUS настройте маркеры распространения программного обеспечения. On the RADIUS server configure software distribution tokens.
2,2. Настройка сведений о безопасности RADIUS 2.2. Configure the RADIUS security information На сервере RADIUS настройте используемые порты и общий секрет. On the RADIUS server configure the ports and shared secret to be used.
2,3. Добавление учетной записи пользователя для проверки OTP 2.3 Adding user account for OTP probing На сервере RADIUS создайте новую учетную запись пользователя для проверки OTP. On the RADIUS server create a new user account for OTP probing.
2,4 Синхронизация с Active Directory 2.4 Synchronize with Active Directory На сервере RADIUS создайте учетные записи пользователей, синхронизированные с учетными записями Active Directory. On the RADIUS server create user accounts synchronized with Active Directory accounts.
2,5. Настройка агента проверки подлинности RADIUS 2.5 Configure the RADIUS authentication agent Настройте сервер удаленного доступа в качестве агента проверки подлинности RADIUS. Configure the Remote Access server as a RADIUS authentication agent.

2,1. Настройка токенов распространения программного обеспечения RADIUS 2.1 Configure the RADIUS software distribution tokens

Сервер RADIUS должен быть настроен с использованием необходимых лицензий и программного обеспечения и/или маркеров распространения оборудования, которые будут использоваться DirectAccess с OTP. The RADIUS server must be configured with the necessary license and software and/or hardware distribution tokens to be used by DirectAccess with OTP. Этот процесс будет специфичен для каждой реализации поставщика RADIUS. This process will be specific to each RADIUS vendor implementation.

2,2. Настройка сведений о безопасности RADIUS 2.2 Configure the RADIUS security information

Сервер RADIUS использует UDP-порты для связи, и каждый поставщик RADIUS имеет собственные UDP-порты по умолчанию для входящего и исходящего трафика. The RADIUS server uses UDP ports for communication purposes, and each RADIUS vendor has its own default UDP ports for incoming and outgoing communication. Чтобы сервер RADIUS работал с сервером удаленного доступа, убедитесь, что все брандмауэры в окружении настроены таким образом, чтобы разрешить трафик UDP между серверами DirectAccess и OTP через нужные порты. For the RADIUS server to work with the Remote Access server, make sure that all firewalls in the environment are configured to allow UDP traffic between the DirectAccess and OTP servers over the required ports as needed.

Сервер RADIUS использует общий секрет для проверки подлинности. The RADIUS server uses a shared secret for authentication purposes. Настройте сервер RADIUS с помощью надежного пароля для общего секрета и обратите внимание, что это будет использоваться при настройке конфигурации клиентского компьютера сервера DirectAccess для использования с DirectAccess с OTP. Configure the RADIUS server with a strong password for the shared secret, and note that this will be used when configuring the DirectAccess server’s client computer configuration for use with DirectAccess with OTP.

2,3. Добавление учетной записи пользователя для проверки OTP 2.3 Adding user account for OTP probing

На сервере RADIUS создайте новую учетную запись пользователя с именем дапробеусер и присвойте ей пароль дапробепасс. On the RADIUS server create a new user account called DAProbeUser and give it the password DAProbePass.

2,4 Синхронизация с Active Directory 2.4 Synchronize with Active Directory

Сервер RADIUS должен иметь учетные записи пользователей, соответствующие пользователям в Active Directory, которые будут использовать DirectAccess с OTP. The RADIUS server must have user accounts that correspond to the users in Active Directory that will be using DirectAccess with OTP.

Синхронизация RADIUS-и Active Directory пользователей To synchronize the RADIUS and Active Directory users

Запишите сведения о пользователе из Active Directory для всех пользователей DirectAccess с OTP. Record the user information from Active Directory for all DirectAccess with OTP users.

Используйте процедуру, определенную поставщиком, для создания идентичных учетных записей пользователей в формате » домен \ имя_пользователя » на сервере RADIUS, который был записан. Use the vendor specific procedure to create identical user domain\username accounts in the RADIUS server that were recorded.

2,5. Настройка агента проверки подлинности RADIUS 2.5 Configure the RADIUS authentication agent

Сервер удаленного доступа должен быть настроен в качестве агента аутентификации RADIUS для реализации DirectAccess с OTP. The Remote Access server must be configured as a RADIUS authentication agent for the DirectAccess with OTP implementation. Следуйте инструкциям поставщика RADIUS, чтобы настроить сервер удаленного доступа в качестве агента проверки подлинности RADIUS. Follow the RADIUS vendor instructions to configure the Remote Access server as a RADIUS authentication agent.

Настройка RADIUS-клиентов Configure RADIUS Clients

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

С помощью этого раздела можно настроить серверы доступа к сети в качестве RADIUS-клиентов в NPS. You can use this topic to configure network access servers as RADIUS Clients in NPS.

При добавлении нового ( VPN-сервера сетевого доступа, точки беспроводного доступа, коммутатора проверки подлинности или сервера коммутируемого подключения ) к сети необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить клиент RADIUS для взаимодействия с сервером политики сети. When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS, and then configure the RADIUS client to communicate with the NPS.

Клиентские компьютеры и устройства, такие как переносные компьютеры, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Client computers and devices, such as laptop computers, tablets, phones, and other computers running client operating systems, are not RADIUS clients. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1 X, серверы виртуальной частной сети (VPN) и серверы удаленного доступа, так как они используют протокол RADIUS для связи с серверами RADIUS, например NPS- ( серверы политики сети ) . RADIUS clients are network access servers — such as wireless access points, 802.1X-capable switches, virtual private network (VPN) servers, and dial-up servers — because they use the RADIUS protocol to communicate with RADIUS servers, such as Network Policy Server (NPS) servers.

Этот шаг также необходим, если сервер политики сети входит в группу удаленных серверов RADIUS, настроенную на прокси-сервере NPS. This step is also necessary when your NPS is a member of a remote RADIUS server group that is configured on an NPS proxy. В этом случае в дополнение к выполнению действий, описанных в этой задаче на прокси-сервере NPS, необходимо выполнить следующие действия. In this circumstance, in addition to performing the steps in this task on the NPS proxy, you must do the following:

  • На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS. On the NPS proxy, configure a remote RADIUS server group that contains the NPS.
  • На удаленном сервере политики сети настройте прокси-сервер NPS в качестве RADIUS-клиента. On the remote NPS, configure the NPS proxy as a RADIUS client.

Для выполнения процедур, описанных в этом разделе, необходимо наличие по крайней мере одного ( VPN-сервера сетевого доступа, точки доступа к сети, коммутатора проверки подлинности или сервера удаленного доступа к сети ) или прокси-сервера NPS. To perform the procedures in this topic, you must have at least one network access server (VPN server, wireless access point, authenticating switch, or dial-up server) or NPS proxy physically installed on your network.

Настройка сервера сетевого доступа Configure the Network Access Server

Используйте эту процедуру, чтобы настроить серверы сетевого доступа для работы с NPS. Use this procedure to configure network access servers for use with NPS. При развертывании серверов сетевого доступа (NAS) в качестве RADIUS-клиентов необходимо настроить взаимодействие клиентов с НПСС, где серверы NAS настроены в качестве клиентов. When you deploy network access servers (NASs) as RADIUS clients, you must configure the clients to communicate with the NPSs where the NASs are configured as clients.

Эта процедура содержит общие рекомендации о параметрах, которые следует использовать для настройки серверов NAS. конкретные инструкции по настройке устройства, которое вы развертываете в сети, см. в документации по продукту NAS. This procedure provides general guidelines about the settings you should use to configure your NASs; for specific instructions on how to configure the device you are deploying on your network, see your NAS product documentation.

Настройка сервера сетевого доступа To configure the network access server

  1. На сервере NAS в параметрах RADIUS выберите Проверка подлинности RADIUS на udp-порте 1812 и учет RADIUS на UDP-порте 1813. On the NAS, in RADIUS settings, select RADIUS authentication on User Datagram Protocol (UDP) port 1812 and RADIUS accounting on UDP port 1813.
  2. В поле сервер проверки подлинности или сервер RADIUS укажите сервер политики сети по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS. In Authentication server or RADIUS server, specify your NPS by IP address or fully qualified domain name (FQDN), depending on the requirements of the NAS.
  3. В качестве секрета или общего секрета введите надежный пароль. In Secret or Shared secret, type a strong password. При настройке NAS в качестве RADIUS-клиента в NPS вы будете использовать тот же пароль, поэтому не забывайте его. When you configure the NAS as a RADIUS client in NPS, you will use the same password, so do not forget it.
  4. Если в качестве метода проверки подлинности используется протокол PEAP или EAP, настройте NAS для использования проверки подлинности EAP. If you are using PEAP or EAP as an authentication method, configure the NAS to use EAP authentication.
  5. При настройке точки доступа к беспроводной сети в SSID укажите идентификатор набора служб ( SSID ) , который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. If you are configuring a wireless access point, in SSID, specify a Service Set Identifier (SSID), which is an alphanumeric string that serves as the network name. Это имя транслируется точками доступа для беспроводных клиентов и отображается для пользователей в ( общественных точках Wi-Fi для беспроводной связи ) . This name is broadcast by access points to wireless clients and is visible to users at your wireless fidelity (Wi-Fi) hotspots.
  6. Если вы настраиваете беспроводную точку доступа, в 802.1 x и WPA включите проверку подлинности IEEE 802.1 x , если хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS. If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X authentication if you want to deploy PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS Add the Network Access Server as a RADIUS Client in NPS

Эта процедура используется для добавления сервера доступа к сети в качестве RADIUS-клиента в NPS. Use this procedure to add a network access server as a RADIUS client in NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS. You can use this procedure to configure a NAS as a RADIUS client by using the NPS console.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS To add a network access server as a RADIUS client in NPS

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
  2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUS и выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
  3. Убедитесь, что в поле новый клиент RADIUS установлен флажок включить клиент RADIUS . In New RADIUS Client, verify that the Enable this RADIUS client check box is selected.
  4. В поле » новый клиент RADIUS» в поле понятное имя введите отображаемое имя NAS. In New RADIUS Client, in Friendly name, type a display name for the NAS. В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). In Address (IP or DNS), type the NAS IP address or fully qualified domain name (FQDN). При вводе полного доменного имени нажмите кнопку проверить , чтобы убедиться, что имя указано правильно и сопоставляется с ДОПУСТИМЫМ IP-адресом. If you enter the FQDN, click Verify if you want to verify that the name is correct and maps to a valid IP address.
  5. В поле поставщикнового RADIUS-клиента укажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
  6. В новом RADIUS-клиенте в поле общий секрет выполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
    • Убедитесь, что выбран параметр вручную , а затем в поле общий секрет введите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
    • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
  7. В новом RADIUS-клиенте в дополнительных параметрах при использовании любых методов проверки подлинности, отличных от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщения, выберите сообщения запроса доступа должны содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if your NAS supports use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
  8. Нажмите кнопку ОК. Click OK. NAS появится в списке клиентов RADIUS, настроенных на сервере политики сети. Your NAS appears in the list of RADIUS clients configured on the NPS.

Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter Configure RADIUS Clients by IP Address Range in Windows Server 2016 Datacenter

Если вы используете Windows Server 2016 Datacenter, можно настроить клиенты RADIUS в NPS по диапазону IP-адресов. If you are running Windows Server 2016 Datacenter, you can configure RADIUS clients in NPS by IP address range. Это позволяет добавлять большое количество RADIUS-клиентов (например, точек доступа к беспроводной сети) в консоль NPS за один раз, а не добавлять каждый клиент RADIUS по отдельности. This allows you to add a large number of RADIUS clients (such as wireless access points) to the NPS console at one time, rather than adding each RADIUS client individually.

Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard. You cannot configure RADIUS clients by IP address range if you are running NPS on Windows Server 2016 Standard.

Эта процедура используется для добавления группы серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с использованием IP-адресов из одного и того же диапазона IP-адресов. Use this procedure to add a group of network access servers (NASs) as RADIUS clients that are all configured with IP addresses from the same IP address range.

Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет. All of the RADIUS clients in the range must use the same configuration and shared secret.

Для выполнения этой процедуры необходимо быть членом группы Администраторы. To complete this procedure, you must be a member of the Administrators group.

Настройка клиентов RADIUS по диапазону IP-адресов To set up RADIUS clients by IP address range

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. On the NPS, in Server Manager, click Tools, and then click Network Policy Server. Откроется консоль NPS. The NPS console opens.
  2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. In the NPS console, double-click RADIUS Clients and Servers. Щелкните правой кнопкой мыши клиенты RADIUS и выберите пункт Новый RADIUS-клиент. Right-click RADIUS Clients, and then click New RADIUS Client.
  3. В поле » новый клиент RADIUS» в поле понятное имя введите отображаемое имя для коллекции серверов NAS. In New RADIUS Client, in Friendly name, type a display name for the collection of NASs.
  4. В поле адрес ( IP- ) адреса или DNS введите диапазон IP-адресов для клиентов RADIUS с помощью ( нотации Inter-Domain маршрутизации CIDR ) . In Address (IP or DNS), type the IP address range for the RADIUS clients by using Classless Inter-Domain Routing (CIDR) notation. Например, если диапазон IP-адресов для серверов NAS — 10.10.0.0, введите 10.10.0.0/16. For example, if the IP address range for the NASs is 10.10.0.0, type 10.10.0.0/16.
  5. В поле поставщикнового RADIUS-клиента укажите имя производителя NAS. In New RADIUS Client, in Vendor, specify the NAS manufacturer name. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS. If you are not sure of the NAS manufacturer name, select RADIUS standard.
  6. В новом RADIUS-клиенте в поле общий секрет выполните одно из следующих действий. In New RADIUS Client, in Shared secret, do one of the following:
    • Убедитесь, что выбран параметр вручную , а затем в поле общий секрет введите надежный пароль, который также вводится на NAS. Ensure that Manual is selected, and then in Shared secret, type the strong password that is also entered on the NAS. Повторно введите общий секрет в поле подтверждение общего секрета. Retype the shared secret in Confirm shared secret.
    • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Select Generate, and then click Generate to automatically generate a shared secret. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети. Save the generated shared secret for configuration on the NAS so that it can communicate with the NPS.
  7. В новом RADIUS-клиенте в дополнительных параметрах при использовании любых методов проверки подлинности, отличных от EAP и PEAP, а также если все серверы NAS поддерживают использование атрибута проверки подлинности сообщений, выберите пункт сообщения запроса доступа должен содержать атрибут проверки подлинности сообщения. In New RADIUS Client, in Additional Options, if you are using any authentication methods other than EAP and PEAP, and if all of your NASs support use of the message authenticator attribute, select Access Request messages must contain the Message Authenticator attribute.
  8. Нажмите кнопку ОК. Click OK. Серверы NAS отображаются в списке клиентов RADIUS, настроенных на сервере политики сети. Your NASs appear in the list of RADIUS clients configured on the NPS.

Дополнительные сведения см. в разделе RADIUS-клиенты. For more information, see RADIUS Clients.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).

Читайте также:  Настройка политик windows 2003
Оцените статью
© 2024 Советы по настройке компьютера