Dela via

RADIUS – Konfigurera NPS för leverantörsspecifika attribut – P2S-användargrupper

  • Artikel

I följande avsnitt beskrivs hur du konfigurerar Windows Server Network Policy Server (NPS) för att autentisera användare för att svara på meddelanden om åtkomstbegäran med det leverantörsspecifika attributet (VSA) som används för användargruppsstöd i Virtual WAN punkt-till-plats-VPN. Följande steg förutsätter att nätverksprincipservern redan är registrerad i Active Directory. Stegen kan variera beroende på leverantören/versionen av NPS-servern.

Följande steg beskriver hur du konfigurerar en enskild nätverksprincip på NPS-servern. NPS-servern svarar med angiven VSA för alla användare som matchar den här principen, och värdet för denna VSA kan användas på din punkt-till-plats-VPN-gateway i Virtual WAN.

Konfigurera

  1. Öppna hanteringskonsolen för nätverksprincipservern och högerklicka på Nätverksprinciper –> Ny för att skapa en ny nätverksprincip.

    Skärmbild av ny nätverksprincip.

  2. I guiden väljer du Åtkomst beviljad för att se till att RADIUS-servern kan skicka access-accept-meddelanden när användarna har autentiserats. Klicka sedan på Nästa.

  3. Namnge principen och välj Fjärråtkomstserver (VPN-uppringning) som typ av nätverksåtkomstserver. Klicka sedan på Nästa.

    Skärmbild av fältet principnamn.

  4. På sidan Ange villkor klickar du på Lägg till för att välja ett villkor. Välj sedan Användargrupper som villkor och klicka på Lägg till. Du kan också använda andra nätverksprincipvillkor som stöds av RADIUS-serverleverantören.

    Skärmbild av att ange villkor för användargrupper.

  5. På sidan Användargrupper klickar du på Lägg till grupper och väljer de Active Directory-grupper som ska använda den här principen. Klicka sedan på OK och OK igen. Du ser de grupper som du har lagt till i fönstret Användargrupper . Klicka på OK för att återgå till sidan Ange villkor och klicka på Nästa.

  6. På sidan Ange åtkomstbehörighet väljer du Åtkomst beviljad för att se till att RADIUS-servern kan skicka meddelanden om åtkomst acceptera efter autentisering av användare. Klicka sedan på Nästa.

    Skärmbild av sidan Ange åtkomstbehörighet.

  7. För Konfigurationsautentiseringsmetoder gör du nödvändiga ändringar och klickar sedan på Nästa.

  8. För Konfigurera begränsningar väljer du nödvändiga inställningar. Klicka sedan på Nästa.

  9. På sidan Konfigurera inställningar för RADIUS-attribut markerar du Leverantörsspecifik och klickar på Lägg till.

    Skärmbild av sidan Konfigurera inställningar.

  10. På sidan Lägg till leverantörsspecifikt attribut rullar du för att välja Leverantörsspecifik.

    Skärmbild av sidan Lägg till leverantörsspecifikt attribut med Leverantörsspecifikt valt.

  11. Klicka på Lägg till för att öppna sidan Attributinformation . Klicka sedan på Lägg till för att öppna sidan Leverantörsspecifik attributinformation . Välj Välj i listan och välj Microsoft. Välj Ja. Den överensstämmer. Klicka sedan på Konfigurera attribut.

    Skärmbild av sidan Attributinformation.

  12. På sidan Konfigurera VSA (RFC-kompatibel) väljer du följande värden:

    • Leverantörstilldelat attributnummer: 65
    • Attributformat: Hexadecimalt
    • Attributvärde: Ställ in detta på det VSA-värde som du har konfigurerat i VPN-serverkonfigurationen, till exempel 6a1bd08. VSA-värdet bör börja med 6ad1bd.

  13. Klicka på OK och OK igen för att stänga fönstren. På sidan Attributinformation visas den leverantör och det värde som du bara anger. Stäng fönstret genom att klicka på OK . Klicka sedan på Stäng för att återgå till sidan Konfigurera inställningar .

  14. Konfigurera inställningar ser nu ut ungefär som på följande skärmbild:

    Skärmbild av sidan Konfigurera inställningar med leverantörsspecifika attribut.

  15. Klicka på Nästa och sedan på Slutför. Du kan skapa flera nätverksprinciper på RADIUS-servern för att skicka olika access-accept-meddelanden till VPN-gatewayen för virtual WAN-punkt-till-plats baserat på Active Directory-gruppmedlemskap eller någon annan mekanism som du vill stödja.

Nästa steg