你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

RADIUS - 为特定于供应商的属性配置 NPS - P2S 用户组

  • 项目

以下部分介绍如何配置 Windows Server 网络策略服务器 (NPS),以对用户进行身份验证,从而使用特定于供应商的属性 (VSA) 来响应 Access-Request 消息,该属性在虚拟 WAN 点到站点 VPN 中用于用户组支持。 以下步骤假定网络策略服务器已注册到 Active Directory。 这些步骤可能因 NPS 服务器的供应商/版本而异。

以下步骤介绍如何在 NPS 服务器上设置单一网络策略。 对于与此策略匹配的所有用户,NPS 服务器将使用指定的 VSA 进行答复,此 VSA 的值可在虚拟 WAN 中的点到站点 VPN 网关上使用。

配置

  1. 打开“网络策略服务器”管理控制台,右键单击“网络策略”->“新建”以创建新的网络策略。

    新网络策略的屏幕截图。

  2. 在向导中选择“授予访问权限”,以确保 RADIUS 服务器可以在验证用户身份后发送 Access-Accept 消息。 然后单击“下一步”。

  3. 为策略命名,然后选择“远程访问服务器(VPN 拨号)”作为网络访问服务器类型。 然后单击“下一步”。

    策略名称字段的屏幕截图。

  4. 在“指定条件”页上,单击“添加”以选择条件。 然后,选择“用户组”作为条件并单击“添加”。 还可以使用 RADIUS 服务器供应商支持的其他网络策略条件。

    屏幕截图显示如何指定用户组条件。

  5. 在“用户组”页上单击“添加组”,然后选择将使用此策略的 Active Directory 组。 然后单击两次“确定”。 你将在“用户组”窗口中看到已添加的组。 单击“确定”返回到“指定条件”页,然后单击“下一步”。

  6. 在“指定访问权限”页上,选择“授予访问权限”,以确保 RADIUS 服务器可以在对用户进行身份验证后发送 Access-Accept 消息。 然后单击“下一步”。

    “指定访问权限”页的屏幕截图。

  7. 对于“配置身份验证方法”,请进行任何必要的更改,然后单击“下一步”。

  8. 对于“配置约束”,请选择任何必要的设置。 然后单击“下一步”。

  9. 在“配置设置”页上,对于“RADIUS 属性”,请突出显示“特定于供应商”,然后单击“添加”。

    “配置设置”页的屏幕截图。

  10. 在“添加特定于供应商的属性”页上进行滚动,以选择“特定于供应商”。

    屏幕截图显示“添加特定于供应商的属性”页,其中已选中“特定于供应商”。

  11. 单击“添加”以打开“属性信息”页。 然后,单击“添加”以打开“特定于供应商的属性信息”页。 选择“从列表中选择”,然后选择“Microsoft”。 选择“是,它符合”。 然后单击“配置属性”。

    “属性信息”页的屏幕截图。

  12. 在“配置 VSA (符合 RFC)”页上,选择以下值:

    • 供应商分配的属性号:65
    • 属性格式:十六进制
    • 属性值:将其设置为在 VPN 服务器配置上配置的 VSA 值,例如 6a1bd08。 VSA 值应以 6ad1bd 开头。

  13. 单击“确定”两次,关闭这些窗口。 在“属性信息”页上,你会看到刚输入的供应商和值已列出。 单击“确定” 以关闭该窗口。 然后,单击“关闭”以返回到“配置设置”页。

  14. “配置设置”现在看起来类似于以下屏幕截图:

    “配置设置”页的屏幕截图,其中包含特定于供应商的属性。

  15. 单击 “下一步” ,然后单击 “完成” 。 可以在 RADIUS 服务器上创建多个网络策略,以便根据 Active Directory 组成员身份或你要支持的任何其他机制,将不同的 Access-Accept 消息发送到虚拟 WAN 点到站点 VPN 网关。

后续步骤