Articles

RADIUS-asiakkaiden määrittäminen

admin0
  • 08/07/2020
  • 6 minutes to read
    • J
    • e
    • j

Lue:

Kun lisäät verkkoon uuden verkkopalvelimen (VPN-palvelimen, langattoman yhteyspisteen, todennuskytkimen tai valintapalvelimen), sinun on lisättävä palvelin RADIUS-asiakkaaksi NPS:ssä ja määritettävä RADIUS-asiakas kommunikoimaan NPS:n kanssa.

Kun lisäät verkkoon uuden verkkopalvelimen (VPN-palvelimen, langattoman yhteyspisteen, todennuskytkimen tai valintapalvelimen), sinun on lisättävä palvelin RADIUS-asiakkaaksi NPS:ssä.

Tärkeää

Asiakastietokoneet ja -laitteet, kuten kannettavat tietokoneet, tabletit, puhelimet ja muut tietokoneet, joissa on asiakaskäyttöjärjestelmä, eivät ole RADIUS-asiakkaita. RADIUS-asiakkaat ovat verkkoyhteyspalvelimia – kuten langattomia yhteyspisteitä, 802.1X-yhteensopivia kytkimiä, virtuaalisen yksityisverkon (VPN) palvelimia ja valintapalvelimia – koska ne käyttävät RADIUS-protokollaa kommunikoidakseen RADIUS-palvelimien, kuten verkkokäytäntöpalvelimen (Network Policy Server, NPS) palvelimien, kanssa.

Tämä vaihe on välttämätön myös silloin, kun verkkokäytäntöpalvelimesi on NPS-välityspalvelimessa määritellyn etäkäytettävän RADIUS-palvelinryhmän jäsen. Tässä tilanteessa sinun on tehtävä tämän tehtävän vaiheiden suorittamisen lisäksi NPS-välityspalvelimessa seuraavat toimet:

  • Konfiguroi NPS-välityspalvelimessa etä-RADIUS-palvelinryhmä, joka sisältää NPS:n.
  • Konfiguroi etä-NPS-välityspalvelimessa NPS-välityspalvelin RADIUS-asiakkaaksi.

Toteuttaaksesi tämän aiheen toimenpiteet, verkossa on oltava fyysisesti asennettuna vähintään yksi verkkoyhteyspalvelin (VPN-palvelin, langaton liityntäpiste, todennuskytkin tai valintapalvelin) tai NPS-välityspalvelin.

Verkkoyhteyspalvelimen konfigurointi

Käytä tätä toimenpidettä konfiguroidaksesi verkkoyhteyspalvelimet käytettäväksi NPS:n kanssa. Kun otat käyttöön verkkoonpääsypalvelimia (NAS) RADIUS-asiakkaina, sinun on määritettävä asiakkaat kommunikoimaan niiden NPS:ien kanssa, joissa NAS:t on määritetty asiakkaiksi.

Tässä menettelyssä annetaan yleisiä ohjeita asetuksista, joita sinun tulisi käyttää NAS:ien määrityksessä; tarkat ohjeet verkkoon käyttöön otettavan laitteen määrittämisestä saat NAS-tuotteen dokumentaatiosta.

Verkkoyhteyspalvelimen määrittäminen

  1. Valitse NAS:n RADIUS-asetuksissa RADIUS-todennus UDP-portissa (User Datagram Protocol) 1812 ja RADIUS-kirjanpito UDP-portissa 1813.
  2. Kohdassa Todentamispalvelin tai RADIUS-palvelin määritä NPS:n IP-osoite tai FQDN (fully qualified domain name) NAS:n vaatimusten mukaan.
  3. Kohdassa Salaisuus tai Jaettu salaisuus kirjoita vahva salasana. Kun määrität NAS:n RADIUS-asiakkaaksi NPS:ssä, käytät samaa salasanaa, joten älä unohda sitä.
  4. Jos käytät todennusmenetelmänä PEAP- tai EAP-todennusta, määritä NAS käyttämään EAP-todennusta.
  5. Jos määrität langattoman tukiaseman, määritä SSID-kohdassa SSID-tunniste (Service Set Identifier, palvelukokonaisuuden tunniste), joka on verkon verkkonimenä toimiva aakkosnumeerinen merkkijono. Liityntäpisteet lähettävät tämän nimen langattomille asiakkaille, ja käyttäjät näkevät sen langattoman verkon (Wi-Fi) hotspoteissa.
  6. Jos määrität langattoman liityntäpisteen, ota kohdassa 802.1X ja WPA käyttöön IEEE 802.1X-todennus, jos haluat ottaa käyttöön PEAP-MS-CHAP v2:n, PEAP-TLS:n tai EAP-TLS:n.

Verkkoyhteyspalvelimen lisääminen RADIUS-asiakkaaksi NPS:ssä

Käytä tätä menettelyä lisätäksesi verkkoyhteyspalvelimen RADIUS-asiakkaaksi NPS:ssä. Tämän menettelyn avulla voit määrittää NAS:n RADIUS-asiakkaaksi NPS-konsolin avulla.

Tämän menettelyn suorittaminen edellyttää, että olet Järjestelmänvalvojat-ryhmän jäsen.

Verkkoyhteyspalvelimen lisääminen RADIUS-asiakkaaksi NPS:ssä

  1. Verkkoyhteyspalvelimen NPS:ssä valitse Palvelinhallinnassa Työkalut-painiketta ja napsauta sitten Verkkokäytäntöpalvelin. NPS-konsoli avautuu.
  2. Kaksoisnapsauta NPS-konsolissa RADIUS-asiakkaat ja -palvelimet. Napsauta hiiren kakkospainikkeella RADIUS Clients (RADIUS-asiakkaat) ja valitse sitten New RADIUS Client (Uusi RADIUS-asiakas).
  3. Varmista New RADIUS Client (Uusi RADIUS-asiakas) -kohdassa Friendly name (Ystävän nimi), kirjoita NAS:n näyttönimi. Kirjoita Osoite (IP tai DNS) -kohtaan NAS:n IP-osoite tai FQDN (fully qualified domain name). Jos kirjoitat FQDN-nimen, valitse Verify (Tarkista), jos haluat tarkistaa, että nimi on oikea ja että se vastaa kelvollista IP-osoitetta.
  4. Kohdassa New RADIUS Client (Uusi RADIUS-asiakas), Vendor (Myyjä), määritä NAS:n valmistajan nimi. Jos et ole varma NAS:n valmistajan nimestä, valitse RADIUS-standardi.
  5. Uusi RADIUS-asiakas -kohdassa Jaettu salaisuus tee jokin seuraavista:
    • Varmista, että valittuna on Manuaalinen, ja kirjoita sitten Jaettu salaisuus -kohtaan vahva salasana, joka on syötetty myös NAS:ssa. Kirjoita jaettu salaisuus uudelleen Confirm shared secret (Vahvista jaettu salaisuus) -kohdassa.
    • Valitse Generate (Luo) ja valitse sitten Generate (Luo), jotta jaettu salaisuus luodaan automaattisesti. Tallenna luotu jaettu salaisuus NAS:n konfigurointia varten, jotta se voi kommunikoida NPS:n kanssa.
  6. Valitse New RADIUS Client (Uusi RADIUS-asiakas) -kohdassa Additional Options (Lisäasetukset), jos käytät muita todennusmenetelmiä kuin EAP:tä ja PEAP:tä ja jos NAS tukee viestin todennusattribuutin käyttöä, valitse Access Request messages must contain the Message Authenticator (Pääsypyyntöviestien on sisällettävä viestin todennusattori) -attribuutti.
  7. Klikkaa OK. NAS:si näkyy NPS:ään määritettyjen RADIUS-asiakkaiden luettelossa.

RADIUS-asiakkaiden määrittäminen IP-osoitealueittain Windows Server 2016 Datacenterissä

Jos käytössäsi on Windows Server 2016 Datacenter, voit määrittää RADIUS-asiakkaat NPS:ssä IP-osoitealueittain. Näin voit lisätä suuren määrän RADIUS-asiakkaita (kuten langattomia tukiasemia) NPS-konsoliin kerralla sen sijaan, että lisäisit jokaisen RADIUS-asiakkaan erikseen.

Et voi määrittää RADIUS-asiakkaita IP-osoitealueittain, jos käytät NPS:ää Windows Server 2016 Standard -käyttöjärjestelmässä.

Käytä tätä menettelyä, kun haluat lisätä RADIUS-asiakkaiksi joukon verkkoyhteyspalvelimia (Network Access Servers, NAS-tietokoneet), jotka kaikki on määritetty IP-osoitteilla, jotka kuuluvat samalle IP-osoitealueelle.

Kaikkien alueen RADIUS-asiakkaiden on käytettävä samaa kokoonpanoa ja jaettua salaisuutta.

Tämän toimenpiteen suorittaminen edellyttää, että olet Järjestelmänvalvojat-ryhmän jäsen.

RADIUS-asiakkaiden määrittäminen IP-osoitealueittain

  1. NPS:n Server Managerissa valitse Työkalut-kohdasta Tools (Työkalut) ja napsauta sitten Verkkokäytäntöpalvelin-kohtaa. NPS-konsoli avautuu.
  2. Kaksoisnapsauta NPS-konsolissa RADIUS-asiakkaat ja -palvelimet. Napsauta hiiren kakkospainikkeella RADIUS Clients (RADIUS-asiakkaat) ja valitse sitten New RADIUS Client (Uusi RADIUS-asiakas).
  3. Kohdassa New RADIUS Client (Uusi RADIUS-asiakas) kirjoita Friendly name (Ystävän nimi) -kohtaan NAS-asiakaskokoelman näyttönimi.
  4. Kohdassa Address (IP or DNS) (Osoite (IP- tai DNS-osoite) kirjoita RADIUS-asiakkaiden IP-osoitealue CIDR-merkintämerkintätavalla. Jos esimerkiksi NAS-asemien IP-osoitealue on 10.10.0.0, kirjoita 10.10.0.0/16.
  5. In New RADIUS Client (Uusi RADIUS-asiakas) -kenttään Vendor (Myyjä) kirjoita NAS-aseman valmistajan nimi. Jos et ole varma NAS:n valmistajan nimestä, valitse RADIUS-standardi.
  6. Uusi RADIUS-asiakas -kohdassa Jaettu salaisuus tee jokin seuraavista:
    • Varmista, että valittuna on Manuaalinen, ja kirjoita sitten Jaettu salaisuus -kohtaan vahva salasana, joka on syötetty myös NAS:ssa. Kirjoita jaettu salaisuus uudelleen Confirm shared secret (Vahvista jaettu salaisuus) -kohdassa.
    • Valitse Generate (Luo) ja valitse sitten Generate (Luo), jotta jaettu salaisuus luodaan automaattisesti. Tallenna luotu jaettu salaisuus NAS:n konfigurointia varten, jotta se voi kommunikoida NPS:n kanssa.
  7. Kohdassa Uusi RADIUS-asiakas, kohdassa Lisäasetukset, jos käytät muita todennusmenetelmiä kuin EAP:tä ja PEAP:tä ja jos kaikki NAS:t tukevat viestin todentaja-attribuutin käyttöä, valitse Pääsymaksupyyntöviestien on sisällettävä viestin todentaja-attribuutti.
  8. Klikkaa OK. NAS-laitteesi näkyvät NPS:ään määritettyjen RADIUS-asiakkaiden luettelossa.

Lisätietoja on kohdassa RADIUS-asiakkaat.

Lisätietoja NPS:stä on kohdassa Verkkokäytäntöpalvelin (NPS).

Vastaa

Sähköpostiosoitettasi ei julkaista.