RADIUS - Configurar o NPS para atributos específicos do fornecedor - grupos de usuários P2S

Artigo
07/17/2024

A seção a seguir descreve como configurar o NPS (Servidor de Diretivas de Rede) do Windows Server para autenticar usuários para responder a mensagens de solicitação de acesso com o VSA (atributo específico do fornecedor) usado para suporte a grupos de usuários na VPN ponto a site da WAN virtual. As etapas a seguir pressupõem que o Servidor de Políticas de Rede já esteja registrado no Ative Directory. As etapas podem variar dependendo do fornecedor/versão do seu servidor NPS.

As etapas a seguir descrevem a configuração de uma única diretiva de rede no servidor NPS. O servidor NPS responde com o VSA especificado para todos os usuários que correspondem a essa política, e o valor desse VSA pode ser usado em seu gateway VPN ponto a site na WAN Virtual.

Configurar

Abra a consola de gestão do Servidor de Políticas de Rede e clique com o botão direito do rato em Políticas de Rede -> Novo para criar uma nova Política de Rede.
No assistente, selecione Acesso concedido para garantir que seu servidor RADIUS possa enviar mensagens Access-Accept depois de autenticar usuários. Clique depois em Seguinte.
Nomeie a política e selecione Servidor de Acesso Remoto (VPN-Dial-up) como o tipo de servidor de acesso à rede. Clique depois em Seguinte.
Na página Especificar Condições, clique em Adicionar para selecionar uma condição. Em seguida, selecione Grupos de usuários como a condição e clique em Adicionar. Também pode utilizar outras condições de Política de Rede suportadas pelo fornecedor do servidor RADIUS.
Na página Grupos de Usuários , clique em Adicionar Grupos e selecione os grupos do Ative Directory que usarão essa política. Em seguida, clique em OK e OK novamente. Você verá os grupos adicionados na janela Grupos de usuários . Clique em OK para retornar à página Especificar Condições e clique em Avançar.
Na página Especificar Permissão de Acesso , selecione Acesso concedido para garantir que seu servidor RADIUS possa enviar mensagens de Aceitação de Acesso depois de autenticar os usuários. Clique depois em Seguinte.
Para Métodos de Autenticação de Configuração, faça as alterações necessárias e clique em Avançar.
Para Configurar Restrições , selecione as configurações necessárias. Clique depois em Seguinte.
Na página Configurar Configurações, para Atributos RADIUS, realce Específico do Fornecedor e clique em Adicionar.
Na página Adicionar Atributo Específico do Fornecedor , role até selecionar Específico do Fornecedor.
Clique em Adicionar para abrir a página Informações do Atributo. Em seguida, clique em Adicionar para abrir a página Informações sobre atributos específicos do fornecedor. Selecione Selecionar na lista e selecione Microsoft. Selecione Sim. Está em conformidade. Em seguida, clique em Configurar atributo.
Na página Configurar VSA (compatível com RFC), selecione os seguintes valores:
- Número de atributo atribuído pelo fornecedor: 65
- Formato do atributo: Hexadecimal
- Valor do atributo: defina isso como o valor VSA que você configurou na configuração do servidor VPN, como 6a1bd08. O valor VSA deve começar com 6ad1bd.
Clique em OK e OK novamente para fechar as janelas. Na página Informações do Atributo, você verá o Fornecedor e o Valor listados que você acabou de inserir. Clique em OK para fechar a janela. Em seguida, clique em Fechar para retornar à página Configurar configurações .
As configurações de configuração agora são semelhantes à captura de tela a seguir:
Clique em Avançar e, em seguida, em Concluir. Você pode criar várias políticas de rede em seu servidor RADIUS para enviar diferentes mensagens de Aceitação de Acesso para o gateway VPN ponto a site da WAN Virtual com base na associação ao grupo do Ative Directory ou em qualquer outro mecanismo que você gostaria de suportar.