Configure RADIUS Clients

  • 08/07/2020
  • 6 minutes to read
    • J
    • e
    • j

Applies to:

Ezzel a témakörrel a hálózati hozzáférést biztosító kiszolgálókat RADIUS-ügyfélként konfigurálhatja az NPS-ben.

Amikor új hálózati hozzáférést biztosító kiszolgálót (VPN-kiszolgáló, vezeték nélküli hozzáférési pont, hitelesítő kapcsoló vagy tárcsázó kiszolgáló) ad hozzá a hálózathoz, a kiszolgálót RADIUS-ügyfélként kell hozzáadni az NPS-ben, majd konfigurálni kell a RADIUS-ügyfelet az NPS-szel való kommunikációhoz.

Fontos

A kliens számítógépek és eszközök, például a laptopok, táblagépek, telefonok és egyéb, kliens operációs rendszert futtató számítógépek nem RADIUS-ügyfelek. A RADIUS-ügyfelek hálózati hozzáférési kiszolgálók – például vezeték nélküli hozzáférési pontok, 802.1X-képes kapcsolók, virtuális magánhálózati (VPN) kiszolgálók és tárcsázó kiszolgálók -, mivel a RADIUS protokollt használják a RADIUS-kiszolgálókkal, például a hálózati házirend-kiszolgáló (NPS) kiszolgálóival való kommunikációra.

Ez a lépés akkor is szükséges, ha az NPS egy távoli RADIUS-kiszolgálócsoport tagja, amely egy NPS-proxyn van konfigurálva. Ebben az esetben a feladatban szereplő lépéseknek az NPS-proxyn való végrehajtása mellett a következőket kell tennie:

  • A NPS-proxyn konfiguráljon egy távoli RADIUS-kiszolgálócsoportot, amely tartalmazza az NPS-t.
  • A távoli NPS-en konfigurálja az NPS-proxyt RADIUS-ügyfélként.

Az ebben a témakörben szereplő eljárások végrehajtásához legalább egy hálózati hozzáférési kiszolgálónak (VPN-kiszolgáló, vezeték nélküli hozzáférési pont, hitelesítő kapcsoló vagy tárcsázó kiszolgáló) vagy NPS-proxynak fizikailag telepítve kell lennie a hálózaton.

Hálózati hozzáférési kiszolgáló konfigurálása

Ezzel az eljárással konfigurálhatja a hálózati hozzáférési kiszolgálókat az NPS használatával. Ha a hálózati hozzáférési kiszolgálókat (NAS) RADIUS-ügyfélként telepíti, akkor az ügyfeleket úgy kell konfigurálnia, hogy kommunikáljanak a hálózati hozzáférést biztosító szolgáltatásokkal, ahol a NAS-ok ügyfélként vannak konfigurálva.

Ez az eljárás általános iránymutatásokat ad a NAS-ok konfigurálásához használandó beállításokról; a hálózaton telepítendő eszköz konfigurálására vonatkozó konkrét utasításokat a NAS termékdokumentációjában talál.

A hálózati hozzáférési kiszolgáló konfigurálása

  1. A NAS-on a RADIUS-beállítások között válassza a RADIUS-hitelesítést az UDP (User Datagram Protocol) 1812-es portján és a RADIUS-könyvelést az UDP 1813-as portján.
  2. A Hitelesítési kiszolgáló vagy RADIUS-kiszolgáló mezőben adja meg a hálózati házirend-kiszolgálót IP-címmel vagy teljesen minősített tartománynévvel (FQDN), a NAS követelményeitől függően.
  3. A Titok vagy megosztott titok mezőbe írjon be egy erős jelszót. Amikor a NAS-t RADIUS-ügyfélként konfigurálja az NPS-ben, ugyanazt a jelszót fogja használni, ezért ne felejtse el.
  4. Ha PEAP vagy EAP hitelesítési módot használ, konfigurálja a NAS-t az EAP-hitelesítés használatára.
  5. Ha vezeték nélküli hozzáférési pontot konfigurál, az SSID (Service Set Identifier) mezőben adja meg az SSID-t (Service Set Identifier), amely egy alfanumerikus karakterlánc, amely a hálózat neveként szolgál. Ezt a nevet a hozzáférési pontok sugározzák a vezeték nélküli ügyfeleknek, és a felhasználók számára láthatóvá válik a Wi-Fi hotspotokon.
  6. Ha vezeték nélküli hozzáférési pontot konfigurál, a 802.1X és WPA területen engedélyezze az IEEE 802.1X hitelesítést, ha a PEAP-MS-CHAP v2, a PEAP-TLS vagy az EAP-TLS protokollt kívánja telepíteni.

Hálózati hozzáférési kiszolgáló RADIUS-ügyfélként való hozzáadása az NPS-ben

Ezzel az eljárással adhat hozzá egy hálózati hozzáférési kiszolgálót RADIUS-ügyfélként az NPS-ben. Ezzel az eljárással egy NAS-t RADIUS-ügyfélként konfigurálhat az NPS-konzol segítségével.

Az eljárás végrehajtásához a Rendszergazdák csoport tagjának kell lennie.

Hálózati hozzáférési kiszolgáló RADIUS-ügyfélként való hozzáadása az NPS-ben

  1. A NPS-en a Kiszolgálókezelőben kattintson az Eszközök, majd a Hálózati házirend-kiszolgáló elemre. Megnyílik az NPS-konzol.
  2. A NPS-konzolon kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre. Kattintson a jobb gombbal a RADIUS-ügyfelek elemre, majd kattintson az Új RADIUS-ügyfél elemre.
  3. Az Új RADIUS-ügyfélben ellenőrizze, hogy a RADIUS-ügyfél engedélyezése jelölőnégyzet be van-e jelölve.
  4. Az Új RADIUS-ügyfélben a Baráti név mezőbe írja be a NAS megjelenítési nevét. A Cím (IP vagy DNS) mezőbe írja be a NAS IP-címét vagy teljesen minősített tartománynevét (FQDN). Ha FQDN-t ad meg, kattintson a Verify (Ellenőrzés) gombra, ha ellenőrizni szeretné, hogy a név helyes-e és érvényes IP-címhez tartozik-e.
  5. A New RADIUS Client (Új RADIUS-ügyfél) területen a Vendor (Forgalmazó) mezőben adja meg a NAS gyártójának nevét. Ha nem biztos a NAS gyártójának nevében, válassza a RADIUS szabványt.
  6. Az Új RADIUS-ügyfélben a Megosztott titok mezőben tegye a következők egyikét:
    • Győződjön meg róla, hogy a Kézi beállítás van kiválasztva, majd a Megosztott titok mezőbe írja be a NAS-on is megadott erős jelszót. Ismételje meg a megosztott titkot a Megosztott titok megerősítése mezőben.
    • Válassza a Generálás lehetőséget, majd kattintson a Generálás gombra a megosztott titok automatikus generálásához. Mentse el a generált megosztott titkot a NAS konfigurációjához, hogy kommunikálni tudjon a hálózati házirend-kiszolgálóval.
  7. Az Új RADIUS-ügyfélben a További beállítások területen, ha az EAP és PEAP mellett más hitelesítési módszert is használ, és ha a NAS támogatja az üzenethitelesítő attribútum használatát, válassza az Access Request messages must contain the Message Authenticator attribútumot.
  8. Kattintson az OK gombra. A NAS megjelenik a hálózati házirend-kiszolgálón konfigurált RADIUS-ügyfelek listájában.

RADIUS-ügyfelek konfigurálása IP-címtartomány szerint Windows Server 2016 Datacenterben

Ha Windows Server 2016 Datacenter fut, a RADIUS-ügyfeleket IP-címtartomány szerint konfigurálhatja a hálózati házirend-kiszolgálón. Ez lehetővé teszi, hogy egyszerre nagyszámú RADIUS-ügyfelet (például vezeték nélküli hozzáférési pontokat) adjon hozzá az NPS-konzolhoz, ahelyett, hogy minden RADIUS-ügyfelet külön-külön adna hozzá.

Nem konfigurálhatja a RADIUS-ügyfeleket IP-címtartomány szerint, ha az NPS-t Windows Server 2016 Standard alatt futtatja.

Ezzel az eljárással olyan hálózati hozzáférési kiszolgálók (NAS-ok) csoportját adhatja hozzá RADIUS-ügyfélként, amelyek mindegyike ugyanazon IP-címtartományba tartozó IP-címekkel van konfigurálva.

A tartományban lévő összes RADIUS-ügyfélnek ugyanazt a konfigurációt és megosztott titkot kell használnia.

Az eljárás végrehajtásához a Rendszergazdák csoport tagjának kell lennie.

A RADIUS-ügyfelek IP-címtartományonkénti beállítása

  1. A hálózati házirend-kiszolgálón a Kiszolgálókezelőben kattintson az Eszközök, majd a Hálózati házirend-kiszolgáló elemre. Megnyílik a hálózati házirend-kiszolgáló konzolja.
  2. A hálózati házirend-kiszolgáló konzolján kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre. Kattintson a jobb gombbal a RADIUS-ügyfelek elemre, majd kattintson az Új RADIUS-ügyfél elemre.
  3. Az Új RADIUS-ügyfél területen a Barátságos név mezőbe írja be a NAS-ok gyűjteményének megjelenítési nevét.
  4. A Cím (IP vagy DNS) mezőbe írja be a RADIUS-ügyfelek IP-címtartományát a CIDR (Classless Inter-Domain Routing) jelölés használatával. Ha például a NAS-ok IP-címtartománya a 10.10.0.0.0, írja be a 10.10.0.0.0/16.
  5. A New RADIUS Client (Új RADIUS-ügyfél) mezőben a Vendor (Forgalmazó) mezőben adja meg a NAS gyártójának nevét. Ha nem biztos a NAS gyártójának nevében, válassza a RADIUS szabványt.
  6. Az Új RADIUS-ügyfélben a Megosztott titok mezőben tegye a következők egyikét:
    • Győződjön meg róla, hogy a Kézi beállítás van kiválasztva, majd a Megosztott titok mezőbe írja be a NAS-on is megadott erős jelszót. Ismételje meg a megosztott titkot a Megosztott titok megerősítése mezőben.
    • Válassza a Generálás lehetőséget, majd kattintson a Generálás gombra a megosztott titok automatikus generálásához. Mentse el a generált megosztott titkot a NAS konfigurációjához, hogy kommunikálni tudjon a hálózati házirend-kiszolgálóval.
  7. Az Új RADIUS-ügyfélben a További beállítások területen, ha az EAP és PEAP mellett más hitelesítési módszert is használ, és ha az összes NAS támogatja az üzenethitelesítő attribútum használatát, válassza az Access Request messages must contain the Message Authenticator attribútumot.
  8. Kattintson az OK gombra. A NAS-ok megjelennek a hálózati házirend-kiszolgálón konfigurált RADIUS-ügyfelek listájában.

További információkért lásd: RADIUS-ügyfelek.

A hálózati házirend-kiszolgálóról további információkért lásd: Hálózati házirend-kiszolgáló (NPS).

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.