Add a Remote RADIUS Server Group
You can use this procedure to add a new remote RADIUS server group in the Network Policy Server (NPS) snap-in.
When you configure NPS as a RADIUS proxy, you create a new connection request policy that NPS uses to determine which connection requests to forward to other RADIUS servers. In addition, the connection request policy is configured by specifying a remote RADIUS server group that contains one or more RADIUS servers, which tells NPS where to send the connection requests that match the connection request policy.
Note
You can also configure a new remote RADIUS server group during the process of creating a new connection request policy.
Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.
To add a remote RADIUS server group
- In Server Manager, click Tools, and then click Network Policy Server to open the NPS console.
- In the console tree, double-click RADIUS Clients and Servers, right-click Remote RADIUS Server Groups, and then click New.
- The New Remote RADIUS Server Group dialog box opens. In Group name, type a name for the remote RADIUS server group.
- In RADIUS Servers, click Add. The Add RADIUS Servers dialog box opens. Type the IP address of the RADIUS server that you want to add to the group, or type the Fully Qualified Domain Name (FQDN) of the RADIUS server, and then click Verify.
- In Add RADIUS Servers, click the Authentication/Accounting tab. In Shared secret and Confirm shared secret, type the shared secret. You must use the same shared secret when you configure the local computer as a RADIUS client on the remote RADIUS server.
- If you are not using Extensible Authentication Protocol (EAP) for authentication, click Request must contain the message authenticator attribute. EAP uses the Message-Authenticator attribute by default.
- Verify that the authentication and accounting port numbers are correct for your deployment.
- If you use a different shared secret for accounting, in Accounting, clear the Use the same shared secret for authentication and accounting check box, and then type the accounting shared secret in Shared secret and Confirm shared secret.
- If you do not want to forward network access server start and stop messages to the remote RADIUS server, clear the Forward network access server start and stop notifications to this server check box.
For more information about managing NPS, see Manage Network Policy Server.
Аутентификация RADIUS на базе Microsoft Windows Server на примере межсетевого экрана Dlink DFL
При помощи стандартных компонентов Server 2008 достаточно легко реализуется RADIUS аутентификация пользователей на межсетевом экране DFL-860E. Я думаю, что данный способ будет работать и на других сетевых устройствах
Задача была сделать простую аутентификацию без использования сертификатов ввиду небольшого количества юзеров Для начала необходимо поднять Роль сервера политик сети или NPS Обращаем внимание на то, где стоят галки
В результате установки нашего NPS (Network Policy Server), в Ролях сервера посвится каталог – Службы политики сети и доступа.
После чего необходимо создать свои простые правила. Не используйте мастеров по генерации политик. После них ничего не работает, так как они предназначены для сложных конфигураций. Первым шагом создаем наше устройство, которое будет перенаправлять запросы на наш NPS. Идем на «Клиенты и серверы RADIUS», «RADIUS-клиенты». По правой кнопке создаем нового клиента – «новый документ»
Вводим имя, которое вам нравится. IP-адрес вашего устройства. Вводим пароль – ключ для данного устройства. На устройстве данный ключ должен быть прописан.
На вкладке «Дополнительно» выбираем RADIUS Standard, так как в нашем случае производитель устройства заложит стандартный алгоритм.
Идем в «Политики» – «Политики запросов на подключение» по правой кнопке создаем новую политику
Обзываем ее как нам нравится
В условиях делаем время доступа, такое, какое нам надо. В данном случае – круглосуточно.
Во вкладке параметры оставляем все по умолчанию
В проверке подлинности должно стоять «Проверять подлинность запросов на этом сервере»
Во всех остальных параметрах – пусто.
Далее идем в сетевые политики и создаем новый документ
Новой политике присваиваем имя
Во вкладке «Условия» добавляем тип проверки подлинности MS-CHAP v2 и добавляем группу пользователей Active Directory или самих пользователей, которым будет разрешено удаленно подключаться через наше сетевое устройство.
Во вкладке «Ограничения» указываем следующие параметры
- Microsoft: Защищенный пароль EAP-MSCHAP v2, Защищенные EAP (PEAP)
- Методы проверки подлинности ставим также MSCHAP-v2. MS-CHAP
Остальные ограничения – по умолчанию
Шифрование устанавливаем такое как на рисунке: Простое шифрование, Сильное шифрование , Стойкое ифрование. Автор не проверял какие из этих опций лишние.
Будет не лишним установить логи. Они нам помогут, если что пойдет не так как надо
Изначально файл логов пустой. Нужно выбрать его расположение и сохранить.
После этих настроек можно переходить к настройкам RADIUS сетевого устройства
Заходим в External Users Databases и создаем запись нашего сервера NPS
Во вкладке General, Shared Secret в указываем пароль, который должен совпадать на нашем RADIUS – сервере
В Accounting Servers создаем запись на наш сервер NPS
Также задаем наш сервер NPS предварительно прописанный в адресной книге нашего Dlink. Прописываем пароль, как на NPS сервере в прописанном устройстве.
Идем в User Authentication Rules и на первом месте создаем правило аутентификации RADIUS. В данном примере работать будет только оно. Последующее правило работать не будет
Во вкладке General выбираем RADID и привязываемся к соответствующим интерфейсам
Во вкладке Authentication Options указываем наш Radius Accounting Database
Во вкладке Accounting указываем наш Radius Accounting Server
В Agent Options указываем защищенные протоколы Chap, MS-Chap, MS-Chap v2
В Restrictions указываем опции позволящие входить несколько раз под одной записью.
Проделав данные манипуляции пробуем соединение с удаленной машины.
Настройка клиентского подключения будет описана в следующем документе
Configuring RADIUS Setting on Cisco Devices
After creating the policy, you can proceed to configure your Cisco routers or switches for authentication on the newly installed Radius NPS server.
Because we use domain accounts for authorization, the user credentials must be transmitted over the network in an encrypted form. To do this, disable the telnet protocol on the switch and enable SSHv2 on Cisco using the following commands in configuration mode:
configure terminal crypto key generate rsa modulus 1024 ip ssh version 2
AAA works in such a way: if the response from the server is not received, the client assumes unsuccessful authentication. Be sure to create a local user in case the RADIUS server is unavailable for any reason.
You can create a local user with the following command:
username cisco_local password $UPerrP@ssw0rd
In order to make the use of SSH mandatory and disable remote access using Telnet, execute the following commands:
line vty 5 15 transport input ssh
Below is an example of the configuration for authorizing a Radius server for the Cisco Catalyst Switch:
aaa new-model aaa authentication login default group radius local aaa authorization exec default group radius if-authenticated radius-server host 192.168.1.16 key Sfs34e#sf #Specify your RADIUS server IP address and key for encryption (the shared secret that we specified on the RADIUS server) service password-encryption # Enable password encryption If you have several Radius servers, add them to the group: aaa group server radius radius_srv_group server 192.168.1.16 server 192.168.101.16
This completes the minimum switch configuration and you can try to check Radius authentication on your Cisco device.
Свойства клиента RADIUS
при добавлении клиента RADIUS в конфигурацию nps через консоль nps или с помощью команд netsh для nps или Windows PowerShellных команд вы настраиваете NPS для получения сообщений RADIUS Access-Request от сервера доступа к сети или прокси-сервера RADIUS.
При настройке клиента RADIUS в NPS можно назначить следующие свойства.
Общий секрет
Текстовая строка, используемая в качестве пароля между клиентами RADIUS, серверами RADIUS и прокси-серверами RADIUS. если используется атрибут Message Authenticator, общий секрет также используется в качестве ключа для шифрования сообщений RADIUS. Эта строка должна быть настроена в клиенте RADIUS и в оснастке NPS.
атрибут Authenticator сообщения
Описание в RFC 2869, «расширения RADIUS», хэш-код сообщения Digest 5 (MD5) всего сообщения RADIUS. если атрибут RADIUS Message Authenticator имеется, он проверяется. Если проверка не удалась, сообщение RADIUS отбрасывается. если для параметров клиента требуется атрибут Message Authenticator, который отсутствует, сообщение RADIUS отбрасывается. рекомендуется использовать атрибут Message Authenticator.
Примечание
атрибут Message Authenticator является обязательным и включен по умолчанию при использовании проверки подлинности EAP.
Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).
Настройка NPS
После установки NPS настройте NPS для выполнения всех операций проверки подлинности, авторизации и учета для запроса на подключение, полученного от VPN-сервера.
Регистрация сервера NPS в Active Directory
В этой процедуре сервер регистрируется в Active Directory, чтобы он получил разрешение на доступ к сведениям об учетных записях пользователей во время обработки запросов на подключение.
PROCEDURE
-
В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети. Откроется консоль NPS.
-
В консоли NPS щелкните правой кнопкой мыши элемент NPS (локальный)и выберите пункт зарегистрировать сервер в Active Directory.
Откроется диалоговое окно Сервер политики сети.
-
В диалоговом окне сервер политики сети дважды нажмите кнопку ОК .
Альтернативные методы регистрации NPS см. в разделе Регистрация сервера NPS в домен Active Directory.
Настройка учета сервера политики сети
В этой процедуре необходимо настроить учет сервера политики сети с помощью одного из следующих типов ведения журнала:
-
Ведение журнала событий. Используется в основном для аудита и устранения неполадок при попытках подключения. Ведение журнала событий NPS можно настроить, получая свойства NPS Server в консоли NPS.
-
Регистрация запросов проверки подлинности пользователя и учетных данных в локальном файле. Используется в основном для анализа подключений и выставления счетов. Также используется в качестве средства для анализа безопасности, поскольку оно предоставляет метод отслеживания действий злоумышленника после атаки. Ведение журнала локального файла можно настроить с помощью мастера настройки учета.
-
регистрация запросов проверки подлинности и учетных записей пользователей в базе данных, совместимой с XML Microsoft SQL Server. Используется, чтобы разрешить нескольким серверам службы NPS иметь один источник данных. Также предоставляет преимущества использования реляционной базы данных. вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета.
Сведения о настройке учета сервера политики сети см. в разделе Настройка учета сервера политики сети.
Добавление VPN-сервера в качестве RADIUS-клиента
В разделе Настройка сервера удаленного доступа для Always on VPN вы установили и настроили VPN-сервер. Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервере.
В этой процедуре используется текстовая строка общего секрета для настройки VPN-сервера в качестве RADIUS-клиента в NPS. Используйте ту же текстовую строку, которая использовалась на VPN-сервере, или происходит сбой связи между сервером NPS и VPN-сервером.
Важно!
При добавлении нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора с проверкой подлинности или сервера удаленного доступа) в сеть необходимо добавить сервер в качестве RADIUS-клиента на сервере политики сети, чтобы сервер политики сети знал об этом и мог взаимодействовать с сервером доступа к сети.
PROCEDURE
-
На сервере NPS в консоли NPS дважды щелкните RADIUS-клиенты и серверы.
-
Щелкните правой кнопкой мыши клиенты RADIUS и выберите создать. Откроется диалоговое окно Новый RADIUS-клиент.
-
Убедитесь, что флажок включить этот клиент RADIUS установлен.
-
В поле понятное имявведите отображаемое имя VPN-сервера.
-
В поле адрес (IP или DNS)введите IP-адрес NAS или полное доменное имя.
Если вы вводите полное доменное имя, выберите проверить , если вы хотите убедиться в правильности имени и сопоставляется с ДОПУСТИМЫМ IP-адресом.
-
В общем секретевыполните следующие действия.
-
Убедитесь, что выбрано вручную .
-
Введите строгую текстовую строку, которая также была введена на VPN-сервере.
-
Повторно введите общий секрет в поле Подтверждение общего секрета.
-
-
Щелкните ОК. VPN-сервер появится в списке клиентов RADIUS, настроенных на NPS-сервере.
Установка и настройка сервера с ролью Network Policy Server
Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.
Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).
- RADIUS Clients — содержит список устройств, которые могут аутентифицироваться на сервере
- Connection Request Policies – определяет типы устройств, которые могут аутентифицироваться
- Network Polices – правила аутентификации
RADIUS ClientsNew
- Friendly Name:sw-HP-5400-1
- Address (IP or DNS): 10.10.10.2
- Shared secret (пароль/секретный ключ): пароль можно указать вручную (он должен быть достаточно сложным), либо сгенерировать с помощью специальной кнопки (сгенерированный пароль необходимо скопировать, т.к. в дальнейшем его придется указать на сетевом устройстве).
Use Windows authentication for all usersDisable
Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.
sw-?
Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.
Unencrypted authentication (PAP. SPAP)
В окне Configure Settings изменим значение атрибута Service-Type на Administrative.
И, напоследок, переместим новую политику на первое место в списке политик.
Что дальше
Описание настройки WiFi не входит в рамки данной инструкции. В двух словах, выполняем следующие шаги:
- На WiFi контроллере или точке доступа указываем тип проверки подлинности с использованием RADIUS. В качестве последнего указываем его IP-адрес, а также парольную фразу, которую планируем использовать для проверки подлинности.
- На Freeradius в конфигурационном файле clients.conf создаем раздел с указанием IP-адреса устройства, с которого будет отправляться запрос на проверку подлинности, также указываем парольную фразу.
- Подключаемся к WiFi с использованием учетных данных, хранимых во FreeIPA.
Импорт конфигурации RADIUS
Импорт настроек IAS можно сделать тремя способами: • Через GUI консоли; • Через команду netsh; • Через PowerShell.
Для импорта через консоль щелкните правой кнопкой по NPS(local) и выберите “Import Configuration”. В диалоге укажите файл настроек RADIUS ias.txt, полученный на первом этапе.
![Tutorial - radius server installation on windows [ step by step ]](https://myeditor.ru/wp-content/uploads/2/8/4/28416fdc9abd04976cca33e719ea5414.png)
![Учебник - установка radius server в windows [шаг за шагом]](https://myeditor.ru/wp-content/uploads/5/c/f/5cf5d688a1a75ba4fadf9ef06dd9547e.png)
Убедитесь, что импорт прошел успешно.
Заметьте, что логирование в SQL нужно будет настроить вручную. В данном примере SQL не использовался, поэтому настраивать не будем.
Примечание. Как уже упоминалось выше импортировать настройки Internet Authentication Service можно также через командную строку:
netsh nps import filename=”C:\temp\ias.txt”
или в PowerShell:
Import-Module NPS Import-NpsConfiguration –Path C:\temp\ias.txt
Проверьте, что все ваши клиенты RADIUS и политики появились в консоли NPS.
Убедитесь, что все политики доступа успешно импортировались. Также проверьте настройки протоколов проверки подлинности, особенно EAP, если использовался. Проверьте и настройте каталог для хранения логов и настройки Accounting.
Если сервер NPS в домене и будет выполнять проверку подлинности для доменных пользователей, то его нужно зарегистрировать в Active Directory. Естественно у вас должны быть права администратора домена для успешного выполнения этой операции. Фактически нужны права на добавление учетной записи компьютера с ролью Network Policy Server во встроенную группу безопасности “RAS and IAS Servers”.
Сервер NPS будет проверять полномочия пользователей при подключении с помощью проверки сетевой политики и проверки наличия разрешений на вкладке Dial-in в свойствах учетных записей. Поэтому не забудьте дать права на подключение администраторам сети и включить их в группу, прописанную в сетевой политике NPS, иначе они не смогут авторизоваться на сетевых устройствах через RADIUS сервер.
Примечание. Зарегистрировать в AD можно также командой:
netsh ras add registeredserver
После регистрации в домене нужно рестартнуть службу Network Policy Server.
Примечание. Интересно, что имя службы фактически осталось прежнее – IAS, то есть поменялось только отображаемое имя.
Рестарт службы с помощью команды net.
На этом процесс миграции IAS закончен, теперь надо перенастроить сетевые коммутаторы на новый сервер RADIUS (или перебросить IP-адрес со старого сервера на новый), и проверить вход. Отлаживать процесс входа можно через логи сервера NPS и просмотр событий Windows.
Механизм работы
Как уже упоминалось, RADIUS — прикладной протокол.
На транспортном уровне используется протокол UDP, порты: 1812 и 1813.
Общая структура сети
Несмотря на то, что существует множество способов построения сетей с использованием RADIUS, общая структура может быть представлена в следующем виде:
Общая структура сети
Место NAS (Network Access Server) может занимать VPN-сервер, RAS (Remote Access Server), сетевой коммутатор и т. д.
Конечный RADIUS-сервер может быть частью исключительно локальной сети или же иметь доступ к сети Интернет.
Базы аутентификации хранят информацию о пользователях (абонентах) и правах их доступа к различным сервисам. Термин «база» в данном случае является собирательным, так как данные могут хранится как в локально, в текстовых файлах и различного рода базах данных, так и на удаленных серверах (SQL, Kerberos, LDAP, Active Directory и т. д.).
Структура пакета
Общая структура RADIUS-пакета имеет вид:
Общая структура RADIUS-пакета
Код показывает тип операции, к которой принадлежит данный код. Так, выделяют следующие коды:
| Код | Операция |
|---|---|
| 1 | Access-Request |
| 2 | Access-Accept |
| 3 | Access-Reject |
| 4 | Accounting-Request |
| 5 | Accounting-Response |
| 11 | Access-Challenge |
| 12 | Status-Server (экспериментальная возможность) |
| 13 | Status-Client (экспериментальная возможность) |
| 255 | Зарезервировано |
Идентификатор служит для различения запросов и ответов.
Поле длины указывает размер всего пакета, с учетом длины кода, идентификатора, самого поля длины, аутентификатора и AVP.
Аутентификатор используется для аутентификации ответа от сервера и шифрования пароля.
AVP или пары «атрибут — значение» (англ. «Atribute-Value Pairs») содержат непосредственно сами передаваемые данные — как запроса, так и
ответа, и участвуют во всех стадиях обмена данными: аутентификации, авторизации и учете. Структура AVP:
| Тип (8 бит) | Длина (8 бит) | Значение |
Поле типа служит для указания атрибута, содержащегося в пакете. Выделяют 63 атрибута, в числе которых: имя пользователя и пароль (коды 1 и 2, соответственно), тип сервиса (6), ответ сервера (18), состояние RADIUS-прокси (33), состояние учета (40) и задержка учета (41) и т.д.
Длина указывает размер значения атрибута, которое непосредственно содержится в последнем поле.
Аутентификация и авторизация
- Access-Accept — доступ получен, можно начинать использование ресурсов. Пакет, несущий данный ответ, также может содержать дополни-тельную информацию: IP, выданный пользователю, допустимую продолжительность сессии, максимальный объем передаваемого трафика и т.д.;
- Access-Challenge — требуется ввод дополнительных данных (PIN, дополнительного пароля). Использование этого ответа позволяет проводить процедуры сложной аутентификации в рамках защищенного сетевого туннеля, установленного напрямую между пользовательской и серверной машинами (для избежания «оседания» данных на сервере доступа);
- Access-Reject — доступ запрещен из-за неверно указанных пользовательских данных или отсутствия пользователя в базе.
Настройка MikroTik Radius, авторизация VPN через Windows Active Directory
Одним из существенным преимуществ Windows Server является наличие такой роли как Active Directory. И каждая интеграция этой службы с корпоративной инфраструктурой не только делает удобным общее использование(одна учётная запись), но и безопасным. Стоит отключить учётную запись со стороны Windows Server, у пользователя закроется доступ к: терминальному серверу, 1С, VPN, корпоративному сайту(Bitrix) и даже WiFi.
Что такое Radius сервер
Radius сервер это служба в Windows Server, которая выступает посредником между сетевым оборудованием(и другими клиентами) и Active Directory. Настройки данной службы содержат описание доступов и общие характеристики конкретной службы. В рассматриваемом примере это протокол PPP, под которым будут работать PPTP и L2TP клиенты.
RADIUS — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом
Как работает Radius сервер в MikroTik
Со стороны маршрутизатора(роутера) MikroTik создается запись, цель которой передать на Radius сервер запрос о легитимности учётной записи для доступа ко внутренним службам, которые обозначены Radius авторизацией. Схематически это выглядит так:
MikroTik в этой схеме выступает как Radius клиент.
Настройка Radius сервера на домене Windows Server 2019
Приведенные настройки Radius сервера предоставлены сайтом Настройка-Сервера.укр →
В ходе визуальной инструкции будут продемонстрированы ключевые этапы, а все остальные настройки произведены в режиме “Далее”.
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Пароль, указанный в этой настройке будет использоваться при подключении MikroTik
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Настройка MikroTik Radius, вход для VPN L2Tp клиентов(домен Active Directory)
Со стороны маршрутизатора(роутера) MikroTik нужно произвести две настройки:
Настройка находится в PPP→Secrets→PPP Authentication&Accounting
/ppp aaa set use-radius=yes
Настройка находится в RADIUS
/radius add address=192.168.X.YYY secret=Radius-PASS service=ppp
Есть вопросы или предложения по настройке RADIUS сервера в MikroTik? Активно предлагай свой вариант настройки! →
Configure the Network Access Server
Use this procedure to configure network access servers for use with NPS. When you deploy network access servers (NASs) as RADIUS clients, you must configure the clients to communicate with the NPSs where the NASs are configured as clients.
This procedure provides general guidelines about the settings you should use to configure your NASs; for specific instructions on how to configure the device you are deploying on your network, see your NAS product documentation.
To configure the network access server
- On the NAS, in RADIUS settings, select RADIUS authentication on User Datagram Protocol (UDP) port 1812 and RADIUS accounting on UDP port 1813.
- In Authentication server or RADIUS server, specify your NPS by IP address or fully qualified domain name (FQDN), depending on the requirements of the NAS.
- In Secret or Shared secret, type a strong password. When you configure the NAS as a RADIUS client in NPS, you will use the same password, so do not forget it.
- If you are using PEAP or EAP as an authentication method, configure the NAS to use EAP authentication.
- If you are configuring a wireless access point, in SSID, specify a Service Set Identifier (SSID), which is an alphanumeric string that serves as the network name. This name is broadcast by access points to wireless clients and is visible to users at your wireless fidelity (Wi-Fi) hotspots.
- If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X authentication if you want to deploy PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS.
Настраиваем политику блокировки
Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.
Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).
Рис. 6. Настройка политики блокировки учетной записи
Запросить КП
Configuring NPS Policies on the RADIUS Server
NPS policies allow you to authenticate remote users and grant them access permissions configured in the NPS role. Using NPS access policies, you can make a link to the RADIUS client records and the domain security group that determines the level of access to CISCO devices.
There are two types of policies on a RADIUS server:
- Connection request policies — these policies define a set of conditions that determines which RADIUS servers should authenticate and authorize connection requests received from RADIUS clients;
- Network policies — a set of conditions and settings that allow you to specify who is authorized to connect to your network and a list of assigned access permissions. These policies are processed sequentially from the top to down;
In our case, we will use only the NPS Network policies. Expand the Policies > Network Policies branch and select New:
Specify the Policy name, the type of network access server should remain unchanged (Unspecified).
In the next step Specify conditions, you need to add the conditions under which this RADIUS policy will be applied. Let’s add two conditions — the authorized user must be a member of a specific domain security group, and the device you want to access has a certain name. Use the Add to create a new condition by selecting the Windows Group type (add the RemoteCiscoUsers group) and specify the Client Friendly Name (Cisco_*).
On the next screen, select Access Granted.
Because our Cisco switch supports only the Unencrypted authentication method (PAP, SPAP), we’ll uncheck all other options.
Skip the next configuration Constraints step.
In the Configure Settings section, go to the RADIUS Attributes > Standard section. Delete the existing attributes there and click the Add button.
Select Access type > All, then Service-Type > Add. Specify Others = Login.
Now add a new attribute in the RADIUS Attributes > Vendor Specific section. Under Vendor, select Cisco, and click Add. Here you need to add information about the attribute. Click Add and specify the following value:
shell: priv-lvl = 15
This value means that the user authorized by this policy will be granted a maximum (15) administrative access permission on the Cisco device.
The last screen displays all selected NPS policy settings. Click Finish.
When creating and planning RADIUS policies, pay attention to what matters their order. Policies are processed from the top to down, and when it turns out that all the conditions in the next policy are met, their further processing is terminated. You can change the priorities of policies in the NPS console using the Processing Order value.
To enable the user account to be used for Radius authentication, open the Active Directory Users and Computers console (dsa.msc), find the user, open its properties, go to the Dial-In tab and select the Control access through NPS Network Policy option in the Network Access Permission section.
Also, you can check the current option value using PowerShell:
Get-ADUser richard.doe -Properties msNPAllowDialin -Server dc1.theitbros.com
If the above command did not return any result (empty), this means that the default value “Control access through NPS Network Policy” is used.
If you want to reset this user attribute to the default state, use the command:
Set-ADUser richard.doe -Clear msNPAllowDialin -Server dc1.theitbros.com
Or you can reset this attribute for all users in the specific Organizational Unit (OU) using the LDAP filter:
Get-ADUser -SearchBase "ou=Users,ou=Paris,dc=theitbros,dc=com" -LDAPFilter "(msNPAllowDialin=*)" | % {Set-ADUser $_ -Clear msNPAllowDialin}
Защищенность
Пароли от NAS к RADIUS-серверу не пересылаются в открытом виде (даже в случае с PAP). Для шифрования паролей используется принцип «разделения секрета» и хэш-функция MD5.
Однако, в силу частичной реализации данных функции и недостаточ-ной защиты, предоставляемой ими, на практике необходимо использование дополнительных мер — таких как применение IPsec или физической защиты корпоративных сетей. Это позволяет в дальнейшем защитить трафик между сервером доступа и RADIUS-сервером.
Кроме того, передаваемые данные подвергаются защите лишь частично: защищены логин и пароль, в то время, как другие данные, возможно являющиеся секретными или приватными, не защищены.
Этот недостаток устранен в протоколе RadSec, который, будучи основан на RADIUS содержит ряд улучшений безопасности.
