Articles

Konfigurace klientů RADIUS

admin0
  • 08/07/2020
  • 6 minut čtení
    • J
    • e
    • j

Týká se: Toto téma slouží ke konfiguraci serverů pro přístup k síti jako klientů RADIUS v NPS.

Při přidání nového serveru pro přístup k síti (serveru VPN, bezdrátového přístupového bodu, ověřovacího přepínače nebo vytáčeného serveru) do sítě je nutné přidat server jako klienta RADIUS v NPS a poté nakonfigurovat klienta RADIUS pro komunikaci s NPS.

Důležité

Klientské počítače a zařízení, jako jsou notebooky, tablety, telefony a další počítače s klientskými operačními systémy, nejsou klienty RADIUS. Klienti RADIUS jsou servery pro přístup k síti – například bezdrátové přístupové body, přepínače podporující protokol 802.1X, servery virtuálních privátních sítí (VPN) a servery vytáčeného připojení – protože používají protokol RADIUS ke komunikaci se servery RADIUS, jako jsou servery serveru NPS (Network Policy Server).

Tento krok je také nutný, pokud je server NPS členem skupiny vzdálených serverů RADIUS, která je nakonfigurována na proxy serveru NPS. Za těchto okolností je kromě provedení kroků uvedených v této úloze na proxy serveru NPS nutné provést následující:

  • Na proxy serveru NPS nakonfigurujte skupinu vzdálených serverů RADIUS, která obsahuje server NPS.
  • Na vzdáleném serveru NPS nakonfigurujte proxy server NPS jako klienta RADIUS.

Chcete-li provést postupy uvedené v tomto tématu, musíte mít v síti fyzicky nainstalován alespoň jeden server pro přístup k síti (server VPN, bezdrátový přístupový bod, ověřovací přepínač nebo server vytáčeného připojení) nebo proxy server NPS.

Konfigurace serveru pro přístup k síti

Tento postup slouží ke konfiguraci serverů pro přístup k síti pro použití s NPS. Pokud nasadíte servery pro přístup k síti (NAS) jako klienty RADIUS, musíte nakonfigurovat klienty pro komunikaci s NPS, kde jsou NAS nakonfigurovány jako klienti.

Tento postup obsahuje obecné pokyny k nastavení, které byste měli použít pro konfiguraci NAS; konkrétní pokyny ke konfiguraci zařízení, které nasazujete v síti, naleznete v dokumentaci k produktu NAS.

Konfigurace serveru pro přístup k síti

  1. V NAS vyberte v nastavení RADIUS ověřování RADIUS na portu UDP (User Datagram Protocol) 1812 a účtování RADIUS na portu UDP 1813.
  2. V části Ověřovací server nebo Server RADIUS zadejte svůj NPS pomocí IP adresy nebo plně kvalifikovaného názvu domény (FQDN) v závislosti na požadavcích NAS.
  3. V části Tajné nebo Sdílené tajemství zadejte silné heslo. Při konfiguraci NAS jako klienta RADIUS v NPS budete používat stejné heslo, proto jej nezapomeňte.
  4. Pokud jako metodu ověřování používáte PEAP nebo EAP, nakonfigurujte NAS pro použití ověřování EAP.
  5. Pokud konfigurujete bezdrátový přístupový bod, v poli SSID zadejte identifikátor sady služeb (SSID), což je alfanumerický řetězec, který slouží jako název sítě. Tento název vysílají přístupové body bezdrátovým klientům a je viditelný pro uživatele v hotspotech Wi-Fi.
  6. Pokud konfigurujete bezdrátový přístupový bod, v položce 802.1X a WPA povolte IEEE 802.1X ověřování, pokud chcete nasadit protokoly PEAP-MS-CHAP v2, PEAP-TLS nebo EAP-TLS.

Přidání síťového přístupového serveru jako klienta RADIUS v NPS

Pomocí tohoto postupu přidáte síťový přístupový server jako klienta RADIUS v NPS. Pomocí tohoto postupu můžete NAS nakonfigurovat jako klienta RADIUS pomocí konzoly NPS.

Pro dokončení tohoto postupu musíte být členem skupiny Administrators.

Přidání serveru pro přístup k síti jako klienta RADIUS v NPS

  1. V systému NPS klikněte ve Správci serveru na položku Nástroje a poté na položku Server síťových zásad. Otevře se konzola NPS.
  2. V konzole NPS dvakrát klikněte na položku Klienti a servery RADIUS. Klikněte pravým tlačítkem myši na položku Klienti RADIUS a poté klikněte na položku Nový klient RADIUS.
  3. V okně Nový klient RADIUS zkontrolujte, zda je zaškrtnuto políčko Povolit tohoto klienta RADIUS.
  4. V okně Nový klient RADIUS zadejte do pole Přátelský název zobrazovací název pro NAS. Do pole Adresa (IP nebo DNS) zadejte IP adresu NAS nebo plně kvalifikovaný název domény (FQDN). Pokud zadáte FQDN, klikněte na tlačítko Ověřit, pokud chcete ověřit, že je název správný a mapuje se na platnou IP adresu.
  5. V okně Nový klient RADIUS, v poli Dodavatel zadejte název výrobce NAS. Pokud si nejste jisti názvem výrobce NAS, vyberte možnost Standard RADIUS.
  6. V okně Nový klient RADIUS, v poli Sdílené tajemství proveďte jednu z následujících akcí:
    • Ujistěte se, že je vybrána možnost Ručně, a poté do pole Sdílené tajemství zadejte silné heslo, které je zadáno také na NAS. Opětovně zadejte sdílené tajemství do pole Potvrdit sdílené tajemství.
    • Zvolte možnost Generovat a kliknutím na tlačítko Generovat automaticky vygenerujte sdílené tajemství. Vygenerované sdílené tajemství uložte pro konfiguraci na NAS, aby mohl komunikovat s NPS.
  7. V okně Nový klient RADIUS v části Další možnosti, pokud používáte jiné metody ověřování než EAP a PEAP a pokud váš NAS podporuje použití atributu Message Authenticator, vyberte možnost Zprávy žádosti o přístup musí obsahovat atribut Message Authenticator.
  8. Klikněte na tlačítko OK. Váš NAS se zobrazí v seznamu klientů RADIUS nakonfigurovaných v NPS.

Konfigurace klientů RADIUS podle rozsahu IP adres v datovém centru Windows Server 2016

Pokud používáte Windows Server 2016 Datacenter, můžete klienty RADIUS v NPS konfigurovat podle rozsahu IP adres. To umožňuje přidat velké množství klientů RADIUS (například bezdrátové přístupové body) do konzoly NPS najednou, místo abyste přidávali každého klienta RADIUS zvlášť.

Pokud používáte server NPS v systému Windows Server 2016 Standard, nemůžete konfigurovat klienty RADIUS podle rozsahu IP adres.

Tento postup použijte k přidání skupiny serverů pro přístup k síti (NAS) jako klientů RADIUS, které jsou všechny nakonfigurovány s IP adresami ze stejného rozsahu IP adres.

Všichni klienti RADIUS v tomto rozsahu musí používat stejnou konfiguraci a sdílené tajemství.

Pro provedení tohoto postupu musíte být členem skupiny Administrators.

Pro nastavení klientů RADIUS podle rozsahu adres IP

  1. V systému NPS klikněte ve Správci serveru na položku Nástroje a poté na položku Server síťových zásad. Otevře se konzola NPS.
  2. V konzole NPS dvakrát klikněte na položku Klienti a servery RADIUS. Klikněte pravým tlačítkem myši na položku Klienti RADIUS a poté klikněte na položku Nový klient RADIUS.
  3. V okně Nový klient RADIUS zadejte do pole Přátelský název zobrazovací název pro kolekci NAS.
  4. V poli Adresa (IP nebo DNS) zadejte rozsah IP adres pro klienty RADIUS pomocí notace CIDR (Classless Inter-Domain Routing). Pokud je například rozsah IP adres pro NAS 10.10.0.0, zadejte 10.10.0.0/16.
  5. V poli Nový klient RADIUS zadejte název výrobce NAS. Pokud si nejste jisti názvem výrobce NAS, vyberte standard RADIUS.
  6. V okně Nový klient RADIUS, v poli Sdílené tajemství proveďte jednu z následujících akcí:
    • Ujistěte se, že je vybrána možnost Ručně, a poté do pole Sdílené tajemství zadejte silné heslo, které je zadáno také na NAS. Opětovně zadejte sdílené tajemství do pole Potvrdit sdílené tajemství.
    • Zvolte možnost Generovat a kliknutím na tlačítko Generovat automaticky vygenerujte sdílené tajemství. Vygenerované sdílené tajemství uložte pro konfiguraci na NAS, aby mohl komunikovat s NPS.
  7. V okně Nový klient RADIUS v části Další možnosti, pokud používáte jiné metody ověřování než EAP a PEAP a pokud všechny vaše NAS podporují použití atributu Message Authenticator, vyberte možnost Zprávy žádosti o přístup musí obsahovat atribut Message Authenticator.
  8. Klikněte na tlačítko OK. Vaše NAS se objeví v seznamu klientů RADIUS nakonfigurovaných na NPS.

Další informace naleznete v části Klienti RADIUS.

Další informace o NPS naleznete v části Server síťových zásad (NPS).

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.