RADIUS — настройка NPS для атрибутов поставщика — группы пользователей P2S
В следующем разделе описывается, как настроить сервер политики сети Windows Server (NPS) для проверки подлинности пользователей для ответа на Access-Request сообщения с помощью атрибута поставщика (VSA), используемого для поддержки групп пользователей в Виртуальная глобальная сеть vpn типа "точка — сеть". В следующих шагах предполагается, что сервер политики сети уже зарегистрирован в Active Directory. Действия могут отличаться в зависимости от поставщика или версии сервера NPS.
Ниже описана настройка отдельной политики сети на NPS-сервере. NPS-сервер ответит с указанным VSA для всех пользователей, которые соответствуют этой политике, и значение этого VSA можно использовать в VPN-шлюзе типа "точка — сеть" в Виртуальная глобальная сеть.
Configure
Откройте сервер политики сети консоль управления и щелкните правой кнопкой мыши Пункт Политики сети —> Создать, чтобы создать новую политику сети.
В мастере выберите Доступ предоставлен, чтобы убедиться , что сервер RADIUS может отправлять Access-Accept сообщения после проверки подлинности пользователей. Затем щелкните Далее.
Назовите политику и выберите сервер удаленного доступа (VPN-dial up) в качестве типа сервера сетевого доступа. Затем щелкните Далее.
На странице Указание условий нажмите кнопку Добавить , чтобы выбрать условие. Затем в качестве условия выберите Группы пользователей и нажмите кнопку Добавить. Вы также можете использовать другие условия политики сети, поддерживаемые поставщиком сервера RADIUS.
На странице Группы пользователей щелкните Добавить группы и выберите группы Active Directory, которые будут использовать эту политику. Затем нажмите кнопки ОК и ОК еще раз. Вы увидите добавленные группы в окне Группы пользователей . Нажмите кнопку ОК , чтобы вернуться на страницу Указание условий , и нажмите кнопку Далее.
На странице Указание разрешения доступа выберите Доступ предоставлен , чтобы сервер RADIUS смог отправлять Access-Accept сообщения после проверки подлинности пользователей. Затем щелкните Далее.
В разделе Методы проверки подлинности конфигурации внесите необходимые изменения, а затем нажмите кнопку Далее.
В разделе Настройка ограничений выберите все необходимые параметры. Затем щелкните Далее.
На странице Настройка параметров в поле Атрибуты RADIUS выберите Пункт Конкретный поставщик и нажмите кнопку Добавить.
На странице Добавление атрибута для конкретного поставщика прокрутите страницу до пункта Поставщик-конкретный атрибут.
Нажмите кнопку Добавить , чтобы открыть страницу Сведения об атрибуте . Затем нажмите кнопку Добавить , чтобы открыть страницу Сведения об атрибутах для конкретного поставщика . Выберите Выбрать из списка и выберите Майкрософт. Выберите Да. Он соответствует. Затем щелкните Настроить атрибут.
На странице Настройка VSA (rfc-совместимых) выберите следующие значения:
- Номер атрибута, назначаемого поставщиком: 65
- Формат атрибута: шестнадцатеричный
- Значение атрибута. Задайте для него значение VSA, настроенное в конфигурации VPN-сервера, например 6a1bd08. Значение VSA должно начинаться с 6ad1bd.
Нажмите кнопки ОК и ОК еще раз, чтобы закрыть окна. На странице Сведения об атрибуте вы увидите список Поставщик и Значение, которые вы просто введете. Нажмите кнопку ОК , чтобы закрыть окно. Затем нажмите кнопку Закрыть , чтобы вернуться на страницу Настройка параметров .
Теперь настройка параметров выглядит примерно так:
Нажмите кнопку Далее , затем — кнопку Готово. На сервере RADIUS можно создать несколько сетевых политик для отправки различных сообщений Access-Accept в Виртуальная глобальная сеть VPN-шлюз типа "точка — сеть" на основе членства в группе Active Directory или любого другого механизма, который вы хотите поддерживать.
Дальнейшие действия
Дополнительные сведения о группах пользователей см. в разделе Сведения о группах пользователей и пулах IP-адресов для VPN пользователей P2S.
Сведения о настройке групп пользователей см. в статье Настройка групп пользователей и пулов IP-адресов для VPN пользователей P2S.