Настройка radius server на windows 2016 для wifi

Обновлено: 08.01.2025

Наконец «Долгая дорога в дюнах» закончилась, и мы пришли к корпоративному управляемому Wi-fi решению. В начале думали про решение Cisco или Aruba, но к сожалению текущий бюджет никак не располагает к решениям подобного плана. В итоге, в ходе долгих поисков истины и раздумий, решили остановиться на решении Ubnt (отдельно благодарю Александра за нужные советы). Конечно, это не одного поля ягоды с решением Cisco или Aruba, но в текущей ситуации, что есть, то есть.

Как говорил мой командир: «На пожаре и Х… водопровод» (да простят меня за мой русский).

Итак, решение выбрано, задача настроить корпоративный внутренний и гостевой сегменты Wi-fi с авторизацией на Radius сервере.

VPN сервер уже готов, осталось настроить RADIUS, сегодня как раз об этом. На первый взгляд, развернуть и настроить RADIUS сервер, не такая уж сложная задача, но немного загнались с сертификатом, пришлось «поплясать с бубном», ну об этом далее по порядку.

Для начала необходимо запросить сертификат с Центра сертификации, центр сертификации у нас уже есть, поэтому его установку в этом посте я пропущу.

MMC-Файл-Добавить или удалить оснастку-Добавляем Сертификаты-Учетной записи компьютера-Локальным компьютером.

Находим наш центр сертификации

Запрашиваем сертификат (*.p12), сохраняем его на диск, далее устанавливаем его в Личные сертификаты на будущий радиус сервер

Далее добавляем роль самого RADIUS сервера

Далее запускаем Сервер политики сети

Добавляем в раздел RADIUS-клиенты свои Wi-fi точки доступа или сервер управления точками доступа если он поддерживает эту возможность (в этом случае он будет выполнять роль RADIUS клиента)

Общий секрет, указываем тот, который в последствии укажем на Wi-fi точке (IP адрес точки в той подсети, где она находится).

Переходим к политике запросов на подключение

Вот тут, если нажать на:защищенные EAP(PEAP)-Изменить, мы должны видеть свой сертификат, если он был правильно запрошен и установлен.

Далее настраиваем Сетевые политики

На первый взгляд настройка RADIUS сервера на этом закончена, но это еще не все.

На эту тему есть четкие рекомендации, про которые я совсем забыл (спасибо Александру, что он напомнил):

если сервер не включен в группу RAS and IAS, то его надо туда добавить:

На всякий случай проверяем, что все так, как должно быть, открываем на сервере локальную политику (gpedit.msc)

И проверяем следующий пункт

Далее на точке или точках Wi-fi указываем авторизацию WPA Enterprise.

Здесь же хотел поблагодарить Романа, за подробные разъяснения по неясным моментам по серверу управлению Wi-fi и настройкам непосредственно Wi-fi.

И получаем далее авторизуем с доменными учетными данными, пользователей подключаемых к корпоративному Wi-fi.

Использование для WiFi авторизации доменных учетных записей является очень удобным решением для любой организации где есть контроллер домена. Это удобно в случае если у вас несколько офисов т.к. можно подключаться под личным логином и паролем к wifi в любом офисе и безопасно в случае увольнения сотрудника т.к. его доменный профиль удаляется или блокируется.

Для настройки WiFi авторизации через доменный профиль необходимо будет выполнить следующие настройки:

1. Настройка сервера политики сети NPS в Windows 2012
2. Настройка RADIUS-клиента на Mikrotik.

Освоить MikroTik Вы можете с помощью онлайн-куса « Настройка оборудования MikroTik ». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка сервера политики сети NPS в Windows 2012.

Открываем "Диспетчер сервера" и приступаем к установке роли "Сервер политики сети" через "Мастер добавления ролей и компонентов". Подробно рассматривать процедуру установки не буду, здесь нет никаких сложностей. У меня на сервере эта роль уже установлена (см. скриншот).

После установки Роли потребуется перезагрузка. Перезагружаем сервер и приступаем к настройке NPS.

Настраиваем подключение RADIUS-клиента.

В Диспетчере серверов открываем /Средства/Сервер политики сети.

Переходим в /NPS/Radius-клиенты и сервер/Radius-клиенты, щелкаем пр. клавишей мыши и выбираем пункт "Новый документ"

Указываем имя (любое понятное для себя), ip-адрес роутера Mikrotik и придумываем общий секрет посложней (можно воспользоваться генератором).

Создаем политики для WiFi авторизации.

На этом шаге настройки воспользуемся мастером настройки 802.1x.

Кликаем лев. клавишей мыши по пункту "NPS(Локально)", затем в правом окне разворачиваем пункт "Стандартная конфигурация".

В пункте сценария настройки выбираем "RADIUS-сервер для беспроводных или кабельных подключений 802.1x" и переходим по ссылке "Настройка 802.1x".

Выбираем пункт "Безопасные беспроводные подключения"

На следующем шаге добавляем RADIUS-клиенты, которые были подключены к RADIUS-серверу ранее.

В качестве метода проверки подлинности выбираем "Microsoft: защищенные EAP (PEAP)".

Выбираем группы пользователей домена, которым будет доступно подключение к WiFi.

В результате получаем следующие результаты политик.

Политика запросов на подключение:

Сетевая политика:

На этом настройка NPS в качестве RADIUS-сервера для WiFi-авторизации завершена. Приступаем к настройке роутера Mikrotik.

Настройка подключения Mikrotik к RADIUS-серверу.

Чтобы добавить в Mikrotik подключение к RADIUS-серверу открываем меню RADIUS и жмем плюсик.

• Отмечаем нужную службу "Services" - в случае WiFi авторизации это "wireless".
• Указываем "Adsress" Radius-сервера - это ip-адрес настроенного ранее сервера сетевой политики NPS.
• Заполняем Secret, который был указан при добавлении radius-клиента в NPS.

Все остальные настройки оставляем как есть, если только вы не решили изменить на NPS стандартные порты подключения 1812 и 1813.

Добавляем профиль авторизации: /Wireless/Security profiles. Здесь в Authentication types оставляем только WPA2 EAP.

Указываем в нашем действующем WiFi интерфейсе новый Security profile.

На этом настройка Mikrotik в качестве RADIUS-клиента закончена.

Для диагностики неисправности подключений можно включить Logging для RADIUS: /System/Logging/+. В "Topics" выбираем "radius".

Открываем Log и пробуем подключиться к точке доступа.

Количество успешных и сброшенных подключений можно посмотреть во вкладке Status созданного подключения к radius-серверу.

Освоить MikroTik Вы можете с помощью онлайн-куса « Настройка оборудования MikroTik ». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Перед настройкой сервера удаленного доступа для поддержки DirectAccess с поддержкой OTP необходимо настроить сервер RADIUS.

Задача	Описание
2.1. Настройка токенов распространения программного обеспечения RADIUS	На сервере RADIUS настройте маркеры распространения программного обеспечения.
2.2. Настройка сведений о безопасности RADIUS	На сервере RADIUS настройте используемые порты и общий секрет.
2,3. Добавление учетной записи пользователя для проверки OTP	На сервере RADIUS создайте новую учетную запись пользователя для проверки OTP.
2,4 Синхронизация с Active Directory	На сервере RADIUS создайте учетные записи пользователей, синхронизированные с учетными записями Active Directory.
2,5. Настройка агента проверки подлинности RADIUS	Настройте сервер удаленного доступа в качестве агента проверки подлинности RADIUS.

2,1. Настройка токенов распространения программного обеспечения RADIUS

Сервер RADIUS должен быть настроен с использованием необходимых лицензий и программного обеспечения и/или маркеров распространения оборудования, которые будут использоваться DirectAccess с OTP. Этот процесс будет специфичен для каждой реализации поставщика RADIUS.

2,2. Настройка сведений о безопасности RADIUS

Сервер RADIUS использует UDP-порты для связи, и каждый поставщик RADIUS имеет собственные UDP-порты по умолчанию для входящего и исходящего трафика. Чтобы сервер RADIUS работал с сервером удаленного доступа, убедитесь, что все брандмауэры в окружении настроены таким образом, чтобы разрешить трафик UDP между серверами DirectAccess и OTP через нужные порты.

Сервер RADIUS использует общий секрет для проверки подлинности. Настройте сервер RADIUS с помощью надежного пароля для общего секрета и обратите внимание, что это будет использоваться при настройке конфигурации клиентского компьютера сервера DirectAccess для использования с DirectAccess с OTP.

2,3. Добавление учетной записи пользователя для проверки OTP

На сервере RADIUS создайте новую учетную запись пользователя с именем дапробеусер и присвойте ей пароль дапробепасс.

2,4 Синхронизация с Active Directory

Сервер RADIUS должен иметь учетные записи пользователей, соответствующие пользователям в Active Directory, которые будут использовать DirectAccess с OTP.

Синхронизация RADIUS-и Active Directory пользователей

Запишите сведения о пользователе из Active Directory для всех пользователей DirectAccess с OTP.

Используйте процедуру, определенную поставщиком, для создания идентичных учетных записей пользователей в формате " домен \ имя_пользователя " на сервере RADIUS, который был записан.

2,5. Настройка агента проверки подлинности RADIUS

Сервер удаленного доступа должен быть настроен в качестве агента аутентификации RADIUS для реализации DirectAccess с OTP. Следуйте инструкциям поставщика RADIUS, чтобы настроить сервер удаленного доступа в качестве агента проверки подлинности RADIUS.

Сводка: OS10, NPS, Radius, 2016 Свернуть OS10, NPS, Radius, 2016

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Инструкции

Как настроить RADIUS-сервер NPS в Windows Server 2016 для OS10

Действия

1. Откройте приложение для управления сервером NPS.

2. Нажмите правой кнопкой мыши на пункт «Клиенты RADIUS».

3. Выберите пункт «Создать».

• Создайте понятное имя OS10.
• Введите IP-адрес коммутатора.
• Введите общий секрет.

Общий секрет должен соответствовать значению, настроенному на коммутаторе.

4. Нажмите правой кнопкой мыши на пункте «Политики запросов подключения».

5. Выберите пункт «Создать».

• Создайте имя политики «OS10-RADIUS».
• Нажмите «Далее».
• В разделе «Условия» выберите пункт «Добавить».
• Выберите понятное имя клиента.
• Значение будет «OS10».
• Нажмите Готово.
  

6. Нажмите правой кнопкой мыши на пункт «Политики сети» Политики (пункты 10.4.1.x и ниже)

7. Выберите пункт «Создать».

• Создайте имя «OS10-Policies».
• Нажмите «Далее».
• Добавьте условие.
• Выберите группы пользователей.
• Добавьте требуемую группу пользователей, которой будет разрешен доступ к сети\администрирование домена.
• Нажмите «Далее».
• Убедитесь, что выбран параметр «Доступ разрешен».
• Нажмите «Далее».
• Установите флажок «Нешифрованная аутентификация (PAP, SPAP)».
• Нажмите «Далее».
• Нажмите «Далее» в разделе «Ограничения».
• В разделе «Настройки» оставьте значения по умолчанию:
  • Протокол кадрирования: PPP.
  • Тип службы: Кадрированная.
  • Cisco-AV-Pair shell:roles="sysadmin"

  8. Нажмите правой кнопкой мыши на пункте «Сетевые политики» (пункты 10.4.2.x и далее).

  9. Выберите пункт «Создать».

  • • Создайте имя «OS10-RADIUS».
    • Нажмите «Далее».
    • Добавьте условие.
    • Выберите группы пользователей.
    • Добавьте требуемую группу пользователей, которой будет разрешен доступ к сети\администрирование домена.
    • Нажмите «Далее».
    • Убедитесь, что выбран параметр «Доступ разрешен».
    • Нажмите «Далее».
    • Установите флажок «Нешифрованная аутентификация (PAP, SPAP)».
    • Нажмите «Далее».
    • Нажмите «Далее» в разделе «Ограничения».
    • В разделе «Настройки» оставьте значения по умолчанию:
      • Протокол кадрирования: PPP.
      • Тип службы: Кадрированная.
      • Выберите Vendor-Specific (Отчеты/Список)
        • Введите код вендора: 674.
        • Да. Он соответствует RFC для RADIUS.
        • Настройте атрибут.
          • Назначенный вендором номер атрибута: 2.
          • Формат атрибута: string.
          • Значение атрибута: sysadmin.
          • • Нажмите «Далее».
            • Подтвердите правильность настроек и нажмите «Готово».

            
            

            Не копируйте и не вставляйте элементы, так как форматирование может неправильно добавлять символы.
            • Нажмите «Далее».
            • Подтвердите правильность настроек и нажмите «Готово».

            Конфигурация коммутатора:
            

            Затронутый продукт

            PowerSwitch S4128F-ON/S4128T-ON, PowerSwitch S4148F-ON/S4148T-ON/S4148FE-ON, PowerSwitch S4148U-ON, PowerSwitch S5148F-ON

            Читайте также:

              
            • Нет панели управления nvidia на windows 7
              
            • Дерево процессов это windows
              
            • Чем открыть tiff ubuntu
              
            • Отличие archlinux от debian
              
            • Как узнать какие компиляторы установлены в linux