RADIUS – Konfigurace serveru NPS pro atributy specifické pro dodavatele – Skupiny uživatelů P2S

Následující část popisuje, jak nakonfigurovat server NPS (Windows Server Network Policy Server) tak, aby ověřoval uživatele tak, aby reagoval na zprávy žádosti o přístup pomocí atributu VSA (Vendor Specific Attribute) používaného pro podporu skupin uživatelů ve službě Virtual WAN point-to-site-VPN. Následující kroky předpokládají, že server zásad sítě je již zaregistrovaný ve službě Active Directory. Postup se může lišit v závislosti na dodavateli nebo verzi vašeho serveru NPS.

Následující kroky popisují nastavení jedné zásady sítě na serveru NPS. Server NPS odpoví zadanou VSA pro všechny uživatele, kteří splňují tuto zásadu, a hodnotu tohoto VSA je možné použít na bráně VPN typu point-to-site ve službě Virtual WAN.

Konfigurovat

1. Otevřete konzolu pro správu serveru síťových zásad a klikněte pravým tlačítkem myši na Zásady sítě –> Nový a vytvořte novou zásadu sítě.

   

2. V průvodci vyberte Access udělen , abyste zajistili, že server RADIUS může po ověření uživatelů odesílat zprávy o přijetí přístupu. Pak klikněte na Další.

3. Pojmenujte zásadu a jako typ serveru síťového přístupu vyberte Server vzdáleného přístupu (VPN-Dial up ). Pak klikněte na Další.

   

4. Na stránce Zadat podmínky klepněte na tlačítko Přidat a vyberte podmínku. Potom jako podmínku vyberte Skupiny uživatelů a klikněte na Přidat. Můžete také použít jiné podmínky zásad sítě, které podporuje dodavatel serveru RADIUS.

   

5. Na stránce Skupiny uživatelů klikněte na Přidat skupiny a vyberte skupiny služby Active Directory, které budou tuto zásadu používat. Potom znovu klikněte na OK a OK . Skupiny, které jste přidali, se zobrazí v okně Skupiny uživatelů. Kliknutím na tlačítko OK se vrátíte na stránku Zadat podmínky a klepněte na tlačítko Další.

6. Na stránce Zadat přístupové oprávnění vyberte Přístup udělený, abyste zajistili, že server RADIUS může odesílat zprávy o přijetí přístupu po ověření uživatelů. Pak klikněte na Další.

   

7. V části Metody ověřování konfigurace proveďte potřebné změny a klikněte na tlačítko Další.

8. Pro konfiguraci omezení vyberte všechna potřebná nastavení. Pak klikněte na Další.

9. Na stránce Konfigurovat nastavení u atributů PROTOKOLU RADIUS zvýrazněte konkrétního dodavatele a klikněte na Přidat.

   

10. Na stránce Přidat atribut specifický pro dodavatele se posuňte a vyberte Vendor-Specific.

    

11. Kliknutím na Přidat otevřete stránku Informace o atributu. Potom klepnutím na tlačítko Přidat otevřete stránku Informace o atributu specifické pro dodavatele. Vyberte možnost Vybrat ze seznamu a vyberte Microsoft. Vyberte Ano. Vyhovuje. Potom klikněte na Konfigurovat atribut.

    

12. Na stránce Konfigurovat VSA (kompatibilní se standardem RFC) vyberte následující hodnoty:

    • Číslo atributu přiřazeného dodavatelem: 65
    • Formát atributu: Hexadecimální
    • Hodnota atributu: Nastavte tuto hodnotu na hodnotu VSA, kterou jste nakonfigurovali v konfiguraci serveru VPN, například 6a1bd08. Hodnota VSA by měla začínat hodnotou 6ad1bd.

13. Dalším kliknutím na OK a OK zavřete okna. Na stránce Informace o atributu se zobrazí seznam Dodavatel a Hodnota, které jste právě zadali. Kliknutím na tlačítko OK zavřete okno. Potom se kliknutím na tlačítko Zavřít vrátíte na stránku Konfigurovat nastavení .

14. Konfigurace nastavení teď vypadá podobně jako na následujícím snímku obrazovky:

    

15. Klikněte na Další a potom na Dokončit. Na serveru RADIUS můžete vytvořit několik zásad sítě, které budou posílat různé zprávy o přijetí přístupu do brány VPN typu point-to-site služby Virtual WAN na základě členství ve skupině služby Active Directory nebo jakéhokoli jiného mechanismu, který chcete podporovat.

Další kroky

• Další informace o skupinách uživatelů najdete v tématu O skupinách uživatelů a fondech IP adres pro sítě VPN uživatelů P2S.

• Pokud chcete konfigurovat skupiny uživatelů, přečtěte si téma Konfigurace skupin uživatelů a fondů IP adres pro sítě VPN uživatelů P2S.