Udostępnij za pośrednictwem


RADIUS — konfigurowanie serwera NPS dla atrybutów specyficznych dla dostawcy — grupy użytkowników P2S

W poniższej sekcji opisano sposób konfigurowania serwera zasad sieciowych (NPS) systemu Windows Server w celu uwierzytelniania użytkowników w odpowiedzi na komunikaty żądania dostępu za pomocą atrybutu specyficznego dla dostawcy (VSA) używanego do obsługi grupy użytkowników w wirtualnej sieci WAN punkt-lokacja vpn. W poniższych krokach przyjęto założenie, że serwer zasad sieciowych jest już zarejestrowany w usłudze Active Directory. Kroki mogą się różnić w zależności od dostawcy/wersji serwera NPS.

W poniższych krokach opisano konfigurowanie pojedynczych zasad sieciowych na serwerze NPS. Serwer NPS odpowiada za pomocą określonej usługi VSA dla wszystkich użytkowników, którzy spełniają te zasady, a wartość tej usługi VSA może być używana w bramie sieci VPN typu punkt-lokacja w usłudze Virtual WAN.

Konfiguruj

  1. Otwórz konsolę zarządzania serwerem zasad sieciowych, a następnie kliknij prawym przyciskiem myszy pozycję Zasady sieciowe —> nowe , aby utworzyć nowe zasady sieciowe.

    Zrzut ekranu przedstawiający nowe zasady sieciowe.

  2. W kreatorze wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać komunikaty Access-Accept po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.

  3. Nazwij zasady i wybierz pozycję Serwer dostępu zdalnego (VPN-Dial up) jako typ serwera dostępu do sieci. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający pole nazwy zasad.

  4. Na stronie Określanie warunków kliknij przycisk Dodaj , aby wybrać warunek. Następnie wybierz pozycję Grupy użytkowników jako warunek, a następnie kliknij przycisk Dodaj. Możesz również użyć innych warunków zasad sieciowych obsługiwanych przez dostawcę serwera RADIUS.

    Zrzut ekranu przedstawiający określanie warunków dla grup użytkowników.

  5. Na stronie Grupy użytkowników kliknij pozycję Dodaj grupy i wybierz grupy usługi Active Directory, które będą używać tych zasad. Następnie kliknij przycisk OK i ponownie przycisk OK. Zobaczysz grupy dodane w oknie Grupy użytkowników. Kliknij przycisk OK , aby powrócić do strony Określanie warunków , a następnie kliknij przycisk Dalej.

  6. Na stronie Określanie uprawnień dostępu wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać komunikaty Access-Accept po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający stronę Określanie uprawnień dostępu.

  7. W obszarze Metody uwierzytelniania konfiguracji wprowadź wszelkie niezbędne zmiany, a następnie kliknij przycisk Dalej.

  8. W obszarze Konfigurowanie ograniczeń wybierz wszelkie niezbędne ustawienia. Następnie kliknij przycisk Dalej.

  9. Na stronie Konfigurowanie ustawień w obszarze Atrybuty usługi RADIUS wyróżnij pozycję Specyficzne dla dostawcy i kliknij przycisk Dodaj.

    Zrzut ekranu przedstawiający stronę Konfigurowanie ustawień.

  10. Na stronie Dodawanie atrybutu specyficznego dla dostawcy przewiń, aby wybrać pozycję Specyficzne dla dostawcy.

    Zrzut ekranu przedstawiający stronę Dodawanie atrybutu specyficznego dla dostawcy z wybraną pozycją Specyficzne dla dostawcy.

  11. Kliknij przycisk Dodaj, aby otworzyć stronę Informacje o atrybucie. Następnie kliknij przycisk Dodaj, aby otworzyć stronę Informacje o atrybutach specyficznych dla dostawcy. Wybierz pozycję Wybierz z listy i wybierz pozycję Microsoft. Wybierz pozycję Tak. Jest zgodny. Następnie kliknij pozycję Konfiguruj atrybut.

    Zrzut ekranu przedstawiający stronę Informacje o atrybucie.

  12. Na stronie Configure VSA (RFC Compliant) (Konfigurowanie zgodnego ze standardem RFC) wybierz następujące wartości:

    • Numer atrybutu przypisanego przez dostawcę: 65
    • Format atrybutu: szesnastkowy
    • Wartość atrybutu: ustaw tę wartość na wartość usługi VSA skonfigurowaną w konfiguracji serwera sieci VPN, na przykład 6a1bd08. Wartość vsA powinna zaczynać się od 6ad1bd.
  13. Kliknij przycisk OK i ponownie ok , aby zamknąć okna. Na stronie Informacje o atrybucie zobaczysz listę Dostawcy i Wartość, które właśnie wprowadzasz. Kliknij przycisk OK , aby zamknąć okno. Następnie kliknij przycisk Zamknij , aby powrócić do strony Konfigurowanie ustawień .

  14. Konfiguracja ustawień wygląda teraz podobnie do poniższego zrzutu ekranu:

    Zrzut ekranu przedstawiający stronę Konfigurowanie ustawień z atrybutami specyficznymi dla dostawcy.

  15. Kliknij przycisk Dalej , a następnie przycisk Zakończ. Na serwerze RADIUS można utworzyć wiele zasad sieciowych w celu wysyłania różnych komunikatów Access-Accept do bramy sieci VPN typu punkt-lokacja usługi Virtual WAN na podstawie członkostwa w grupie usługi Active Directory lub dowolnego innego mechanizmu, który chcesz obsługiwać.

Następne kroki