RADIUS — konfigurowanie serwera NPS dla atrybutów specyficznych dla dostawcy — grupy użytkowników P2S

Artykuł
05/29/2023

W poniższej sekcji opisano sposób konfigurowania serwera zasad sieciowych systemu Windows Server (NPS) w celu uwierzytelnienia użytkowników w celu reagowania na komunikaty Access-Request za pomocą atrybutu specyficznego dla dostawcy (VSA) używanego do obsługi grup użytkowników w Virtual WAN punkt-lokacja-VPN. W poniższych krokach założono, że serwer zasad sieciowych jest już zarejestrowany w usłudze Active Directory. Kroki mogą się różnić w zależności od dostawcy/wersji serwera NPS.

W poniższych krokach opisano konfigurowanie pojedynczych zasad sieciowych na serwerze NPS. Serwer NPS odpowie za pomocą określonego programu VSA dla wszystkich użytkowników, którzy pasują do tych zasad, a wartość tej usługi VSA może być używana w bramie sieci VPN typu punkt-lokacja w Virtual WAN.

Konfigurowanie

Otwórz konsolę zarządzania serwerem zasad sieciowych , a następnie kliknij prawym przyciskiem myszy pozycję Zasady sieciowe —> nowe , aby utworzyć nowe zasady sieciowe.
W kreatorze wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać Access-Accept wiadomości po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.
Nazwij zasady i wybierz pozycję Serwer dostępu zdalnego (VPN-Dial up) jako typ serwera dostępu do sieci. Następnie kliknij przycisk Dalej.
Na stronie Określanie warunków kliknij przycisk Dodaj , aby wybrać warunek. Następnie wybierz pozycję Grupy użytkowników jako warunek i kliknij przycisk Dodaj. Możesz również użyć innych warunków zasad sieciowych obsługiwanych przez dostawcę serwera RADIUS.
Na stronie Grupy użytkowników kliknij pozycję Dodaj grupy i wybierz grupy usługi Active Directory, które będą używać tych zasad. Następnie kliknij przycisk OK i ponownie przycisk OK . Zobaczysz grupy dodane w oknie Grupy użytkowników . Kliknij przycisk OK , aby powrócić do strony Określ warunki , a następnie kliknij przycisk Dalej.
Na stronie Określanie uprawnień dostępu wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać Access-Accept wiadomości po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.
W obszarze Metody uwierzytelniania konfiguracji wprowadź wszelkie niezbędne zmiany, a następnie kliknij przycisk Dalej.
W obszarze Konfigurowanie ograniczeń wybierz wszelkie niezbędne ustawienia. Następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie ustawień w obszarze Atrybuty usługi RADIUS wyróżnij pozycję Specyficzne dla dostawcy i kliknij przycisk Dodaj.
Na stronie Dodawanie atrybutu specyficznego dla dostawcy przewiń, aby wybrać pozycję Specyficzny dla dostawcy.
Kliknij przycisk Dodaj , aby otworzyć stronę Informacje o atrybutach . Następnie kliknij przycisk Dodaj , aby otworzyć stronę Informacje o atrybutach specyficznych dla dostawcy . Wybierz pozycję Wybierz z listy i wybierz pozycję Microsoft. Wybierz pozycję Tak. Jest ona zgodna. Następnie kliknij pozycję Konfiguruj atrybut.
Na stronie Konfigurowanie usługi VSA (zgodne z protokołem RFC) wybierz następujące wartości:
- Numer atrybutu przypisanego przez dostawcę: 65
- Format atrybutu: szesnastkowy
- Wartość atrybutu: ustaw tę wartość na wartość VSA skonfigurowaną w konfiguracji serwera sieci VPN, taką jak 6a1bd08. Wartość vsA powinna zaczynać się od 6ad1bd.
Kliknij przycisk OK i ponownie ok , aby zamknąć okna. Na stronie Informacje o atrybutach zostanie wyświetlona lista Dostawca i Wartość, którą po prostu wprowadzasz. Kliknij przycisk OK, aby zamknąć okno. Następnie kliknij przycisk Zamknij , aby powrócić do strony Konfigurowanie ustawień .
Konfiguracja ustawień wygląda teraz podobnie do poniższego zrzutu ekranu:
Kliknij przycisk Dalej , a następnie zakończ. Na serwerze RADIUS można utworzyć wiele zasad sieciowych, aby wysyłać różne komunikaty Access-Accept do bramy sieci VPN Virtual WAN typu punkt-lokacja na podstawie członkostwa w grupie usługi Active Directory lub innego mechanizmu, który chcesz obsługiwać.