RADIUS – Konfigurieren von NPS für herstellerspezifische Attribute – P2S-Benutzergruppen
Im folgenden Abschnitt wird beschrieben, wie Sie Windows Server Network Policy Server (NPS) für die Authentifizierung von Benutzern konfigurieren, die auf Access-Request-Nachrichten mit dem herstellerspezifischen Attribut (Vendor Specific Attribute, VSA) antworten, das für die Unterstützung von Benutzergruppen im Point-to-Site-VPN in Virtual WAN verwendet wird. In den folgenden Schritten wird davon ausgegangen, dass Ihr Netzwerkrichtlinienserver bereits in Active Directory registriert ist. Die Schritte können je nach Hersteller/Version Ihres NPS-Servers variieren.
In den folgenden Schritte wird die Einrichtung einer einzelnen Netzwerkrichtlinie auf dem NPS-Server beschrieben. Der NPS-Server antwortet mit dem angegebenen VSA für alle Benutzer, die dieser Richtlinie entsprechen, und der Wert dieses VSA kann in Virtual WAN auf Ihrem Point-to-Site-VPN-Gateway verwendet werden.
Konfigurieren
Öffnen Sie die Verwaltungskonsole Netzwerkrichtlinienserver, und klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien –> Neu, um eine neue Netzwerkrichtlinie zu erstellen.
Wählen Sie im Assistenten die Option Zugriff gewährt aus, um sicherzustellen, dass Ihr RADIUS-Server nach der Benutzerauthentifizierung Access-Accept-Nachrichten senden kann. Klicken Sie auf Weiter.
Benennen Sie die Richtlinie, und wählen Sie Remotezugriffsserver (VPN-Dial up) als Netzwerkzugriffsserver-Typ aus. Klicken Sie auf Weiter.
Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen, um eine Bedingung auszuwählen. Wählen Sie dann Benutzergruppen als Bedingung aus, und klicken Sie auf Hinzufügen. Sie können auch andere Netzwerkrichtlinienbedingungen verwenden, die vom Hersteller Ihres RADIUS-Servers unterstützt werden.
Klicken Sie auf der Seite Benutzergruppen auf Gruppen hinzufügen, und wählen Sie die Active Directory-Gruppen aus, die diese Richtlinie verwenden. Klicken Sie zweimal nacheinander auf OK. Im Fenster Benutzergruppen werden die Gruppen angezeigt, die Sie hinzugefügt haben. Klicken Sie auf OK, um zur Seite Bedingungen angeben zurückzukehren, und klicken Sie auf Weiter.
Wählen Sie auf der Seite Zugriffsberechtigung angeben die Option Zugriff gewährt aus, um sicherzustellen, dass Ihr RADIUS-Server nach der Benutzerauthentifizierung Access-Accept-Nachrichten senden kann. Klicken Sie auf Weiter.
Nehmen Sie unter Konfigurationsauthentifizierungsmethoden alle erforderlichen Änderungen vor, und klicken Sie dann auf Weiter.
Wählen Sie unter Einschränkungen konfigurieren alle erforderlichen Einstellungen aus. Klicken Sie auf Weiter.
Markieren Sie auf der Seite Einstellungen konfigurieren für RADIUS-Attribute die Option Herstellerspezifisch, und klicken Sie auf Hinzufügen.
Scrollen Sie auf der Seite Herstellerspezifisches Attribut hinzufügen zur Option Herstellerspezifisch, und wählen Sie sie aus.
Klicken Sie auf Hinzufügen, um die Seite Attributinformationen zu öffnen. Klicken Sie dann auf Hinzufügen, um die Seite Herstellerspezifische Attributinformationen zu öffnen. Wählen Sie die Option Aus Liste auswählen und dann Microsoft aus. Klicken Sie auf Ja, konform. Klicken Sie dann auf Attribut konfigurieren.
Wählen Sie auf der Seite VSA konfigurieren (RFC-konform) die folgenden Werte aus:
- Vom Hersteller zugewiesene Attributnummer: 65
- Attributformat: Hexadezimal
- Attributwert: Legen Sie diesen Wert auf den VSA-Wert fest, den Sie in Ihrer VPN-Serverkonfiguration konfiguriert haben, z. B. 6a1bd08. Der VSA-Wert sollte mit 6ad1bd beginnen.
Klicken Sie zweimal hintereinander auf OK, um die Fenster zu schließen. Auf der Seite Attributinformationen wird der Hersteller und der Wert angezeigt, den Sie gerade eingegeben haben. Klicken Sie auf OK , um das Fenster zu schließen. Klicken Sie dann auf Schließen, um zur Seite Einstellungen konfigurieren zurückzukehren.
Die Seite Einstellungen konfigurieren sieht nun etwa so aus wie auf dem folgenden Screenshot:
Klicken Sie auf Weiter und anschließend auf Fertig stellen. Sie können mehrere Netzwerkrichtlinien auf Ihrem RADIUS-Server erstellen, um verschiedene Access-Accept-Nachrichten an das Point-to-Site-VPN-Gateway in Virtual WAN basierend auf der Active Directory-Gruppenmitgliedschaft oder einem anderen gewünschten Mechanismus zu senden.
Nächste Schritte
Weitere Informationen zu Benutzergruppen finden Sie unter Informationen zu Benutzergruppen und IP-Adresspools für P2S-Benutzer-VPNs.
Informationen zum Konfigurieren von Benutzergruppen finden Sie unter Konfigurieren von Benutzergruppen und IP-Adresspools für P2S-Benutzer-VPNs.