Condividi tramite

RADIUS - Configurare NPS per gli attributi specifici del fornitore - Gruppi di utenti connessione da punto a sito

  • Articolo

La sezione seguente descrive come configurare Server dei criteri di rete (NPS) di Windows Server per autenticare gli utenti per rispondere ai messaggi di richiesta di accesso con l'attributo specifico del fornitore (VSA) utilizzato per il supporto dei gruppi di utenti nella rete WAN virtuale VPN da punto a sito. I passaggi seguenti presuppongono che il server dei criteri di rete sia già registrato in Active Directory. I passaggi possono variare a seconda del fornitore o della versione del server NPS.

I passaggi seguenti descrivono la configurazione di un singolo criterio di rete nel server NPS. Il server NPS risponde con il VSA specificato per tutti gli utenti che corrispondono a questo criterio e il valore di questo VSA può essere usato nel gateway VPN da punto a sito nella rete WAN virtuale.

Configurare

  1. Aprire la console di gestione server criteri di rete e fare clic con il pulsante destro del mouse su Criteri di rete -> Nuovo per creare un nuovo criterio di rete.

    Screenshot dei nuovi criteri di rete.

  2. Nella procedura guidata, selezionare Accesso concesso per assicurarsi che il server RADIUS possa inviare messaggi access-accept dopo l'autenticazione degli utenti. Quindi fare clic su Next.

  3. Assegnare un nome al criterio e selezionare Server di accesso remoto (VPN-Dial up) come tipo di server di accesso alla rete. Quindi fare clic su Next.

    Screenshot del campo nome criterio.

  4. Nella pagina Specifica condizioni, fare clic su Aggiungi per selezionare una condizione. Selezionare quindi Gruppi di utenti come condizione e fare clic su Aggiungi. È anche possibile usare altre condizioni dei criteri di rete supportate dal fornitore del server RADIUS.

    Screenshot della specifica delle condizioni per i gruppi di utenti.

  5. Nella pagina Gruppi di utenti, fare clic su Aggiungi gruppi e selezionare i gruppi di Active Directory che useranno questo criterio. Fare clic su OK, quindi nuovamente su OK. I gruppi aggiunti verranno visualizzati nella finestra Gruppi di utenti. Fare clic su OK per tornare alla pagina Specifica condizioni e fare clic su Avanti.

  6. Nella pagina Specifica autorizzazione di accesso, selezionare Accesso concesso per assicurarsi che il server RADIUS possa inviare messaggi Access-Accept dopo l'autenticazione degli utenti. Quindi fare clic su Next.

    Screenshot della pagina Specifica autorizzazione di accesso.

  7. Per Metodi di autenticazione di configurazione apportare le modifiche necessarie, quindi fare clic su Avanti.

  8. Per Configura vincoli selezionare le impostazioni necessarie. Quindi fare clic su Next.

  9. Nella pagina Configura impostazioni, per Attributi RADIUS, evidenziare Specifica fornitore e fare clic su Aggiungi.

    Screenshot della pagina Configura impostazioni.

  10. Nella pagina Aggiungi attributo specifico fornitore scorrere fino a selezionare Specifica-fornitore.

    Screenshot della pagina Aggiungi attributo specifico fornitore con l'opzione Specifica fornitore selezionata.

  11. Fare clic su Aggiungi per aprire la paginaInformazioni attributo. Fare quindi clic su Aggiungi per aprire la pagina Informazioni sugli attributi Specifica-fornitore. Selezionare Seleziona dall'elenco e selezionare Microsoft. Selezionare Yes. È conforme. Fare quindi clic su Configura attributo.

    Screenshot della pagina Informazioni sugli attributi.

  12. Nella pagina Configura VSA (RFC conforme) selezionare i valori seguenti:

    • Numero di attributo assegnato dal fornitore: 65
    • Formato attributo: valore esadecimale
    • Valore attributo: impostare questo valore sul valore VSA configurato nella configurazione del server VPN, ad esempio 6a1bd08. Il valore VSA deve iniziare con 6ad1bd.

  13. Fare clic su OK e ancora su OK per chiudere le finestre. Nella pagina Informazioni sugli attributi verrà visualizzato l'elenco Fornitore e Valore appena immesso. Fare clic su OK per chiudere la finestra. Fare quindi clic su Chiudi per tornare alla pagina Configura impostazioni.

  14. La schermata Configura impostazioni è simile allo screenshot seguente:

    Screenshot della pagina Configura impostazioni con attributi specifici del fornitore.

  15. Fare clic su Avanti , quindi su Fine. È possibile creare più criteri di rete nel server RADIUS per inviare messaggi access-accept diversi al gateway VPN da punto a sito della rete WAN virtuale in base all'appartenenza al gruppo di Active Directory o a qualsiasi altro meccanismo che si vuole supportare.

Passaggi successivi