Sdílet prostřednictvím


RADIUS – Konfigurace serveru NPS pro atributy specifické pro dodavatele – Skupiny uživatelů P2S

Následující část popisuje, jak nakonfigurovat server NPS (Windows Server Network Policy Server) tak, aby ověřoval uživatele tak, aby reagoval na zprávy žádosti o přístup pomocí atributu VSA (Vendor Specific Attribute) používaného pro podporu skupin uživatelů ve službě Virtual WAN point-to-site-VPN. Následující kroky předpokládají, že server zásad sítě je již zaregistrovaný ve službě Active Directory. Postup se může lišit v závislosti na dodavateli nebo verzi vašeho serveru NPS.

Následující kroky popisují nastavení jedné zásady sítě na serveru NPS. Server NPS odpoví zadanou VSA pro všechny uživatele, kteří splňují tuto zásadu, a hodnotu tohoto VSA je možné použít na bráně VPN typu point-to-site ve službě Virtual WAN.

Konfigurovat

  1. Otevřete konzolu pro správu serveru síťových zásad a klikněte pravým tlačítkem myši na Zásady sítě –> Nový a vytvořte novou zásadu sítě.

    Snímek obrazovky s novými zásadami sítě

  2. V průvodci vyberte Access udělen , abyste zajistili, že server RADIUS může po ověření uživatelů odesílat zprávy o přijetí přístupu. Poté klepněte na Další.

  3. Pojmenujte zásadu a jako typ serveru síťového přístupu vyberte Server vzdáleného přístupu (VPN-Dial up ). Poté klepněte na Další.

    Snímek obrazovky s polem pro název zásady

  4. Na stránce Zadat podmínky klepněte na tlačítko Přidat a vyberte podmínku. Potom jako podmínku vyberte Skupiny uživatelů a klikněte na Přidat. Můžete také použít jiné podmínky zásad sítě, které podporuje dodavatel serveru RADIUS.

    Snímek obrazovky s určením podmínek pro skupiny uživatelů

  5. Na stránce Skupiny uživatelů klikněte na Přidat skupiny a vyberte skupiny služby Active Directory, které budou tuto zásadu používat. Potom znovu klikněte na OK a OK . Skupiny, které jste přidali, se zobrazí v okně Skupiny uživatelů. Kliknutím na tlačítko OK se vrátíte na stránku Zadat podmínky a klepněte na tlačítko Další.

  6. Na stránce Zadat přístupové oprávnění vyberte Přístup udělený, abyste zajistili, že server RADIUS může odesílat zprávy o přijetí přístupu po ověření uživatelů. Poté klepněte na Další.

    Snímek obrazovky se stránkou Zadat přístupová oprávnění

  7. V části Metody ověřování konfigurace proveďte potřebné změny a klikněte na tlačítko Další.

  8. Pro konfiguraci omezení vyberte všechna potřebná nastavení. Poté klepněte na Další.

  9. Na stránce Konfigurovat nastavení u atributů PROTOKOLU RADIUS zvýrazněte konkrétního dodavatele a klikněte na Přidat.

    Snímek obrazovky se stránkou Konfigurovat nastavení

  10. Na stránce Přidat atribut specifický pro dodavatele se posuňte a vyberte Vendor-Specific.

    Snímek obrazovky se stránkou Přidat atribut specifický pro dodavatele a vybranou možností Vendor-Specific

  11. Kliknutím na Přidat otevřete stránku Informace o atributu. Potom klepnutím na tlačítko Přidat otevřete stránku Informace o atributu specifické pro dodavatele. Vyberte možnost Vybrat ze seznamu a vyberte Microsoft. Vyberte Ano. Vyhovuje. Potom klikněte na Konfigurovat atribut.

    Snímek obrazovky se stránkou Informace o atributu

  12. Na stránce Konfigurovat VSA (kompatibilní se standardem RFC) vyberte následující hodnoty:

    • Číslo atributu přiřazeného dodavatelem: 65
    • Formát atributu: Hexadecimální
    • Hodnota atributu: Nastavte tuto hodnotu na hodnotu VSA, kterou jste nakonfigurovali v konfiguraci serveru VPN, například 6a1bd08. Hodnota VSA by měla začínat hodnotou 6ad1bd.
  13. Dalším kliknutím na OK a OK zavřete okna. Na stránce Informace o atributu se zobrazí seznam Dodavatel a Hodnota, které jste právě zadali. Kliknutím na tlačítko OK zavřete okno. Potom se kliknutím na tlačítko Zavřít vrátíte na stránku Konfigurovat nastavení .

  14. Konfigurace nastavení teď vypadá podobně jako na následujícím snímku obrazovky:

    Snímek obrazovky se stránkou Konfigurovat nastavení s atributy specifické pro dodavatele

  15. Klikněte na Další a potom na Dokončit. Na serveru RADIUS můžete vytvořit několik zásad sítě, které budou posílat různé zprávy o přijetí přístupu do brány VPN typu point-to-site služby Virtual WAN na základě členství ve skupině služby Active Directory nebo jakéhokoli jiného mechanismu, který chcete podporovat.

Další kroky