RADIUS – Konfigurace serveru NPS pro atributy specifické pro dodavatele – Skupiny uživatelů P2S
Následující část popisuje, jak nakonfigurovat server NPS (Network Policy Server) systému Windows Server tak, aby ověřoval uživatele tak, aby reagovali na Access-Request zprávy pomocí atributu VSA (Vendor Specific Attribute), který se používá pro podporu skupin uživatelů v Virtual WAN vpn typu point-to-site. Následující kroky předpokládají, že server NPS (Network Policy Server) je již zaregistrovaný ve službě Active Directory. Postup se může lišit v závislosti na dodavateli nebo verzi serveru NPS.
Následující kroky popisují nastavení jedné zásady sítě na serveru NPS. Server NPS odpoví pomocí zadaného VSA pro všechny uživatele, kteří splňují tyto zásady, a hodnotu tohoto VSA můžete použít u brány VPN typu point-to-site v Virtual WAN.
Konfigurace
Otevřete konzolu pro správu serveru NPS (Network Policy Server ) a klikněte pravým tlačítkem na Network Policies - New (Zásady sítě –> nové ). Tím vytvoříte novou zásadu sítě.
V průvodci vyberte Přístup udělen , abyste zajistili, že server RADIUS může po ověření uživatelů odesílat Access-Accept zprávy. Potom klikněte na Další.
Pojmenujte zásadu a jako typ serveru pro přístup k síti vyberte Server vzdáleného přístupu (VPN-Dial up ). Potom klikněte na Další.
Na stránce Zadat podmínky klikněte na Přidat a vyberte podmínku. Pak jako podmínku vyberte Skupiny uživatelů a klikněte na Přidat. Můžete také použít jiné podmínky zásad sítě podporované dodavatelem serveru RADIUS.
Na stránce Skupiny uživatelů klikněte na Přidat skupiny a vyberte skupiny Active Directory, které budou tuto zásadu používat. Potom znovu klikněte na OK a OK . Skupiny, které jste přidali, se zobrazí v okně Skupiny uživatelů . Kliknutím na OK se vraťte na stránku Zadat podmínky a klikněte na Další.
Na stránce Zadat přístupová oprávnění vyberte Přístup udělen , abyste zajistili, že server RADIUS může po ověření uživatelů odesílat Access-Accept zprávy. Potom klikněte na Další.
V části Metody ověřování konfigurace proveďte potřebné změny a pak klikněte na Další.
V části Konfigurovat omezení vyberte všechna potřebná nastavení. Potom klikněte na Další.
Na stránce Konfigurovat nastavení v části Atributy protokolu RADIUS zvýrazněte položku Vendor Specific (Specifické pro dodavatele) a klikněte na Add (Přidat).
Na stránce Add Vendor Specific Attribute (Přidat atribut pro konkrétního dodavatele ) vyberte Vendor-Specific (Konkrétní dodavatel).
Kliknutím na Přidat otevřete stránku Informace o atributu . Potom kliknutím na Přidat otevřete stránku Informace o atributu specifickém pro dodavatele . Vyberte Vybrat ze seznamu a vyberte Microsoft. Vyberte Ano. To vyhovuje. Potom klikněte na Konfigurovat atribut.
Na stránce Konfigurace VSA (kompatibilní se standardem RFC) vyberte následující hodnoty:
- Číslo atributu přiřazeného dodavatelem: 65
- Formát atributu: Hexadecimální
- Hodnota atributu: Nastavte ji na hodnotu VSA, kterou jste nakonfigurovali v konfiguraci serveru VPN, například 6a1bd08. Hodnota VSA by měla začínat hodnotou 6ad1bd.
Dalším kliknutím na OK a OK zavřete okna. Na stránce Informace o atributu uvidíte seznam Dodavatel a Hodnota, které jste právě zadali. Kliknutím na tlačítko OK zavřete toto okno. Potom se kliknutím na Zavřít vraťte na stránku Konfigurovat nastavení .
Konfigurace nastavení teď vypadá podobně jako na následujícím snímku obrazovky:
Klikněte na Další a pak na Dokončit. Na serveru RADIUS můžete vytvořit několik zásad sítě, které posílají různé Access-Accept zprávy do Virtual WAN brány VPN typu point-to-site na základě členství ve skupině Active Directory nebo jakéhokoli jiného mechanismu, který chcete podporovat.
Další kroky
Další informace o skupinách uživatelů najdete v tématu Informace o skupinách uživatelů a fondech IP adres pro sítě VPN uživatelů P2S.
Informace o konfiguraci skupin uživatelů najdete v tématu Konfigurace skupin uživatelů a fondů IP adres pro sítě VPN uživatelů P2S.