Конфигурирането на автентификацията на RADIUS между устройствата на Cisco и сървъра за мрежови политики (NPS) в Windows Server 2008 е малко по-различно от конфигурирането на подобен пакет в предишните версии на Windows.
В случай, че не сте запознати с услугата, препоръчвам да прочетете следващата статия на TechNet.
http://technet.microsoft.com/en-us/network/bb629414.aspx
В тази статия ще покажа основната конфигурация, която позволява използването на NPS като сървър за удостоверяване за различни устройства на Cisco (комутатори, рутери). Може би тази инструкция е подходяща за работа с други устройства, които поддържат RADIUS удостоверяване, но аз нямах такъв опит.
1. Инсталиране на услуга мрежа политика Сървър. Този компонент може да се намери в секцията „Мрежови политики и услуги за достъп“ на Windows 2008 Server..
2. Отворете конзолата за управление мрежа политика Сървър от менюто "Административни инструменти".
3. Създайте нов радиус клиент за устройства Cisco. Тази стъпка практически не се различава от конфигурацията на подобен пакет в Windows Server 2000/2003. Просто трябва да посочите IP адреса на устройството, да изберете типа „радиус стандарт“ и да зададете секретния ключ (споделена тайна).
4. Регистрирайте сървъра в активен указател, защо щракнете с десния бутон върху възела „NPS (локален)“ и изберете „RegisterserverinActiveDirectory“. В резултат на товаNPS след получаване на заявка за разрешение ще може да препрати тези заявки до AD.
5. Създайте „връзка поискване Политика ”. Тази стъпка е нова, тя се появи само в Windows Server 2008. Преди това тази настройка беше включена в политиката за отдалечен достъп. Няма нищо сложно в настройката на „Политика за заявка за връзка“. Първата стъпка е да зададете типа на сървъра за достъп до мрежата на „Неопределен“.
След това трябва да добавите поне едно условие за политика. В този тестов случай използвам „ограниченията за деня и часа“, за простота допускам достъп (разрешен) 24 × 7. Естествено правилата, които посочвате тук, трябва да съответстват на политиката за сигурност на вашата компания, така че трябва внимателно да обмислите настройките за политиката на използване на NPS.
И накрая, в раздела Настройки в секцията Удостоверяване, поставете отметка в опцията „Заявки за удостоверяване на този сървър“..
6. създавам мрежа политика, в по-ранните версии на Windows Server тази настройка се нарича политика за отдалечен достъп. В раздела „Обзор“ трябва да конфигурирате правилата за използване на сървъра за достъп до мрежата от типа „Неопределен“. Не забравяйте да предоставите или разрешите достъп по тази политика, избрах „Даване на достъп“.
В раздела Условия трябва да добавите поне едно условие. Обикновено това показва групата Active Directory, чиито членове ще могат да се свързват.
Единственото нещо, което трябва да направите в раздела „Ограничения“, е да активирате метода за удостоверяване „Нешифровано удостоверяване (PAP, SPAP)“.
И накрая, в раздела Настройки, уверете се, че опцията „Без шифроване“ е избрана в секцията „Шифроване“..
7. Сървърът за удостоверяване трябва да бъде зададен на мрежово оборудване. Тази настройка е специфична за различни марки и модели мрежово оборудване. В най-новите версии на IOS на Cisco комутаторите командите за конфигурация ще бъдат както следва:
ааа Новият модел
ааа сесия-id общ
ааа радиус на групата по подразбиране за вход
радиус-сървър хост 10.24.0.1 auth-port 1812 acct-port 1813 ключ вашия_ тайна_klyuch
8. Остава само да се тества работата!
