Настройка клиентов RADIUS
Этот раздел можно использовать для настройки серверов доступа к сети в качестве клиентов RADIUS в NPS.
При добавлении нового сервера сетевого доступа (VPN-сервера, беспроводной точки доступа, проверки подлинности или сервера подключения) в сеть необходимо добавить сервер в качестве клиента RADIUS в NPS, а затем настроить клиент RADIUS для взаимодействия с NPS.
Внимание
Клиентские компьютеры и устройства, такие как ноутбуки, планшеты, телефоны и другие компьютеры под управлением клиентских операционных систем, не являются клиентами RADIUS. Клиенты RADIUS — это серверы доступа к сети, такие как беспроводные точки доступа, коммутаторы с поддержкой 802.1X, серверы виртуальной частной сети (VPN) и серверы с телефонным подключением, так как они используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как серверы NPS.
Этот шаг также необходим, если NPS является членом удаленной группы серверов RADIUS, настроенной на прокси-сервере NPS. В этом случае помимо выполнения действий в этой задаче на прокси-сервере NPS необходимо выполнить следующие действия:
- На прокси-сервере NPS настройте удаленную группу серверов RADIUS, содержащую NPS.
- На удаленном NPS настройте прокси-сервер NPS в качестве клиента RADIUS.
Для выполнения процедур, описанных в этом разделе, необходимо установить по крайней мере один сервер доступа к сети (VPN-сервер, точка беспроводного доступа, переключение подлинности или сервер с телефонным подключением) или прокси-сервер NPS физически установлен в сети.
Настройка сервера доступа к сети
Используйте эту процедуру для настройки серверов доступа к сети для использования с NPS. При развертывании серверов сетевого доступа (NASs) в качестве клиентов RADIUS необходимо настроить клиенты для взаимодействия с NPS, в которых naSs настроены как клиенты.
Эта процедура содержит общие рекомендации по параметрам, которые следует использовать для настройки NAS; Инструкции по настройке устройства, развернутого в сети, см. в документации по продукту NAS.
Настройка сервера сетевого доступа
- В параметрах RADIUS в nas выберите проверку подлинности RADIUS в порте UDP (UDP) порта 1812 и RADIUS для порта UDP 1813.
- В сервере проверки подлинности или сервере RADIUS укажите NPS по IP-адресу или полное доменное имя (FQDN) в зависимости от требований NAS.
- В разделе "Секрет" или "Общий секрет" введите надежный пароль. При настройке NAS в качестве клиента RADIUS в NPS вы будете использовать тот же пароль, поэтому не забывайте об этом.
- Если вы используете PEAP или EAP в качестве метода проверки подлинности, настройте NAS для использования проверки подлинности EAP.
- Если вы настраиваете точку беспроводного доступа в SSID, укажите идентификатор набора служб (SSID), который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. Это имя передается точками доступа к беспроводным клиентам и отображается пользователям в ваших беспроводных хот-точках (Wi-Fi).
- Если вы настраиваете точку беспроводного доступа, в версии 802.1X и WPA включите проверку подлинности IEEE 802.1X, если вы хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS.
Добавление сервера доступа к сети в качестве клиента RADIUS в NPS
Используйте эту процедуру для добавления сервера доступа к сети в качестве клиента RADIUS в NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS.
Чтобы выполнить эту процедуру, необходимо быть членом группы "Администраторы ".
Добавление сервера доступа к сети в качестве клиента RADIUS в NPS
- На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.
- В консоли NPS дважды щелкните radius-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUS и выберите новый клиент RADIUS.
- В новом клиенте RADIUS убедитесь, что установлен флажок "Включить этот клиент RADIUS".
- В новом клиенте RADIUS введите отображаемое имя ДЛЯ NAS. В поле Address (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). Если ввести полное доменное имя, нажмите кнопку "Проверить , правильно ли имя" и сопоставляется с допустимым IP-адресом.
- В новом клиенте RADIUS в поставщике укажите имя производителя NAS. Если вы не уверены, что имя производителя NAS не указано, выберите стандарт RADIUS.
- В новом клиенте RADIUS в общем секрете выполните одно из следующих действий:
- Убедитесь, что выбрано вручную , а затем в разделе "Общий секрет" введите надежный пароль, который также введен в NAS. Повторно введите общий секрет в подтверждении общего секрета.
- Выберите "Создать" и нажмите кнопку "Создать", чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для настройки на NAS, чтобы он смог взаимодействовать с NPS.
- В новом клиенте RADIUS в разделе "Дополнительные параметры", если вы используете любые методы проверки подлинности, отличные от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщений, выберите " Запрос доступа" должен содержать атрибут Authenticator сообщения.
- Щелкните OK. Ваш NAS отображается в списке клиентов RADIUS, настроенных на NPS.
Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter
Если вы используете Windows Server 2016 Datacenter, вы можете настроить клиенты RADIUS в NPS по диапазону IP-адресов. Это позволяет добавлять большое количество клиентов RADIUS (таких как точки беспроводного доступа) в консоль NPS одновременно, а не добавлять каждый клиент RADIUS по отдельности.
Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard.
Используйте эту процедуру, чтобы добавить группу серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с IP-адресами из одного диапазона IP-адресов.
Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет.
Чтобы выполнить эту процедуру, необходимо быть членом группы "Администраторы ".
Настройка клиентов RADIUS по диапазону IP-адресов
- На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.
- В консоли NPS дважды щелкните radius-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUS и выберите новый клиент RADIUS.
- В новом клиенте RADIUS в поле "Понятное имя" введите отображаемое имя для коллекции NASs.
- В поле Address (IP или DNS) введите диапазон IP-адресов для клиентов RADIUS с помощью нотации "Маршрутизация между доменами" (CIDR). Например, если диапазон IP-адресов для NASs равен 10.10.0.0, введите 10.10.0.0/16.
- В новом клиенте RADIUS в поставщике укажите имя производителя NAS. Если вы не уверены, что имя производителя NAS не указано, выберите стандарт RADIUS.
- В новом клиенте RADIUS в общем секрете выполните одно из следующих действий:
- Убедитесь, что выбрано вручную , а затем в разделе "Общий секрет" введите надежный пароль, который также введен в NAS. Повторно введите общий секрет в подтверждении общего секрета.
- Выберите "Создать" и нажмите кнопку "Создать", чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для настройки на NAS, чтобы он смог взаимодействовать с NPS.
- В новом клиенте RADIUS в дополнительных параметрах, если вы используете любые методы проверки подлинности, отличные от EAP и PEAP, и если все ваши NAS поддерживают использование атрибута проверки подлинности сообщений, выберите " Запрос доступа" должен содержать атрибут Authenticator сообщения.
- Щелкните OK. В списке клиентов RADIUS, настроенных на NPS, отображаются значения NAS.
Дополнительные сведения см. в разделе "Клиенты RADIUS".
Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).