RADIUS - Configurare i criteri di rete per gli attributi specifici del fornitore - Gruppi di utenti P2S
Nella sezione seguente viene descritto come configurare Il server criteri di rete di Windows Server (NPS) per autenticare gli utenti per rispondere ai messaggi Access-Request con l'attributo specifico del fornitore (VSA) usato per il supporto del gruppo di utenti in rete WAN virtuale point-to-site-VPN. La procedura seguente presuppone che il server criteri di rete sia già registrato in Active Directory. I passaggi possono variare a seconda del fornitore/versione del server NPS.
I passaggi seguenti descrivono la configurazione di criteri di rete singoli nel server NPS. Il server criteri di rete risponderà con il vsA specificato per tutti gli utenti che corrispondono a questo criterio e il valore di questo vsA può essere usato nel gateway VPN da punto a sito in rete WAN virtuale.
Configurare
Aprire la console di gestione server criteri di rete e fare clic con il pulsante destro del mouse su Criteri di rete -> Nuovo per creare un nuovo criterio di rete.
Nella procedura guidata selezionare Accesso concesso per assicurarsi che il server RADIUS possa inviare Access-Accept messaggi dopo l'autenticazione degli utenti. Quindi fare clic su Next.
Assegnare un nome al criterio e selezionare Remote Access Server (VPN-Dial up) come tipo di server di accesso alla rete. Quindi fare clic su Next.
Nella pagina Specifica condizioni fare clic su Aggiungi per selezionare una condizione. Selezionare quindi Gruppi di utenti come condizione e fare clic su Aggiungi. È anche possibile usare altre condizioni dei criteri di rete supportate dal fornitore del server RADIUS.
Nella pagina Gruppi di utenti fare clic su Aggiungi gruppi e selezionare i gruppi di Active Directory che useranno questo criterio. Fare quindi di nuovo clic su OK e SU OK . Verranno visualizzati i gruppi aggiunti nella finestra Gruppi di utenti . Fare clic su OK per tornare alla pagina Specifica condizioni e fare clic su Avanti.
Nella pagina Specifica autorizzazione di accesso selezionare Accesso concesso per assicurarsi che il server RADIUS possa inviare Access-Accept messaggi dopo l'autenticazione degli utenti. Quindi fare clic su Next.
Per i metodi di autenticazione di configurazione, apportare le modifiche necessarie, quindi fare clic su Avanti.
Per Configurare vincoli selezionare le impostazioni necessarie. Quindi fare clic su Next.
Nella pagina Configura impostazioni , per attributi RADIUS, evidenziare Vendor Specific (Specifica fornitore ) e fare clic su Aggiungi.
Nella pagina Aggiungi attributo specifico del fornitore scorrere per selezionare Specifica fornitore.
Fare clic su Aggiungi per aprire la pagina Informazioni sull'attributo . Fare quindi clic su Aggiungi per aprire la pagina Informazioni sull'attributo specifico del fornitore . Selezionare Seleziona dall'elenco e selezionare Microsoft. Selezionare Sì. È conforme. Fare quindi clic su Configura attributo.
Nella pagina Configura VSA (RFC Conforme) selezionare i valori seguenti:
- Numero di attributo assegnato dal fornitore: 65
- Formato attributo: esadecimale
- Valore dell'attributo: impostare questo valore sul valore VSA configurato nella configurazione del server VPN, ad esempio 6a1bd08. Il valore VSA deve iniziare con 6ad1bd.
Fare di nuovo clic su OK e OK per chiudere le finestre. Nella pagina Informazioni sull'attributo verrà visualizzato il fornitore e il valore elencati appena immessi. Fare clic su OK per chiudere la finestra. Fare quindi clic su Chiudi per tornare alla pagina Configura impostazioni .
La schermata Configura impostazioni è simile alla seguente:
Fare clic su Avanti , quindi su Fine. È possibile creare più criteri di rete nel server RADIUS per inviare messaggi di Access-Accept diversi al gateway VPN da punto a sito rete WAN virtuale in base all'appartenenza al gruppo di Active Directory o a qualsiasi altro meccanismo che si desidera supportare.
Passaggi successivi
Per altre informazioni sui gruppi di utenti, vedere Informazioni sui gruppi di utenti e sui pool di indirizzi IP per le VPN utente P2S.