Share via

RADIUS - Configurer NPS pour les attributs spécifiques au fournisseur - Groupes d’utilisateurs P2S

  • Article

La section suivante explique comment configurer le serveur NPS (Network Policy Server) Windows Server pour authentifier les utilisateurs afin de répondre aux messages Access-Request avec le VSA (Vendor Specific Attribute) utilisé pour la prise en charge de groupe d’utilisateurs dans un VPN point à site Virtual WAN. Les étapes suivantes supposent que votre NPS (Network Policy Server) est déjà inscrit auprès d’Active Directory. Les étapes peuvent varier en fonction du fournisseur ou de la version de votre serveur NPS.

Les étapes suivantes décrivent la configuration d’une stratégie réseau unique sur le serveur NPS. Le serveur NPS répond avec le VSA spécifié pour tous les utilisateurs qui correspondent à cette stratégie, et la valeur de ce VSA peut être utilisée sur votre passerelle VPN point à site dans Virtual WAN.

Configurer

  1. Ouvrez la console de gestion de NPS (Network Policy Server), puis cliquez avec le bouton droit sur Stratégies réseau -> Nouvelle pour créer une nouvelle stratégie réseau.

    Capture d’écran de la nouvelle stratégie réseau.

  2. Dans l’Assistant, sélectionnez Accès accordé pour vous assurer que votre serveur RADIUS peut envoyer des messages Access-Accept après authentification des utilisateurs. Cliquez ensuite sur Suivant.

  3. Nommez la stratégie et sélectionnez Serveur d’accès à distance (VPN-Accès à distance) comme type de serveur d’accès réseau. Cliquez ensuite sur Suivant.

    Capture d’écran du champ Nom de la stratégie.

  4. Dans la page Spécifier des conditions, cliquez sur Ajouter pour sélectionner une condition. Ensuite, sélectionnez Groupes d’utilisateurs comme condition, puis cliquez sur Ajouter. Vous pouvez également utiliser d’autres conditions de stratégie réseau prises en charge par votre fournisseur de serveur RADIUS.

    Capture d’écran montrant la spécification de conditions pour des groupes d’utilisateurs.

  5. Dans la page Groupes d’utilisateurs, cliquez sur Ajouter des groupes, puis sélectionnez les groupes Active Directory qui utiliseront cette stratégie. Cliquez sur OK à deux reprises. Vous verrez les groupes que vous avez ajoutés dans la fenêtre Groupes d’utilisateurs. Cliquez sur OK pour revenir à la page Spécifier les conditions, puis cliquez sur Suivant.

  6. Dans la page Spécifier l’autorisation d’accès, sélectionnez Accès accordé pour vous assurer que votre serveur RADIUS peut envoyer des messages Access-Accept après authentification des utilisateurs. Cliquez ensuite sur Suivant.

    Capture d’écran de la page Spécifier l’autorisation d’accès.

  7. Pour les Méthodes d’authentification de configuration, apportez les modifications nécessaires, puis cliquez sur Suivant.

  8. Pour Configurer des contraintes, sélectionnez les paramètres nécessaires. Cliquez ensuite sur Suivant.

  9. Dans la page Configurer les paramètres, pour Attributs RADIUS, mettez en surbrillance Fournisseur spécifique, puis cliquez sur Ajouter.

    Capture d’écran de la page Configurer les paramètres.

  10. Dans la page Ajouter un attribut spécifique du fournisseur, faites défiler pour sélectionner Spécifique du fournisseur.

    Capture d’écran de la page Ajouter un attribut spécifique du fournisseur avec l’option Spécifique du fournisseur sélectionnée.

  11. Cliquez sur Ajouter pour ouvrir la page Informations d’attribut. Ensuite, cliquez sur Ajouter pour ouvrir la page Informations sur l’attribut spécifique du fournisseur. Choisissez Sélectionner dans la liste, puis sélectionnez Microsoft. Sélectionnez Oui. Il est conforme. Ensuite, cliquez sur Configurer l’attribut.

    Capture d’écran de la page Informations sur l’attribut.

  12. Dans la page Configurer VSA (Conforme RFC), sélectionnez les valeurs suivantes :

    • Numéro d’attribut affecté par le fournisseur : 65
    • Format d’attribut : hexadécimal
    • Valeur de l’attribut : définissez-la sur la valeur de VSA que vous avez configurée pour votre serveur VPN, par exemple, 6a1bd08. La valeur de VSA devrait commencer par 6ad1bd.

  13. Cliquez sur OK à deux reprises pour fermer les fenêtres. Dans la page Informations sur l’attribut, vous verrez le fournisseur et la valeur que vous venez d’entrer. Cliquez sur OK pour fermer la fenêtre. Ensuite, cliquez sur Fermer pour revenir à la page Configurer les paramètres.

  14. La page Configurer les paramètres ressemble maintenant à la capture d’écran suivante :

    Capture d’écran de la page Configurer les paramètres avec des attributs spécifiques du fournisseur.

  15. Cliquez sur Suivant , puis sur Terminer. Vous pouvez créer plusieurs stratégies réseau sur votre serveur RADIUS pour envoyer différents messages Access-Accept à la passerelle VPN point à site Virtual WAN en fonction de l’appartenance au groupe Active Directory ou de tout autre mécanisme que vous souhaitez prendre en charge.

Étapes suivantes