RADIUS — konfigurowanie serwera NPS dla atrybutów specyficznych dla dostawcy — grupy użytkowników P2S

Artykuł
07/17/2024

W poniższej sekcji opisano sposób konfigurowania serwera zasad sieciowych (NPS) systemu Windows Server w celu uwierzytelniania użytkowników w odpowiedzi na komunikaty żądania dostępu za pomocą atrybutu specyficznego dla dostawcy (VSA) używanego do obsługi grupy użytkowników w wirtualnej sieci WAN punkt-lokacja vpn. W poniższych krokach przyjęto założenie, że serwer zasad sieciowych jest już zarejestrowany w usłudze Active Directory. Kroki mogą się różnić w zależności od dostawcy/wersji serwera NPS.

W poniższych krokach opisano konfigurowanie pojedynczych zasad sieciowych na serwerze NPS. Serwer NPS odpowiada za pomocą określonej usługi VSA dla wszystkich użytkowników, którzy spełniają te zasady, a wartość tej usługi VSA może być używana w bramie sieci VPN typu punkt-lokacja w usłudze Virtual WAN.

Konfiguruj

Otwórz konsolę zarządzania serwerem zasad sieciowych, a następnie kliknij prawym przyciskiem myszy pozycję Zasady sieciowe —> nowe , aby utworzyć nowe zasady sieciowe.
W kreatorze wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać komunikaty Access-Accept po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.
Nazwij zasady i wybierz pozycję Serwer dostępu zdalnego (VPN-Dial up) jako typ serwera dostępu do sieci. Następnie kliknij przycisk Dalej.
Na stronie Określanie warunków kliknij przycisk Dodaj , aby wybrać warunek. Następnie wybierz pozycję Grupy użytkowników jako warunek, a następnie kliknij przycisk Dodaj. Możesz również użyć innych warunków zasad sieciowych obsługiwanych przez dostawcę serwera RADIUS.
Na stronie Grupy użytkowników kliknij pozycję Dodaj grupy i wybierz grupy usługi Active Directory, które będą używać tych zasad. Następnie kliknij przycisk OK i ponownie przycisk OK. Zobaczysz grupy dodane w oknie Grupy użytkowników. Kliknij przycisk OK , aby powrócić do strony Określanie warunków , a następnie kliknij przycisk Dalej.
Na stronie Określanie uprawnień dostępu wybierz pozycję Dostęp udzielony , aby upewnić się, że serwer RADIUS może wysyłać komunikaty Access-Accept po uwierzytelnieniu użytkowników. Następnie kliknij przycisk Dalej.
W obszarze Metody uwierzytelniania konfiguracji wprowadź wszelkie niezbędne zmiany, a następnie kliknij przycisk Dalej.
W obszarze Konfigurowanie ograniczeń wybierz wszelkie niezbędne ustawienia. Następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie ustawień w obszarze Atrybuty usługi RADIUS wyróżnij pozycję Specyficzne dla dostawcy i kliknij przycisk Dodaj.
Na stronie Dodawanie atrybutu specyficznego dla dostawcy przewiń, aby wybrać pozycję Specyficzne dla dostawcy.
Kliknij przycisk Dodaj, aby otworzyć stronę Informacje o atrybucie. Następnie kliknij przycisk Dodaj, aby otworzyć stronę Informacje o atrybutach specyficznych dla dostawcy. Wybierz pozycję Wybierz z listy i wybierz pozycję Microsoft. Wybierz pozycję Tak. Jest zgodny. Następnie kliknij pozycję Konfiguruj atrybut.
Na stronie Configure VSA (RFC Compliant) (Konfigurowanie zgodnego ze standardem RFC) wybierz następujące wartości:
- Numer atrybutu przypisanego przez dostawcę: 65
- Format atrybutu: szesnastkowy
- Wartość atrybutu: ustaw tę wartość na wartość usługi VSA skonfigurowaną w konfiguracji serwera sieci VPN, na przykład 6a1bd08. Wartość vsA powinna zaczynać się od 6ad1bd.
Kliknij przycisk OK i ponownie ok , aby zamknąć okna. Na stronie Informacje o atrybucie zobaczysz listę Dostawcy i Wartość, które właśnie wprowadzasz. Kliknij przycisk OK , aby zamknąć okno. Następnie kliknij przycisk Zamknij , aby powrócić do strony Konfigurowanie ustawień .
Konfiguracja ustawień wygląda teraz podobnie do poniższego zrzutu ekranu:
Kliknij przycisk Dalej , a następnie przycisk Zakończ. Na serwerze RADIUS można utworzyć wiele zasad sieciowych w celu wysyłania różnych komunikatów Access-Accept do bramy sieci VPN typu punkt-lokacja usługi Virtual WAN na podstawie członkostwa w grupie usługi Active Directory lub dowolnego innego mechanizmu, który chcesz obsługiwać.